Se usó la API de Cloud Translation para traducir esta página.

Protege tus apps y recursos de GKE con IAP

En esta página, se explica cómo proteger una instancia de Google Kubernetes Engine (GKE) con Identity-Aware Proxy (IAP).

Para proteger los recursos que no están en Google Cloud, consulta Protege las apps y los recursos locales.

Descripción general

IAP está integrado a través de Ingress para GKE. Esta integración te permite controlar el nivel de acceso de los empleados en lugar de usar una VPN.

En el clúster de GKE, el tráfico entrante es controlado por el balanceo de cargas de HTTP(S), un componente de Cloud Load Balancing. Por lo general, el balanceador de cargas de HTTP(S) está configurado por el controlador de Ingress de Kubernetes. El controlador de Ingress recibe información sobre la configuración de un objeto Ingress de Kubernetes, que está vinculado con uno o más objetos de Servicio. Cada objeto de servicio contiene información de enrutamiento que se usa para direccionar una solicitud entrante a un pod o puerto específico.

A partir de la versión Kubernetes 1.10.5-gke.3, tienes la posibilidad de agregar configuraciones al balanceador de cargas mediante la asociación de un servicio con un objeto de BackendConfig. BackendConfig es una definición personalizada de recurso (CRD) que está definida en el repositorio kubernetes/ingress-gce.

El controlador de ingreso de Kubernetes lee los datos de configuración provenientes de BackendConfig y configura el balanceador de cargas según corresponda. BackendConfig contiene datos de configuración específicos de Cloud Load Balancing y permite definir una configuración aparte para cada servicio de backend de balanceo de cargas de HTTP(S).

Antes de comenzar

Con el fin de habilitar IAP para GKE, necesitas lo siguiente:

Un proyecto de Google Cloud console con facturación habilitada
Un grupo de una o más instancias de GKE entregadas mediante un balanceador de cargas de HTTPS. El balanceador de cargas debería crearse de forma automática cuando generas un objeto Ingress en un clúster de GKE
- Aprende cómo crear un Ingress para HTTPS
Un nombre de dominio registrado con la dirección de tu balanceador de cargas
Un código de la aplicación para verificar que todas las solicitudes tengan una identidad
- Aprender cómo obtener la identidad del usuario

IAP usa un cliente de OAuth administrado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación habilitada para IAP. Si deseas permitir el acceso a usuarios fuera de tu organización, consulta Habilita IAP para aplicaciones externas.

Habilita IAP

Próximos pasos

Establece reglas de contexto enriquecidas mediante la aplicación de niveles de acceso.
Para ver las solicitudes de acceso, habilita los Registros de auditoría de Cloud.
Obtén más información sobre IAP.
Más información sobre cómo configurar Cloud CDN en GKE
Más información sobre cómo configurar Cloud Armor para GKE
Más información acerca del recurso de BackendConfig