Halaman ini diterjemahkan oleh Cloud Translation API.

Mengamankan aplikasi dan resource GKE dengan IAP

Halaman ini menjelaskan cara mengamankan instance Google Kubernetes Engine (GKE) dengan Identity-Aware Proxy (IAP).

Untuk mengamankan resource yang tidak ada di Google Cloud, lihat Mengamankan aplikasi dan resource lokal.

Ringkasan

IAP terintegrasi melalui Ingress untuk GKE. Integrasi ini memungkinkan Anda mengontrol akses tingkat resource untuk karyawan, bukan menggunakan VPN.

Di cluster GKE, traffic masuk ditangani oleh Load Balancing HTTP(S), komponen dari Cloud Load Balancing. Load balancer HTTP(S) biasanya dikonfigurasi oleh pengontrol Kubernetes Ingress. Pengontrol Ingress mendapatkan informasi konfigurasi dari objek Ingress Kubernetes yang dikaitkan dengan satu atau beberapa objek Layanan. Setiap objek Layanan menyimpan informasi pemilihan rute yang digunakan untuk mengarahkan permintaan masuk ke Pod dan port tertentu.

Mulai Kubernetes versi 1.10.5-gke.3, Anda dapat menambahkan konfigurasi untuk load balancer dengan mengaitkan Layanan dengan objek BackendConfig. BackendConfig adalah definisi resource kustom (CRD) yang ditentukan di repositori kubernetes/ingress-gce.

Pengontrol Ingress Kubernetes membaca informasi konfigurasi dari BackendConfig dan menyiapkan load balancer yang sesuai. BackendConfig menyimpan informasi konfigurasi yang khusus untuk Cloud Load Balancing, dan memungkinkan Anda menentukan konfigurasi terpisah untuk setiap layanan backend Load Balancing HTTP(S).

Sebelum memulai

Untuk mengaktifkan IAP untuk GKE, Anda memerlukan hal berikut:

Project konsol Google Cloud dengan penagihan diaktifkan.
Grup satu atau beberapa instance GKE, yang ditayangkan oleh load balancer HTTPS. Load balancer akan dibuat secara otomatis saat Anda membuat objek Ingress di cluster GKE.
- Pelajari cara membuat Ingress untuk HTTPS.
Nama domain yang terdaftar ke alamat load balancer Anda.
Kode aplikasi untuk memverifikasi bahwa semua permintaan memiliki identitas.
- Pelajari cara mendapatkan identitas pengguna.

IAP menggunakan klien OAuth yang dikelola Google untuk mengautentikasi pengguna. Hanya pengguna dalam organisasi yang dapat mengakses aplikasi yang mengaktifkan IAP. Jika Anda ingin mengizinkan akses kepada pengguna di luar organisasi, lihat Mengaktifkan IAP untuk aplikasi eksternal.

Mengaktifkan IAP

Langkah berikutnya

Tetapkan aturan konteks yang lebih lengkap dengan menerapkan tingkat akses.
Lihat permintaan akses dengan mengaktifkan Cloud Audit Logs.
Pelajari IAP lebih lanjut.
Pelajari cara menyiapkan Cloud CDN di GKE.
Pelajari cara mengonfigurasi Cloud Armor untuk GKE.
Pelajari resource BackendConfig lebih lanjut.