Esta página foi traduzida pela API Cloud Translation.

Proteger apps e recursos do GKE com o IAP

Esta página explica como proteger uma instância do Google Kubernetes Engine (GKE) com o Identity-Aware Proxy (IAP).

Para proteger recursos que não estão no Google Cloud, consulte o artigo Proteger apps e recursos no local.

Vista geral

A CNA está integrada através do Ingress para o GKE. Esta integração permite-lhe controlar o acesso ao nível do recurso para os funcionários em vez de usar uma VPN.

Num cluster do GKE, o tráfego de entrada é processado pelo balanceamento de carga de HTTP(S), um componente do Cloud Load Balancing. O balanceador de carga HTTP(S) é normalmente configurado pelo controlador de entrada do Kubernetes. O controlador de entrada recebe informações de configuração de um objeto Ingress do Kubernetes associado a um ou mais objetos Service. Cada objeto Service contém informações de encaminhamento que são usadas para direcionar um pedido recebido para uma porta e um pod específicos.

A partir da versão 1.10.5-gke.3 do Kubernetes, pode adicionar a configuração do balanceador de carga associando um serviço a um objeto BackendConfig. O BackendConfig é uma definição de recurso personalizado (CRD) que é definida no repositório kubernetes/ingress-gce.

O controlador de entrada do Kubernetes lê as informações de configuração do BackendConfig e configura o equilibrador de carga em conformidade. Um BackendConfig contém informações de configuração específicas do Cloud Load Balancing e permite-lhe definir uma configuração separada para cada serviço de back-end do HTTP(S) Load Balancing.

Antes de começar

Para ativar o IAP para o GKE, precisa do seguinte:

Um Google Cloud projeto da consola com a faturação ativada.
Um grupo de uma ou mais instâncias do GKE, publicado por um equilibrador de carga HTTPS. O balanceador de carga deve ser criado automaticamente quando cria um objeto Ingress num cluster do GKE.
- Saiba como criar um Ingress para HTTPS.
Um nome de domínio registado no endereço do seu equilibrador de carga.
Código da app para verificar se todos os pedidos têm uma identidade.
- Saiba como obter a identidade do utilizador.

O IAP usa um cliente OAuth gerido pela Google para autenticar os utilizadores. Apenas os utilizadores na organização podem aceder à aplicação com a funcionalidade de IAP. Se quiser permitir o acesso a utilizadores externos à sua organização, consulte o artigo Ative o IAP para aplicações externas.

Ativar CNA

Passos seguintes

Defina regras de contexto mais detalhadas aplicando níveis de acesso.
Veja pedidos de acesso ativando os registos de auditoria do Cloud.
Saiba mais sobre as compras na app.
Saiba como configurar a RFC no GKE.
Saiba como configurar o Cloud Armor para o GKE.
Saiba mais sobre o recurso BackendConfig.