Protege tus apps y recursos de GKE con IAP

En esta página, se explica cómo proteger una instancia de Google Kubernetes Engine (GKE) con Identity-Aware Proxy (IAP).

Para proteger los recursos que no están en Google Cloud, consulta Protege las apps y los recursos locales.

Descripción general

IAP está integrado a través de Ingress para GKE. Esta integración te permite controlar el nivel de acceso de los empleados en lugar de usar una VPN.

En el clúster de GKE, el tráfico entrante es controlado por el balanceo de cargas de HTTP(S), un componente de Cloud Load Balancing. Por lo general, el balanceador de cargas de HTTP(S) está configurado por el controlador de Ingress de Kubernetes. El controlador de Ingress recibe información sobre la configuración de un objeto Ingress de Kubernetes, que está vinculado con uno o más objetos de Servicio. Cada objeto de servicio contiene información de enrutamiento que se usa para direccionar una solicitud entrante a un pod o puerto específico.

A partir de la versión Kubernetes 1.10.5-gke.3, tienes la posibilidad de agregar configuraciones al balanceador de cargas mediante la asociación de un servicio con un objeto de BackendConfig. BackendConfig es una definición personalizada de recurso (CRD) que está definida en el repositorio kubernetes/ingress-gce.

El controlador de ingreso de Kubernetes lee los datos de configuración provenientes de BackendConfig y configura el balanceador de cargas según corresponda. BackendConfig contiene datos de configuración específicos de Cloud Load Balancing y permite definir una configuración aparte para cada servicio de backend de balanceo de cargas de HTTP(S).

Antes de comenzar

Con el fin de habilitar IAP para GKE, necesitas lo siguiente:

Un proyecto de Google Cloud Console con facturación habilitada
Un grupo de una o más instancias de GKE entregadas mediante un balanceador de cargas de HTTPS. El balanceador de cargas debería crearse de forma automática cuando generas un objeto Ingress en un clúster de GKE
- Aprender cómo crear un Ingress para HTTPS NOTA: Ingress interno requiere una suscripción a BeyondCorp Enterprise.
Un nombre de dominio registrado con la dirección de tu balanceador de cargas
Código de la app para verificar que todas las solicitudes tengan una identidad
- Aprender cómo obtener la identidad del usuario

Habilita IAP

Configura la pantalla de consentimiento de OAuth

Si aún no configuraste la pantalla de consentimiento de OAuth de tu proyecto, debes hacerlo. Para esto, se requiere una dirección de correo electrónico y un nombre de producto.

Ve a la pantalla de consentimiento de OAuth.
Configuración de la pantalla de consentimiento
En Correo electrónico de asistencia, selecciona la dirección de correo electrónico que deseas mostrar como contacto público. La dirección de correo electrónico debe pertenecer a la cuenta de usuario con la que accediste o a un Grupo de Google al que pertenece el usuario con el que accediste.
Ingresa el Nombre de la aplicación que deseas mostrar.
Agrega otro tipo de información opcional que desees mostrar.
Haz clic en Guardar.

Para cambiar la información en la pantalla de consentimiento de OAuth más tarde, como el nombre del producto o la dirección de correo electrónico, repite los pasos anteriores para configurarla.

Crea credenciales de OAuth

Ve a la página Credenciales.
Ir a la página Credenciales
En el menú desplegable Crear credenciales, selecciona ID de cliente de OAuth.
En Tipo de aplicación, selecciona Aplicación web.
Agrega un nombre para tu ID de cliente de OAuth.
Haz clic en Crear.
Tu ID de cliente de OAuth y tu secreto de cliente se generan y se muestran en la ventana Cliente de OAuth.
En el diálogo Se creó el cliente de OAuth, copia el ID de cliente en el portapapeles.
Haz clic en OK.
Haga clic en el nombre del cliente que acaba de crear para volver a abrirlo y editarlo.
En el campo URI de redireccionamiento autorizados, ingresa la siguiente string:
```
https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect
```
En el ejemplo anterior, CLIENT_ID es el ID de cliente de OAuth que acabas de copiar en el portapapeles.

Configura el acceso de IAP

Ve a la página Identity-Aware Proxy.
Ir a la página Identity-Aware Proxy
Selecciona el proyecto que deseas proteger con IAP.
Selecciona la casilla de verificación junto al recurso al que deseas otorgar acceso.
En el panel lateral derecho, haz clic en Agregar principal.
En el cuadro de diálogo Agregar principales que aparece, ingresa las direcciones de correo electrónico de los grupos o personas que deberían tener la función de Usuario de app web protegida con IAP para el proyecto.
Los siguientes tipos de principales pueden tener esta función:
- Cuenta de Google: usuario@gmail.com
- Grupo de Google: administradores@googlegroups.com
- Cuenta de servicio: servidor@ejemplo.cuentadeserviciog.com
- Dominio de Google Workspace: example.com
Asegúrate de agregar una Cuenta de Google a la que tengas acceso.
En la lista desplegable Funciones, selecciona Cloud IAP > Usuario de app web protegida con IAP.
Haz clic en Guardar.

Configura BackendConfig

A fin de configurar BackendConfig para IAP, crea un secreto de Kubernetes y, luego, agrega un bloque iap a BackendConfig.

Crea un secreto de Kubernetes

BackendConfig usa un secreto de Kubernetes para unir el cliente OAuth que ya creaste. Los secretos de Kubernetes se administran como otros objetos de Kubernetes mediante la interfaz de línea de comandos (CLI) kubectl. Para crear un secreto, ejecuta el siguiente comando, en el que client_id_key y client_secret_key son las claves del archivo JSON que descargaste cuando creaste las credenciales de OAuth:

kubectl create secret generic my-secret --from-literal=client_id=client_id_key \
    --from-literal=client_secret=client_secret_key

El comando anterior muestra el resultado para confirmar cuando se crea correctamente el secreto:

secret "my-secret" created

Agrega un bloque `iap` a BackendConfig

A fin de configurar BackendConfig para IAP, debes especificar los valores enabled y secretName. Para especificar estos valores, asegúrate de tener el permiso compute.backendServices.update y agrega el bloque iap a BackendConfig. En este bloque, my-secret es el nombre del secreto de Kubernetes que creaste antes:

Para la versión de GKE 1.16.8-gke.3 y posteriores, usa la versión de la API “cloud.google.com/v1”. Si usas una versión de GKE anterior, usa “cloud.google.com/v1beta1”.

apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: config-default
  namespace: my-namespace
spec:
  iap:
    enabled: true
    oauthclientCredentials:
      secretName: my-secret

También debes asociar puertos de servicio a tu BackendConfig para activar IAP. Una forma de establecer esta asociación es hacer que todos los puertos del servicio sean predeterminados para tu BackendConfig, lo que puedes hacer si agregas la siguiente anotación a tu recurso de servicio:

metadata:
  annotations:
    beta.cloud.google.com/backend-config: '{"default": "config-default"}'

Para probar la configuración, ejecuta kubectl get event. Si ves el mensaje "no BackendConfig for service port exists", significa que asociaste correctamente un puerto de servicio a tu BackendConfig, pero el recurso de BackendConfig no se encontró. Este error puede ocurrir si no creaste el recurso BackendConfig, lo creaste en el espacio de nombres incorrecto o escribiste mal la referencia en la anotación del servicio.

Nota: IAP agrega el parámetro de búsqueda gcp-iap-mode=AUTHENTICATING a la solicitud redireccionada que se produce después de la autenticación de OAuth, por lo que debes asegurarte de verificar la configuración de enrutamiento del balanceador de cargas de Ingress para garantizar que las solicitudes redireccionadas se dirijan al servicio de backend correcto después de que un usuario se autentique a través de OAuth.

Si el secretName al que haces referencia no existe o no está estructurado correctamente, aparecerá uno de los siguientes mensajes de error:

BackendConfig default/config-default is not valid: error retrieving secret "foo": secrets "foo" not found. Para resolver este error, asegúrate de haber creado el secreto de Kubernetes correctamente, como se describió en la sección anterior.
BackendConfig default/config-default is not valid: secret "foo" missing client_secret data. Para solucionar este error, asegúrate de haber creado las credenciales de OAuth correctamente. Además, asegúrate de haber hecho referencia a las claves client_id y client_secret correctas en el archivo JSON que descargaste anteriormente.

Cuando la marca enabled se establece en true y secretName se establece de forma correcta, IAP se configura para el recurso seleccionado.

Desactiva IAP

Para desactivar IAP, debes configurar enabled en false en BackendConfig. Si borras el bloque de IAP de BackendConfig, la configuración se mantendrá. Por ejemplo, si IAP está habilitado con secretName: my_secret y borras el bloque, IAP se seguirá activando con las credenciales de OAuth almacenadas en my_secret,

Próximos pasos

Establece reglas de contexto enriquecidas mediante la aplicación de niveles de acceso.
Para ver las solicitudes de acceso, habilita los Registros de auditoría de Cloud.
Obtén más información sobre IAP.
Más información sobre cómo configurar Cloud CDN en GKE
Más información sobre cómo configurar Cloud Armor para GKE
Más información acerca del recurso de BackendConfig