GSP159

Ringkasan

Dalam lab praktik ini, Anda akan mempelajari cara merancang dan mengimplementasikan arsitektur jaringan yang aman. Anda akan menggunakan Cloud Shell dan bahasa command line gcloud untuk membuat jaringan kustom dengan 3 subnetwork, lalu menerapkan aturan firewall untuk mengontrol traffic yang diizinkan ke instance VM Anda.

Yang akan Anda pelajari

Dalam lab ini, Anda akan mempelajari cara membuat:

• Jaringan kustom
• Tiga subnetwork
• Aturan firewall yang memiliki tag jaringan

Penyiapan dan persyaratan

Sebelum mengklik tombol Mulai Lab

Baca petunjuk ini. Lab memiliki timer dan Anda tidak dapat menjedanya. Timer, yang dimulai saat Anda mengklik Start Lab, akan menampilkan durasi ketersediaan resource Google Cloud untuk Anda.

Lab praktik ini dapat Anda gunakan untuk melakukan sendiri aktivitas lab di lingkungan cloud sungguhan, bukan di lingkungan demo atau simulasi. Untuk mengakses lab ini, Anda akan diberi kredensial baru yang bersifat sementara dan dapat digunakan untuk login serta mengakses Google Cloud selama durasi lab.

Untuk menyelesaikan lab ini, Anda memerlukan:

• Akses ke browser internet standar (disarankan browser Chrome).

Catatan: Gunakan jendela Samaran atau browser pribadi untuk menjalankan lab ini. Hal ini akan mencegah konflik antara akun pribadi Anda dan akun Siswa yang dapat menyebabkan tagihan ekstra pada akun pribadi Anda.

• Waktu untuk menyelesaikan lab. Ingat, setelah dimulai, lab tidak dapat dijeda.

Catatan: Jika Anda sudah memiliki project atau akun pribadi Google Cloud, jangan menggunakannya untuk lab ini agar terhindar dari tagihan ekstra pada akun Anda.

Cara memulai lab dan login ke Google Cloud Console

1. Klik tombol Start Lab. Jika Anda perlu membayar lab, jendela pop-up akan terbuka untuk memilih metode pembayaran. Di sebelah kiri adalah panel Lab Details dengan info berikut:

   • Tombol Open Google Cloud console
   • Waktu tersisa
   • Kredensial sementara yang harus Anda gunakan untuk lab ini
   • Informasi lain, jika diperlukan, untuk menyelesaikan lab ini

2. Klik Open Google Cloud console (atau klik kanan dan pilih Open Link in Incognito Window jika Anda menjalankan browser Chrome).

   Lab akan menjalankan resource, lalu membuka tab lain yang menampilkan halaman Sign in.

   Tips: Atur tab di jendela terpisah secara berdampingan.

   Catatan: Jika Anda melihat dialog Choose an account, klik Use Another Account.

3. Jika perlu, salin Username di bawah dan tempel ke dialog Sign in.

   {{{user_0.username | "Username"}}}

   Anda juga dapat menemukan Username di panel Lab Details.

4. Klik Next.

5. Salin Password di bawah dan tempel ke dialog Welcome.

   {{{user_0.password | "Password"}}}

   Anda juga dapat menemukan Password di panel Lab Details.

6. Klik Next.

   Penting: Anda harus menggunakan kredensial yang diberikan lab. Jangan menggunakan kredensial akun Google Cloud Anda. Catatan: Menggunakan akun Google Cloud sendiri untuk lab ini dapat dikenai biaya tambahan.

7. Klik halaman berikutnya:

   • Setujui persyaratan dan ketentuan.
   • Jangan tambahkan opsi pemulihan atau autentikasi 2 langkah (karena ini akun sementara).
   • Jangan mendaftar uji coba gratis.

Setelah beberapa saat, Konsol Google Cloud akan terbuka di tab ini.

Catatan: Untuk melihat menu dengan daftar produk dan layanan Google Cloud, klik Navigation menu di kiri atas.

Mengaktifkan Cloud Shell

Cloud Shell adalah mesin virtual yang dilengkapi dengan berbagai alat pengembangan. Mesin virtual ini menawarkan direktori beranda persisten berkapasitas 5 GB dan berjalan di Google Cloud. Cloud Shell menyediakan akses command-line untuk resource Google Cloud Anda.

1. Klik Activate Cloud Shell di bagian atas konsol Google Cloud.

Setelah terhubung, Anda sudah diautentikasi, dan project ditetapkan ke PROJECT_ID Anda. Output berisi baris yang mendeklarasikan PROJECT_ID untuk sesi ini:

Project Cloud Platform Anda dalam sesi ini disetel ke YOUR_PROJECT_ID

gcloud adalah alat command line untuk Google Cloud. Alat ini sudah terinstal di Cloud Shell dan mendukung pelengkapan command line.

2. (Opsional) Anda dapat menampilkan daftar nama akun yang aktif dengan perintah ini:

gcloud auth list

3. Klik Authorize.

4. Output Anda sekarang akan terlihat seperti ini:

Output:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net Untuk menyetel akun aktif, jalankan: $ gcloud config set account `ACCOUNT`

5. (Opsional) Anda dapat menampilkan daftar project ID dengan perintah ini:

gcloud config list project

Output:

[core] project = <project_ID>

Contoh output:

[core] project = qwiklabs-gcp-44776a13dea667a6 Catatan: Untuk mendapatkan dokumentasi gcloud yang lengkap di Google Cloud, baca panduan ringkasan gcloud CLI.

Memahami Region dan Zona

Resource Compute Engine tertentu berada di bawah zona atau region. Region adalah lokasi geografis spesifik tempat Anda dapat menjalankan resource. Setiap region memiliki satu atau beberapa zona. Misalnya, region us-central1 menunjukkan satu region di Amerika Serikat Bagian Tengah yang memiliki zona us-central1-a, us-central1-b, us-central1-c, dan us-central1-f.

Region	Zona
Amerika Serikat Bagian Barat	us-west1-a, us-west1-b
Amerika Serikat Bagian Tengah	us-central1-a, us-central1-b, us-central1-d, us-central1-f
Amerika Serikat Bagian Timur	us-east1-b, us-east1-c, us-east1-d
Eropa Barat	europe-west1-b, europe-west1-c, europe-west1-d
Asia Timur	asia-east1-a, asia-east1-b, asia-east1-c

Resource yang ada di suatu zona disebut sebagai resource zona. Instance dan persistent disk mesin virtual berada di bawah zona. Untuk memasang persistent disk ke instance mesin virtual, kedua resource harus berada di zona yang sama. Demikian pula, jika Anda ingin menetapkan alamat IP statis ke satu instance, instance tersebut harus berada di region yang sama dengan IP statis.

Pelajari region dan zona lebih lanjut dan lihat daftar lengkap di halaman Compute Engine, Dokumentasi region dan zona.

Menetapkan region dan zona

Jalankan perintah gcloud berikut di Cloud Shell guna menetapkan region dan zona default untuk lab Anda:

gcloud config set compute/zone "{{{project_0.default_zone | Zone}}}" export ZONE=$(gcloud config get compute/zone) gcloud config set compute/region "{{{project_0.default_region | Region}}}" export REGION=$(gcloud config get compute/region)

Tugas 1. Membuat jaringan kustom dengan Cloud Shell

Buat jaringan bernama taw-custom-network, lalu tentukan opsi agar dapat menambahkan subnetwork Anda sendiri ke dalamnya menggunakan flag --subnet-mode custom.

• Membuat jaringan kustom:

gcloud compute networks create taw-custom-network --subnet-mode custom

Output:

NAME MODE IPV4_RANGE GATEWAY_IPV4 taw-custom-network custom Instances on this network will not be reachable until firewall rules are created. As an example, you can allow all internal traffic between instances as well as SSH, RDP, and ICMP by running: $ gcloud compute firewall-rules create --network taw-custom-network --allow tcp,udp,icmp --source-ranges $ gcloud compute firewall-rules create --network taw-custom-network --allow tcp:22,tcp:3389,icmp

Sekarang buat tiga subnet untuk jaringan kustom baru Anda. Di setiap perintah, Anda akan menentukan region untuk subnet dan jaringan yang dimilikinya.

1. Buat subnet- dengan prefiks IP:

gcloud compute networks subnets create subnet-{{{project_0.default_region | Region}}} \ --network taw-custom-network \ --region {{{project_0.default_region | Region}}} \ --range 10.0.0.0/16

Output:

Created [https://www.googleapis.com/compute/v1/projects/cloud-network-module-101/regions/{{{project_0.default_region | Region}}}/subnetworks/subnet-{{{project_0.default_region | Region}}}]. NAME REGION NETWORK RANGE subnet-{{{project_0.default_region | Region}}} {{{project_0.default_region | Region}}} taw-custom-network 10.0.0.0/16

2. Buat subnet- dengan prefiks IP:

gcloud compute networks subnets create subnet-{{{project_0.default_region_2 | Region}}} \ --network taw-custom-network \ --region {{{project_0.default_region_2 | Region}}} \ --range 10.1.0.0/16

Output:

Created [https://www.googleapis.com/compute/v1/projects/cloud-network-module-101/regions/{{{project_0.default_region_2 | Region}}}/subnetworks/subnet-{{{project_0.default_region_2 | Region}}}]. NAME REGION NETWORK RANGE subnet-{{{project_0.default_region_2 | Region}}} {{{project_0.default_region_2 | Region}}} taw-custom-network 10.1.0.0/16

3. Buat subnet- dengan prefiks IP:

gcloud compute networks subnets create subnet-{{{project_0.default_region_3 | Region}}} \ --network taw-custom-network \ --region {{{project_0.default_region_3 | Region}}} \ --range 10.2.0.0/16

Output:

Created [https://www.googleapis.com/compute/v1/projects/cloud-network-module-101/regions/{{{project_0.default_region_3 | Region}}}/subnetworks/subnet-{{{project_0.default_region_3 | Region}}}]. NAME REGION NETWORK RANGE subnet-{{{project_0.default_region_2 | Region}}} {{{project_0.default_region_2 | Region}}} taw-custom-network 10.2.0.0/16

4. Lihat daftar jaringan Anda:

gcloud compute networks subnets list \ --network taw-custom-network

Output:

NAME REGION NETWORK RANGE subnet-{{{project_0.default_region_3 | Region}}} {{{project_0.default_region_3 | Region}}} taw-custom-network 10.1.0.0/16 subnet-{{{project_0.default_region_2 | Region}}} {{{project_0.default_region_2 | Region}}} taw-custom-network 10.2.0.0/16 subnet-{{{project_0.default_region | Region}}} {{{project_0.default_region | Region}}} taw-custom-network 10.0.0.0/16 Membuat jaringan dan subnetwork kustom

Pada tahap ini, jaringan memiliki rute ke Internet dan ke semua instance yang Anda buat. Namun, jaringan tersebut belum memiliki aturan firewall yang mengizinkan akses ke instance, bahkan dari instance lainnya.

Untuk mengizinkan akses, Anda harus membuat aturan firewall.

Tugas 2. Menambahkan aturan firewall

Untuk mengizinkan akses ke instance virtual machine (VM), Anda harus menerapkan aturan firewall. Anda akan menggunakan tag jaringan untuk menerapkan aturan firewall ke instance VM Anda.

Tag jaringan adalah alat yang ampuh untuk mengelola aturan firewall di seluruh grup instance VM. Bayangkan Anda memiliki cluster VM yang mendukung suatu situs. Alih-alih mengonfigurasi aturan firewall secara manual untuk tiap instance, Anda cukup menerapkan tag seperti "web-server" ke semua VM yang relevan. Kemudian, buat aturan firewall yang mengizinkan traffic HTTP ke instance mana pun dengan tag "web-server". Pendekatan ini tidak hanya menyederhanakan pengelolaan firewall, tetapi juga memberikan fleksibilitas, sehingga Anda dapat memperbarui kontrol akses secara mudah dengan mengubah aturan berbasis tag.

Catatan: Tag juga tercermin dalam server metadata, jadi Anda dapat menggunakannya untuk aplikasi yang berjalan pada instance Anda.

Mulailah dengan membuka firewall untuk mengizinkan permintaan Internet HTTP, lalu tambahkan aturan firewall lainnya.

Menambahkan aturan firewall menggunakan Cloud Shell

Sekarang tambahkan aturan firewall bernama nw101-allow-http untuk taw-custom-network yang hanya akan berlaku bagi VM di jaringan dengan tag http.

• Jalankan perintah berikut untuk membuat aturan firewall:

gcloud compute firewall-rules create nw101-allow-http \ --allow tcp:80 --network taw-custom-network --source-ranges 0.0.0.0/0 \ --target-tags http

Output:

Membuat aturan firewall tambahan

Buat aturan firewall tambahan untuk mengizinkan ICMP, komunikasi internal, SSH, dan RDP.

1. Buat lebih banyak aturan firewall dengan perintah di bawah.

• ICMP

gcloud compute firewall-rules create "nw101-allow-icmp" --allow icmp --network "taw-custom-network" --target-tags rules

• Komunikasi Internal

gcloud compute firewall-rules create "nw101-allow-internal" --allow tcp:0-65535,udp:0-65535,icmp --network "taw-custom-network" --source-ranges "10.0.0.0/16","10.2.0.0/16","10.1.0.0/16"

• SSH

gcloud compute firewall-rules create "nw101-allow-ssh" --allow tcp:22 --network "taw-custom-network" --target-tags "ssh"

• RDP

gcloud compute firewall-rules create "nw101-allow-rdp" --allow tcp:3389 --network "taw-custom-network"

2. Gunakan konsol untuk memeriksa aturan firewall di jaringan Anda. Kodenya akan terlihat seperti berikut:

Catatan: Bagaimana dengan Rute yang saya lihat di konsol Jaringan?

Google Cloud Networking menggunakan Rute untuk mengarahkan paket antara subnetwork dan ke Internet. Tiap kali subnetwork dibuat (atau dibuat sebelumnya) di Jaringan, rute akan otomatis dibuat di tiap region untuk mengizinkan perutean paket antar-subnetwork. Rute ini tidak dapat diubah.

Rute tambahan dapat dibuat untuk mengirim traffic ke instance, gateway VPN, atau gateway internet default. Rute tambahan ini dapat diubah agar sesuai dengan arsitektur jaringan yang diinginkan. Rute dan Firewall bekerja sama untuk memastikan traffic sampai pada tujuan yang diharapkan.

Klik Check my progress untuk memverifikasi tujuan.

Membuat aturan firewall

Jika Anda membuat VM di jaringan, Anda akan membuatnya dengan tag yang berkaitan dengan aturan firewall yang sesuai. Aturan firewall akan mengizinkan traffic internet ke VM, dan VM tersebut akan dapat berkomunikasi di seluruh jaringan Anda.

Selamat

Anda telah menggunakan perintah gcloud untuk membuat sebuah jaringan, 3 subnetwork di region berbeda, dan menerapkan berbagai aturan firewall untuk mengizinkan akses ke VM Anda.

Sertifikasi dan pelatihan Google Cloud

...membantu Anda mengoptimalkan teknologi Google Cloud. Kelas kami mencakup keterampilan teknis dan praktik terbaik untuk membantu Anda memahami dengan cepat dan melanjutkan proses pembelajaran. Kami menawarkan pelatihan tingkat dasar hingga lanjutan dengan opsi on demand, live, dan virtual untuk menyesuaikan dengan jadwal Anda yang sibuk. Sertifikasi membantu Anda memvalidasi dan membuktikan keterampilan serta keahlian Anda dalam teknologi Google Cloud.

Manual terakhir diperbarui pada 17 Januari 2025

Lab terakhir diuji pada 14 Mei 2024

Hak cipta 2025 Google LLC Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lain mungkin adalah merek dagang masing-masing perusahaan yang bersangkutan.