Cette page a été traduite par l'API Cloud Translation.

Sécuriser les applications et les ressources GKE avec IAP

Cette page explique comment sécuriser une instance Google Kubernetes Engine (GKE) avec Identity-Aware Proxy (IAP).

Pour sécuriser des ressources qui ne sont pas sur Google Cloud, consultez la page Sécuriser les applications et les ressources sur site.

Présentation

IAP est intégré via l'objet Entrée pour GKE. Cette intégration permet de contrôler l'accès des employés au niveau de la ressource au lieu d'utiliser un VPN.

Dans un cluster GKE, le trafic entrant est géré par l'équilibrage de charge HTTP(S), un composant de Cloud Load Balancing. L'équilibreur de charge HTTP(S) est généralement configuré par le contrôleur Ingress Kubernetes. Le contrôleur d'entrée obtient les informations de configuration à partir d'un objet Ingress Kubernetes associé à un ou plusieurs objets Service. Chaque objet Service contient des informations de routage qui permettent de diriger une requête entrante vers un pod et un port particuliers.

À partir de la version 1.10.5-gke.3 de Kubernetes, vous pouvez ajouter une configuration pour l'équilibreur de charge en associant un service à un objet BackendConfig. BackendConfig est une définition de ressource personnalisée (CRD, Custom Resource Definition) spécifiée dans le dépôt kubernetes/ingress-gce.

Le contrôleur Kubernetes Ingress lit les informations de configuration à partir de BackendConfig et configure l'équilibreur de charge en conséquence. BackendConfig contient les informations de configuration propres à Cloud Load Balancing et permet de définir une configuration distincte pour chaque service de backend de l'équilibrage de charge HTTP(S).

Avant de commencer

Pour activer IAP pour GKE, vous avez besoin des éléments suivants :

Un projet de console Google Cloud avec la facturation activée
Un groupe d'une ou de plusieurs instances GKE desservies par un équilibreur de charge HTTPS. L'équilibreur de charge doit se créer automatiquement lorsque vous créez un objet Ingress dans un cluster GKE.
- Découvrez comment créer un objet Ingress pour HTTPS.
Un nom de domaine enregistré à l'adresse de votre équilibreur de charge
Un code d'application pour vérifier que toutes les requêtes ont une identité.
- Découvrez comment obtenir l'identité de l'utilisateur.

IAP utilise un client OAuth géré par Google pour authentifier les utilisateurs. Seuls les utilisateurs de l'organisation peuvent accéder à l'application compatible avec IAP. Si vous souhaitez autoriser l'accès à des utilisateurs externes à votre organisation, consultez la section Activer IAP pour les applications externes.

Activer IAP

Étapes suivantes

Définissez des règles de contexte plus riches en appliquant des niveaux d'accès.
Consultez les demandes d'accès en activant les journaux d'audit Cloud.
Découvrez-en plus sur IAP.
Apprenez à configurer Cloud CDN sur GKE.
Apprenez à configurer Cloud Armor pour GKE.
Obtenez plus d'informations sur la ressource BackendConfig.