在私人網路中使用 Cloud Build

本頁面說明如何設定常用的私人網路設定,以便搭配私人集區使用。如要瞭解私人集區,請參閱私人集區總覽

定義預設網路設定

建立私人集區時,系統預設會設定使用私人集區所在的虛擬私有雲網路。請在下列情況下使用預設虛擬私有雲網路:

如要瞭解如何連線至預設網路,請參閱「建立私人集區」一節。

定義靜態內部 IP 範圍

在某些情況下,您可能需要為私人資源池定義靜態 IP 範圍,例如在呼叫允許從特定 IP 範圍撥打電話的服務時。使用私人資源池時,在虛擬私有雲網路與私人資源池的虛擬私有雲網路之間建立私人連線時,您可以使用已定義的 IP 位址 CIDR 範圍,建立要用於私人資源池的 IP 位址範圍。您也可以在私人資源池使用的已分配 IP 位址範圍內,指定較小的 CIDR 範圍。

在虛擬私有雲網路中執行

如要使用 Cloud Build 與防火牆後方的私人網路 (例如虛擬私有雲網路) 中的資源互動,您可以在私人集區和代管的虛擬私有雲網路之間建立私人連線。這可讓私人集區存取私人網路中的資源,例如來源存放區、構件存放區、資料庫、機密資料例項和執行階段。

在共用虛擬私有雲網路中執行

如果您使用共用虛擬私有雲網路,則建立私人集區的專案必須連結至包含共用虛擬私有雲網路的主機專案。如需附加專案的操作說明,請參閱「佈建共用虛擬私人雲端網路」。

連線至其他對等互連虛擬私有雲網路或共用虛擬私有雲網路中的資源

組織通常會採用共用虛擬私有雲 (主機專案),將網路和身分與存取權管理集中管理,這樣一來,內部 IP 位址就能用於 Google 代管的服務,例如私人 GKE 叢集私人 Cloud SQL。這些由 Google 管理的服務也會對等互連至客戶擁有的共用虛擬私有雲網路。這項設定的問題是,由於缺乏轉介對等連線,私人集區無法與 Google 代管的服務通訊。只有在多個網路透過虛擬私有雲對等互連連線時,傳遞對等互連才會造成問題。如果其中一個連線變更為使用 VPN (或互連網路) 而非 VPC 對等互連,網路就能建立連線。如需這類網路設定的操作說明,請參閱透過 Cloud Build 私人集區存取私人 Google Kubernetes Engine 叢集

在特定區域執行

您可以在支援的區域中建立私人集區。您可以將任何建構的容器映像檔和構件儲存在指定區域的 Artifact Registry 存放區Cloud Storage 儲存桶中。

部署至私人 GKE 叢集

私人 GKE 叢集可為控制平面提供公開或私人端點。

如要部署至具有公開端點的私人 GKE 叢集,您可以在預設網路中建立私人集區,以便存取公開網際網路,並為集區定義靜態內部 IP 範圍,以便建立允許存取叢集的許可清單。

如要部署至私人 GKE 叢集並使用私人端點,請按照「使用 Cloud Build 私人集區存取私人 Google Kubernetes Engine 叢集」一文所述步驟操作。或者,在對等連線至 VPC 後,您可以在叢集中執行網路 Proxy,如「使用網路 Proxy 建立私人 GKE 叢集」一文所述。

搭配使用 VPC Service Controls

VPC Service Controls 是 Google Cloud 可讓您設定安全防護範圍,以防範資料外洩的功能。如要瞭解如何搭配私人資源池使用 VPC Service Controls,進而為建構作業提供額外安全性,請參閱「使用 VPC Service Controls」。

移除私人集區中的公開 IP

您可以將私人集區設定檔中的 egressOption 欄位設為 NO_PUBLIC_EGRESS,藉此移除私人集區的公開 IP。不過請注意,移除公開 IP 會限制私人集區存取公開網際網路中的資源。

限制對公開網際網路的傳出流量

限制私人集區的流量從私人集區流向公開網際網路的方式有幾種:

強制使用私人集區

Cloud Build 提供 constraints/cloudbuild.allowedWorkerPools 組織政策限制,可用於強制執行機構中的建構作業,不使用預設集區,並只使用私人集區。如需這項功能的使用說明,請參閱「設定組織政策限制」。

搭配私人 Cloud DNS 區域使用

您可以共用私人 Cloud DNS 區域,以便與私人集區搭配使用。如需操作說明,請參閱「共用不公開區域」。

在 NAT 後方執行

雖然您可以控管 VPC 中私人資源池的 IP 範圍,但無法控管外部 IP 位址 (如果已啟用)。如果您需要透過保留的 IP 存取資源,請建立 Proxy VM,並完成「使用 Cloud Build 從靜態來源 IP 位址存取外部資源」一文中的步驟,藉此轉送流量。

後續步驟