Hướng Dẫn Triển Khai Truy Cập Google Riêng Tư cho Cloud Run GCP
Trong bài viết này, chúng ta sẽ tìm hiểu cách sử dụng Truy Cập Google Riêng Tư (PGA) để một dịch vụ Cloud Run với điểm cuối nội bộ có thể được truy cập một cách an toàn mà không cần địa chỉ IP công cộng. Điều này đảm bảo rằng lưu lượng truy cập đi qua mạng của Google thay vì Internet công cộng.
Mục Tiêu
Chúng ta sẽ thực hiện:
- Triển khai dịch vụ Cloud Run với điểm cuối nội bộ.
- Tạo một subnet với Truy Cập Google Riêng Tư được bật (ON).
- Tạo một subnet khác không có Truy Cập Google Riêng Tư (OFF).
- Khởi động VM trong cả hai subnet (không có IP công cộng).
- Kiểm tra kết nối đến dịch vụ Cloud Run qua
curl.
Kết Quả Mong Đợi
- ✅ VM trong subnet với PGA:ON → Truy cập thành công
- ❌ VM trong subnet với PGA:OFF → Truy cập thất bại
Bước 01: Giới Thiệu
Để thực hiện được các mục tiêu trên, chúng ta sẽ đi qua từng bước cụ thể dưới đây. Đảm bảo bạn đã có tài khoản Google Cloud và được cấp quyền truy cập đầy đủ.
Bước 02: Tạo Dịch Vụ Cloud Run với Điểm Cuối Nội Bộ
bash
# Đặt Dự Án
gcloud config set project PROJECT_ID
gcloud config set project gcpdemos
# Đặt Vùng Cloud Run
gcloud config set run/region us-central1
gcloud config list
# Triển khai Dịch Vụ Cloud Run
gcloud run deploy myservice201 \
--image=stacksimplify/google-cloud-run:v1 \
--allow-unauthenticated \
--ingress=internal \
--port=80 \
--region=us-central1Kiểm Tra Truy Cập
Hãy truy cập vào địa chỉ:
bash
https://myservice201-506997606680.us-central1.run.appQuan Sát:
- Dịch vụ không có khả năng truy cập công khai 🌐❌
- Điểm cuối chỉ nội bộ.
Bước 03: Tạo Subnet với Truy Cập Google Riêng Tư Bật
- Vào VPC Networks → vpc2-custom → SUBNETS → THÊM SUBNET
- Tên: mysubnet2pga
- Mô Tả: Subnet với PGA được bật
- Vùng: us-central1
- Dải IP: 10.231.0.0/20
- Truy Cập Google Riêng Tư: BẬT ✅
- Để các cài đặt khác ở mặc định → THÊM
Bước 04: Tạo VM trong Subnet với PGA:ON
bash
# Tạo VM trong mysubnet2pga không có IP công cộng
gcloud compute instances create myvm-pga-on \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface=subnet=mysubnet2pga,no-address
# Kết nối qua IAP
gcloud compute ssh --zone "us-central1-a" "myvm-pga-on" --tunnel-through-iap
# Kiểm Tra Truy Cập Cloud Run
curl https://myservice201-506997606680.us-central1.run.appQuan Sát: ✅ Truy cập thành công vì lưu lượng sử dụng Truy Cập Google Riêng Tư.
Bước 05: Tạo VM trong Subnet với PGA:OFF
bash
# Tạo VM trong mysubnet1 không có IP công cộng
gcloud compute instances create myvm-pga-off \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface=subnet=mysubnet1,no-address
# Kết nối qua IAP
gcloud compute ssh --zone "us-central1-a" "myvm-pga-off" --tunnel-through-iap
# Kiểm Tra Truy Cập Cloud Run
curl https://myservice201-506997606680.us-central1.run.appQuan Sát: ❌ Truy cập thất bại vì Truy Cập Google Riêng Tư bị vô hiệu hóa trong mysubnet1.
Bước 06: Dọn Dẹp Tài Nguyên
bash
# Xóa Các Phiên Bản VM
gcloud compute instances delete myvm-pga-on --zone=us-central1-a --delete-disks=all
gcloud compute instances delete myvm-pga-off --zone=us-central1-a --delete-disks=all
# Xóa Dịch Vụ Cloud Run
gcloud run services delete myservice201Tóm Tắt
- Truy Cập Google Riêng Tư (PGA) cho phép các phiên bản VM không có IP công cộng truy cập an toàn vào các API và dịch vụ của Google.
- Với PGA được bật, các khối lượng công việc chỉ nội bộ có thể truy cập vào các dịch vụ như Cloud Run.
- Với PGA bị vô hiệu hóa, các yêu cầu sẽ thất bại vì subnet không thể định tuyến lưu lượng đến các API của Google một cách riêng tư.
Thực Tiễn Tốt Nhất
- Bật PGA trong các subnet nơi các khối lượng công việc riêng tư cần truy cập vào dịch vụ của Google mà không cần chỉ định địa chỉ IP công cộng.
Câu Hỏi Thường Gặp
-
PGA là gì?
PGA là một tính năng cho phép các dịch vụ và API của Google được truy cập từ các mạng riêng mà không cần IP công cộng. -
Tại sao tôi cần sử dụng PGA?
PGA giúp tăng cường bảo mật cho các ứng dụng nội bộ bằng cách đảm bảo rằng lưu lượng đi qua mạng riêng của Google. -
Tôi có thể sử dụng PGA cho các dịch vụ nào?
PGA có thể được sử dụng cho nhiều dịch vụ của Google, bao gồm Cloud Run, Cloud Functions và các dịch vụ API khác.
Lời Khuyên và Lưu Ý Quan Trọng
- Hãy chắc chắn rằng bạn đã cấu hình đúng subnet trước khi triển khai dịch vụ.
- Kiểm tra các quyền truy cập để đảm bảo rằng VM có thể truy cập vào dịch vụ Cloud Run.
Chúc bạn thành công trong việc triển khai Truy Cập Google Riêng Tư cho dịch vụ Cloud Run của mình!
