EIKON Technology

logo Eikon
Menu

GKE

Google Cloud

Opsi Isolasi Dan Konektivitas Bidang Kontrol Baru untuk Klaster Google Kubernetes Engine

Dahulu, Sekali waktu, semua klaster Google Kubernetes Engine (GKE) menggunakan pengalamatan IP publik untuk komunikasi antar node dan bidang kontrol. Setelah muncul masalah keamanan, GKE memperkenalkan klaster pribadi yang diaktifkan oleh VPC peering. Untuk mengonsolidasikan jenis konektivitas, mulai Maret 2022, GKE menggunakan Private Service Connect (PSC) Google Cloud untuk komunikasi klaster publik baru antara control plane dan node cluster GKE. Pada akhir Desember, GKE menghadirkan framework berbasis PSC baru untuk konektivitas bidang kontrol GKE dari node cluster. Selain itu, GKE juga meluncurkan rangkaian fitur baru yang menyertakan isolasi kluster di bidang kontrol dan level kumpulan node: Klaster GKE. Arsitektur baru Google Kubernetes Engine Sejak GKE versi 1.23 dan yang lebih baru, semua klaster publik baru yang dibuat pada atau setelah tanggal 15 Maret 2022 mulai menggunakan infrastruktur PSC Google Cloud untuk berkomunikasi antara bidang kontrol klaster GKE dan node. PSC menyediakan kerangka kerja konsisten yang membantu menghubungkan berbagai jaringan melalui pendekatan jaringan layanan, memungkinkan produsen layanan dan konsumen berkomunikasi menggunakan alamat IP pribadi internal ke VPC. Baca juga: Cost Estimator, Fitur Baru GKE untuk Perkiraan Biaya yang Lebih Akurat Manfaat terbesar dari perubahan ini adalah membantu pengguna dalam menggunakan fitur yang mengaktifkan PSC untuk klaster GKE. Photo Credit: Google Cloud Blog Serangkaian kemampuan isolasi klaster baru ini merupakan bagian dari evolusi menuju postur klaster GKE yang lebih skalabel dan aman. Sebelumnya, klaster GKE pribadi diaktifkan dengan VPC peering. Dengan rangkaian fitur ini, kini Anda memiliki kemampuan untuk: Memperbarui bidang kontrol klaster GKE untuk membatasi akses ke endpoint pribadi. Membuat atau memperbarui kumpulan node cluster GKE dengan node publik atau pribadi. Mengaktifkan atau menonaktifkan akses bidang kontrol klaster GKE dari IP milik Google. Selain itu, infrastruktur PSC baru dapat memberikan penghematan biaya. Secara tradisional, komunikasi bidang kontrol dikenakan biaya untuk klaster publik sebagai biaya IP publik normal. Dengan infrastruktur PSC, GKE menghilangkan biaya komunikasi antara bidang kontrol dan node klaster Anda, sehingga menjadi lebih terjangkau. Berikut adalah beberapa kapabilitas baru yang bisa Anda nikmati. Izinkan akses ke bidang kontrol hanya melalui endpoint pribadi Pengguna klaster pribadi telah lama memiliki kemampuan untuk membuat bidang kontrol dengan endpoint publik dan pribadi. Kini GKE memperluas fleksibilitas yang sama ke klaster GKE publik berdasarkan PSC. Dengan ini, Anda bisa memiliki akses khusus pribadi ke bidang kontrol GKE, tapi semua kumpulan node tetap bersifat publik. Model ini memberikan postur keamanan yang lebih ketat untuk bidang kontrol, sambil membiarkan Anda memilih node cluster yang dibutuhkan, berdasarkan penerapan. Untuk mengaktifkan akses hanya ke endpoint pribadi di bidang kontrol, gunakan perintah gcloud berikut: gcloud container clusters update CLUSTER_NAME \ –enable-private-endpoint Konfigurasikan akses dari Google Cloud Photo Credit: DilokaStudio (Freepik) Dalam beberapa skenario, pengguna telah mengidentifikasi beban kerja di luar klaster GKE mereka. Misalnya, aplikasi yang berjalan di Cloud Run atau VM GCP apa pun yang bersumber dari IP publik Google Cloud diizinkan untuk mencapai bidang kontrol klaster. Untuk memitigasi potensi masalah keamanan, GKE dilengkapi dengan fitur yang memungkinkan Anda mengalihkan akses ke bidang kontrol klaster dari sumber tersebut. Untuk menghapus akses IP publik Google Cloud ke bidang kontrol, gunakan perintah gcloud berikut: gcloud container clusters update CLUSTER_NAME \ –no-enable-google-cloud-access Baca juga: Inovasi Baru Google Sambut Era Baru Desain Sistem, Lebih Andal dan Aman Dengan serangkaian fitur baru ini, semua komunikasi IP publik untuk klaster GKE Anda pun dapat dihapus. Itu artinya, Anda dapat menjadikan klaster GKE sepenuhnya pribadi. Selain itu, Anda dapat menggunakan REST API atau Terraform Providers untuk benar-benar membangun klaster GKE berbasis PSC baru dengan kumpulan default node untuk memiliki node pribadi. Hal ini dapat dilakukan dengan menyetel kolom enablePrivateNodes ke true. Saat mengevaluasi apakah Anda siap untuk memindahkan tipe klaster GKE berbasis PSC ini untuk memanfaatkan isolasi klaster pribadi, perlu diingat bahwa endpoint pribadi bidang kontrol memiliki batasan berikut: Alamat pribadi di URL untuk webhook baru atau lama yang Anda konfigurasikan tidak didukung. Untuk mengurangi ketidakcocokan ini dan menetapkan alamat IP internal ke URL untuk webhook, siapkan webhook ke alamat pribadi dengan URL, buat layanan tanpa kepala tanpa pemilih dan titik akhir yang sesuai untuk tujuan yang diperlukan. Endpoint pribadi bidang kontrol saat ini tidak dapat diakses dari sistem lokal. Baca juga: Apa Itu Metrik Bidang Kontrol Kubernetes yang Baru Diluncurkan Di GKE? Google Kubernetes Engine atau GKE merupakan platform unggulan yang dimiliki oleh Google Cloud. Dapatkan solusi Google Cloud yang telah disesuaikan dengan penggunaan skala besar hanya di EIKON Technology. Kami merupakan authorized reseller resmi yang dipilih langsung oleh Google untuk melakukan distribusi di Indonesia. Untuk mulai berlangganan, hubungi kami di sini!

Google Cloud

Memahami Jaringan Dasar Google Kubernetes Engine

Google Kubernetes Engine atau GKE merupakan sebuah platform open-source yang dapat dimanfaatkan untuk mengelola beban kerja dan layanan containerized yang berjalan di lingkungan terkelola sepenuhnya, memanfaatkan infrastruktur Google Cloud. Artikel kali ini akan menjelaskan apa saja jaringan dasar GKE serta cara kerjanya. Mari simak bersama. IP addressing Photo Credit: jannoon028 (Freepik) Beragam komponen jaringan di Kubernetes memanfaatkan alamat dan port IP untuk berkomunikasi. Alamat IP sendiri merupakan alamat unik yang digunakan untuk mengidentifikasi beragam komponen di dalam jaringan. Komponen-komponen Google Kubernetes Engine  Container: Komponen terkecil untuk menjalankan proses-proses di dalam aplikasi. Pod: Kumpulan container yang secara fisik dikelompokkan bersama. Node: Mesin pekerja dalam sebuah klaster yang terdiri dari beberapa pods.  Layanan yang tersedia di Google Kubernetes Engine ClusterIP: Menetapkan alamat ke layanan. Load balancer: Memuat traffic internal penyeimbang atau traffic eksternal ke node dalam klaster. Ingress: Jenis Load balancer khusus yang menangani traffic HTTP(S). Alamat IP ditetapkan dari berbagai subnet ke komponen dan layanan. Variable length subnet mask (VLSM) digunakan untuk membuat blok CIDR. Jumlah host yang tersedia pada subnet tergantung pada subnet mask yang digunakan. Alur penetapan alamat akan IP terlihat seperti ini: Node diberi alamat IP dari klaster jaringan VPC. Alamat IP penyeimbang beban internal secara default ditetapkan dari blok Node IPv4. Jika perlu, Anda dapat membuat rentang tertentu untuk penyeimbang beban dan menggunakan opsi loadBalancerIP untuk menentukan alamat dari rentang tersebut. Pod diberikan alamat dari berbagai alamat Pod yang berjalan pada node tersebut. Pod maks default per node adalah 110. Untuk mengalokasikan alamat ke nomor ini jumlahnya dikalikan dengan 2 (110*2=220) dan subnet terdekat digunakan yaitu /24. Ini memungkinkan buffer untuk penjadwalan pod. Batas ini dapat disesuaikan pada waktu pembuatan. Container berbagi alamat IP dari Pod yang mereka jalankan. Alamat layanan (IP cluster) ditetapkan dari kumpulan alamat yang disediakan untuk layanan. Baca juga: Cost Estimator: Fitur Baru GKE untuk Perkiraan Biaya yang Lebih Akurat Domain Naming System (DNS) Photo Credit: Rawpixel DNS memungkinkan resolusi nama ke alamat IP. Ini memungkinkan entri nama otomatis dibuat untuk layanan. Ada beberapa opsi di GKE, yaitu: kube-dns: Layanan add-on asli Kubernetes. Kube-dns berjalan pada penerapan yang diekspos melalui IP cluster. Secara default, pod dalam sebuah klaster menggunakan layanan ini untuk kueri DNS. Cloud DNS: Layanan terkelola Google Cloud DNS yang dapat digunakan untuk mengelola klaster DNS. Load Balancers Mengontrol akses dan mendistribusikan traffic di seluruh resources yang berantakan. Beberapa opsi di Google Kubernetes Engine adalah Internal Load balancers dan External Load balancers. Baca juga: Penerapan Keamanan Zero Trust pada Workload dengan GKE, Traffic Director, dan CA Service Ingress Photo Credit: Google Cloud Blog Berfungsi menangani traffic HTTP(S) yang ditujukan ke layanan di klaster Anda. Layanan ini menggunakan resources tipe Ingress. Saat digunakan, ini akan membuat penyeimbang beban HTTP(S) untuk GKE. Saat mengonfigurasi, Anda dapat menetapkan alamat IP statis ke penyeimbang beban, untuk memastikan alamat tidak berubah. Dengan GKE, Anda dapat menyediakan Ingress eksternal dan internal. GKE juga memungkinkan Anda memanfaatkan load balancing container-native yang mengarahkan traffic langsung ke IP pod menggunakan Network Endpoint Groups (NEGs). Operations Di GKE Anda memiliki beberapa cara untuk mendesain jaringan klaster, yaitu: Standard: Mode ini memungkinkan admin untuk mengonfigurasi infrastruktur yang mendasari klaster. Mode ini bermanfaat jika Anda membutuhkan tingkat kontrol yang lebih dalam. Autopilot: GKE menyediakan dan mengelola infrastruktur dasar klaster. Cara ini telah dikonfigurasi sebelumnya untuk memberi Anda sedikit kebebasan manajemen. Private Cluster: Dapat digunakan ketika Anda memerlukan klien untuk memiliki akses ke internet (misalnya untuk pembaruan. Perlu diingat, cara ini hanya mengizinkan koneksi IP internal. Private Service Access: Memungkinkan VPC Anda berkomunikasi dengan service producer services melalui alamat IP pribadi. Baca juga: Memahami Keamanan Infrastruktur Google Cloud Google Kubernetes Engine menawarkan cara sederhana untuk menyiapkan Cluster Kubernetes. Layanan ini dirancang khusus untuk mendukung penerapan Kubernetes terkelola di Google Cloud, memungkinkan Anda mendapat praktik langsung dalam mengonfigurasi image Docker, container, dan menerapkan aplikasi Kubernetes yang lengkap. Google Kubernetes Engine telah terintegrasi dengan Google Cloud sehingga memudahkan Anda dalam manajemen klaster melalui komputasi awan. EIKON Technology menyediakan solusi Google Cloud resmi, berlisensi, dan tentunya dapat disesuaikan untuk kebutuhan perusahaan. Untuk informasi selengkapnya, silakan klik di sini.

Google Cloud

Cost Estimator: Fitur Baru GKE untuk Perkiraan Biaya yang Lebih Akurat

Pernahkah Anda bertanya-tanya berapa biaya untuk menjalankan klaster Google Kubernetes Engine (GKE) tertentu? Apakah konfigurasi dan fitur yang Anda pilih akan memengaruhi total tagihan? Adakah potensi penskalaan otomatis pada tagihan GKE Anda? Saat Anda baru mulai menggunakan GKE, pasti pernah coba memperkirakan hal-hal tersebut sendiri. Namun pada akhirnya, semua itu sering kali menjadi teka-teki yang tak terjawab. Terlebih jika Anda tidak memiliki banyak titik referensi dari infrastruktur yang ada. Baru-baru ini Google Cloud meluncurkan fitur Cost Estimator untuk GKE dalam format pratinjau (preview). Fitur baru ini telah terintegrasi langsung dengan Google Cloud Console sehingga lebih mudah untuk dijalankan. Lalu, bagaimana cara kerjanya sendiri? Mengenal GKE Cost Estimator Photo Credit: Google Cloud Blog Ada banyak sekali fitur yang tersedia di Google Kubernetes Engine (GKE). Cost Estimator ini menjadi fitur pendatang baru yang siap membantu Anda untuk memahami sekaligus mengoptimalkan lingkungan GKE. Misalnya, mengetahui perkiraan biaya agar dapat melakukan penyesuaian beban kerja GKE. Bisa juga memanfaatkan fitur Autopilot untuk membayar sumber daya untuk Pod yang sudah Anda jadwalkan sehingga tidak perlu mengelola biaya node. Fitur Cost Estimator didesain untuk mendukung misi Google Cloud sebagai layanan cloud yang paling hemat biaya sekaligus memiliki performa terbaik. Sejalan dengan misi tersebut, tentunya harus ada transparansi mengenai biaya yang dibebankan kepada pelanggan. Dengan begitu, pelanggan pun lebih nyaman saat menggunakan berbagai fitur dan layanan di dalamnya. Baca juga: Penerapan Keamanan Zero Trust pada Workload dengan GKE, Traffic Director, Dan CA Service Cara kerja GKE Cost Estimator Fitur Cost Estimator dari GKE ini sebenarnya merupakan bagian dari alur pembuatan klaster GKE. Di dalamnya Anda bisa menemukan sejumlah variabel yang dapat memengaruhi biaya pengoperasian komputasi Anda. Selain itu, fitur ini juga memungkinkan Anda untuk bisa melihat rincian biaya pengelolaan, kumpulan node individual, hingga lisensi. Anda juga dapat menggunakannya untuk mempelajari cara mengaktifkan mekanisme penskalaan otomatis yang akan memengaruhi perkiraan pengeluaran biaya, dengan mengubah ukuran estimasi klaster rata-rata. Photo Credit: Google Cloud Blog Kelemahan GKE Cost Estimator Sayangnya, Fitur Cost Estimator dari GKE ini tidak memiliki visibilitas ke seluruh lingkungan komputasi Anda (misalnya, jaringan, logging atau jenis diskon tertentu). Meski begitu, Anda bisa tetap mendapatkan perkiraan keseluruhan dengan tingkat akurasi tinggi. Dengan begitu, Anda pun bisa lebih memahami struktur biaya komputasi GKE. Anda juga bisa menggabungkan fitur ini dengan fitur lain dari GKE seperti Proactive Estimator for Cluster Autoscaler atau Node Auto-provisioning. Kombinasi ini akan menghasilkan perkiraan biaya yang lebih presisi dan jauh lebih mudah dibanding penghitungan manual. Cukup masukkan konfigurasi yang Anda inginkan. Setelah itu, gunakan bilah geser yang disediakan untuk memilih perkiraan nilai rata-rata yang mewakili klaster Anda. Tanpa menunggu lama, sistem pun akan langsung menampilkan perkiraan biaya. Baca juga: Perkuat Perlindungan VM GCE Anda dengan Kunci Keamanan Baru FIDO Google Kubernetes Engine atau GKE merupakan platform unggulan yang dimiliki oleh Google Cloud. Dengan berbagai fitur dan layanan di dalamnya, Anda dapat melakukan otomatisasi peluncuran software lebih cepat. Terlebih, GKE juga terintegrasi dengan platform lain yang masih ada dalam ekosistem Google Cloud sehingga memudahkan Anda untuk bekerja secara efisien. Untuk menggunakan GKE, Anda bisa mulai dengan berlangganan solusi komputasi awan Google Cloud. Dapatkan solusi Google Cloud yang telah disesuaikan dengan penggunaan skala besar hanya di EIKON Technology. Kami merupakan authorized reseller resmi yang dipilih langsung oleh Google untuk melakukan distribusi di Indonesia. Untuk mulai berlangganan, hubungi kami di sini.

Google Cloud

Perkuat Perlindungan VM GCE Anda dengan Kunci Keamanan Baru FIDO

Setelah rilis versi 8.2 dua tahun lalu, kini OpenSSH memperkenalkan otentikasi FIDO sebagai salah satu opsi dukungan. Itu artinya, kunci pribadi SSH Anda dapat disimpan dan dilindungi dalam keamanan khusus. Cara ini jauh lebih aman dibanding menyimpan kunci pada disk lokal yang lebih rentan disusupi. Lebih lanjut, kapabilitas tersebut juga dikembangkan untuk proses otentikasi virtual machine (VM) dari Google Compute Engine atau GCE yang menggunakan layanan OS Login untuk pengelolaan SSH (Secure Shell). Bagaimana cara kerjanya? Mengenal OpenSSH OpenSSH (atau kadang disebut OpenBSD Secure Shell) merupakan rangkaian utilitas dengan jaringan aman yang dirancang berdasarkan protokol SSH (Secure Shell). Suite ini menyediakan sebuah saluran aman melalui sebuah jaringan tidak aman di dalam sebuah arsitektur client-server. OpenSSH pada dasarnya bukanlah suatu program komputer tunggal, melainkan merupakan serangkaian program yang berfungsi sebagai alternatif untuk protokol tidak terenkripsi seperti Telnet dan FTP (File Transfer Protocol). Suite ini juga telah terintegrasi ke beberapa sistem operasi seperti Microsoft Windows, macOS, dan bahkan sebagian besar Linux. Tersedia juga versi portabel yang ada pada sistem lain. Baca juga: Meningkatkan Keamanan Akses Penyimpanan Data Google Cloud Melalui Enkripsi Data Ubiquitous Otentikasi FIDO FIDO atau Fast Identity Online merupakan sistem otentikasi yang didesain untuk menyelesaikan masalah kekurangan interoperabilitas antar perangkat otentikasi. Anda sering kesulitan mengingat password dan username karena banyaknya aplikasi serta perangkat yang digunakan? Nah, FIDO dirancang untuk mengatasi masalah tersebut. FIDO menawarkan dua rangkaian protokol otentikasi standar, yaitu FIDO U2F (Universal Second Factor) dan FIDO UAF. Keduanya ada dalam arsitektur FIDO yang melayani berbagai pengalaman pengguna saat menggunakan internet. Otentikasi FIDO dalam OpenSSH Photo Credit: Piqsels Pembaruan ini akan mempermudah perlindungan akses menuju VM sensitif dengan menyiapkan otentikasi FIDO ke host dan secara fisik melindungi kunci yang digunakan sebagai pemberi akses. Meski begitu, Anda mungkin masih mempertanyakan bagaimana keamanan di sekitar proses manual untuk menghasilkan dan menyimpan kunci FIDO. Belum lagi masalah siklus hidup kunci keamanan fisik yang bisa membuat Anda kehilangan akses menuju host SSH. Akan selalu ada kemungkinan terkunci jika Anda kehilangan atau salah meletakkan kunci. Google Cloud memberikan solusi dengan melakukan integrasi dukungan tingkat akun industry-first untuk kunci keamanan FIDO dengan SSH. Jadi, Anda bisa mendapatkan semua manfaat otentikasi FIDO saat login SSH tanpa kekurangan apa pun. Mengaktifkan dukungan kunci keamanan lewat OS Login Sekarang, ketika Anda mengaktifkan dukungan kunci keamanan melalui OS Login untuk VM GCE, salah satu kunci keamanan Anda diperlukan untuk menyelesaikan proses login. Satu kunci keamanan yang dikonfigurasi pada akun Google Anda akan langsung diterima saat login. Apabila kehilangan kunci keamanan, Anda bisa dengan mudah memperbarui konfigurasi kunci keamanan (yaitu dengan menghapus kunci yang hilang dan menambahkan kunci baru) dan VM secara otomatis akan mulai menerima konfigurasi baru pada proses login selanjutnya. Photo Credit: Google Cloud Blog Jika diperlukan, dukungan kunci keamanan FIDO OS Login selanjutnya dapat digabungkan dengan Verifikasi 2 Langkah. Cara ini akan menambahkan lapisan keamanan ekstra dengan sistem otentikasi dua faktor (2FA). Saat sistem ini diaktifkan, pengguna harus memiliki kunci keamanan yang tersedia dan membuktikan akses resmi ke akun Google mereka pada saat login ke instance GCE mereka melalui faktor tambahan. Baca juga: Penerapan Keamanan Zero Trust pada Workload dengan GKE, Traffic Director, dan CA Service Proses otentikasi sangat penting untuk melindungi keamanan akses data. Dengan adanya sistem otentikasi FIDO pada OpenSSH, Anda bisa memastikan keamanan kunci pribadi lebih mudah dan efisien. Sayangnya, terkadang proses otentikasi yang berlapis bisa sangat memakan waktu. Google Cloud dengan integrasi dukungan tingkat akun hadir sebagai solusi atas permasalahan tersebut. Anda juga bisa menemukan beragam solusi penyimpanan dan keamanan data dengan Google Cloud. Dapatkan solusi komputasi awan tercanggih yang bisa disesuaikan menurut kebutuhan perusahaan Anda dengan Google Cloud. Tertarik untuk mencoba Google Cloud? Kami dari EIKON Technology siap membantu Anda. Untuk terhubung langsung dengan tim EIKON Technology terkait Google Cloud, silakan klik di sini!

Scroll to Top