Proteger aplicaciones y recursos de GKE con IAP

En esta página se explica cómo proteger una instancia de Google Kubernetes Engine (GKE) con Identity-Aware Proxy (IAP).

Para proteger los recursos que no están en Google Cloud, consulta Proteger aplicaciones y recursos on-premise.

Información general

IAP se integra a través de Ingress para GKE. Esta integración te permite controlar el acceso a nivel de recurso de los empleados en lugar de usar una VPN.

En un clúster de GKE, el tráfico entrante se gestiona mediante el balanceo de carga HTTP(S), un componente de Cloud Load Balancing. El balanceador de carga HTTP(S) se configura normalmente mediante el controlador Ingress de Kubernetes. El controlador Ingress obtiene información de configuración de un objeto Ingress de Kubernetes asociado a uno o varios objetos Service. Cada objeto Service contiene información de enrutamiento que se usa para dirigir una solicitud entrante a un pod y un puerto concretos.

A partir de la versión 1.10.5-gke.3 de Kubernetes, puedes añadir la configuración del balanceador de carga asociando un servicio a un objeto BackendConfig. BackendConfig es una definición de recurso personalizado (CRD) que se define en el repositorio kubernetes/ingress-gce.

El controlador Ingress de Kubernetes lee la información de configuración de BackendConfig y configura el balanceador de carga en consecuencia. Un BackendConfig contiene información de configuración específica de Cloud Load Balancing y te permite definir una configuración independiente para cada servicio de backend de balanceo de carga HTTP(S).

Antes de empezar

Para habilitar IAP en GKE, necesitas lo siguiente:

  • Un proyecto de la consola de Google Cloud con la facturación habilitada. Google Cloud
  • Grupo de una o varias instancias de GKE, atendidas por un balanceador de carga HTTPS. El balanceador de carga se debe crear automáticamente cuando crees un objeto Ingress en un clúster de GKE.
  • Un nombre de dominio registrado en la dirección de tu balanceador de carga.
  • Código de la aplicación para verificar que todas las solicitudes tienen una identidad.

IAP usa un cliente de OAuth gestionado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación con IAP. Si quieres permitir el acceso a usuarios ajenos a tu organización, consulta Habilitar las compras en aplicaciones para aplicaciones externas.

Habilitar IAP

Si aún no has configurado la pantalla de consentimiento de OAuth para tu proyecto, se te solicitará hacerlo. Para configurar la pantalla de consentimiento de OAuth, consulta Configura la pantalla de consentimiento de OAuth.

Si ejecutas clústeres de GKE de la versión 1.24 o posterior, puedes configurar la IAP y GKE con la API de Kubernetes Gateway. Para ello, completa los siguientes pasos y, luego, sigue las instrucciones que se indican en Configura IAP. No configures BackendConfig.

Configura el acceso de IAP

  1. Ve a la página Identity-Aware Proxy.
    Ir a la página Identity-Aware Proxy
  2. Selecciona el proyecto que deseas proteger con IAP.

  3. Selecciona la casilla de verificación junto al recurso al que deseas otorgar acceso.

    Si no ves un recurso, asegúrate de que se haya creado y de que el controlador de entrada de Compute Engine de BackendConfig esté sincronizado.

    Para verificar que el servicio de backend esté disponible, ejecuta el siguiente command de gcloud:

    gcloud compute backend-services list
  4. En el panel de la derecha, haz clic en Agregar principal.
  5. En el cuadro de diálogo Agregar principales que aparece, ingresa las direcciones de correo electrónico de los grupos o personas a quienes se debe asignar la función Usuario de app web protegida con IAP para el proyecto.

    Los siguientes tipos de cuentas principales pueden tener este rol:

    • Cuenta de Google: usuario@gmail.com
    • Grupo de Google: administradores@googlegroups.com
    • Cuenta de servicio: servidor@ejemplo.gserviceaccount.com
    • Dominio de Google Workspace: example.com

    Asegúrate de agregar una Cuenta de Google a la que tengas acceso.

  6. En la lista desplegable Funciones, selecciona Cloud IAP > Usuario de aplicación web protegida con IAP.
  7. Haz clic en Guardar.

Configura BackendConfig

Para configurar un BackendConfig para IAP, agrega un bloque iap.

Agrega un bloque iap a BackendConfig

Para configurar BackendConfig para IAP, debes especificar el valor enabled. Asegúrate de tener el permiso compute.backendServices.update y agrega el bloque iap a BackendConfig.

Para las versiones de GKE 1.16.8-gke.3 y posteriores, usa la versión de la API cloud.google.com/v1. Si usas una versión anterior de GKE, usa cloud.google.com/v1beta1. 

apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: CONFIG_DEFAULT
  namespace: my-namespace
spec:
  iap:
    enabled: true

Asocia un puerto de servicio a un BackendConfig

También debes asociar puertos de servicio a tu BackendConfig para activar IAP. Una forma de establecer esta asociación es hacer que todos los puertos del servicio sean predeterminados para tu BackendConfig, lo que puedes hacer si agregas la siguiente anotación a tu recurso de servicio: 

metadata:
  annotations:
    beta.cloud.google.com/backend-config: '{"default": "CONFIG_DEFAULT"}'

Verifica el BackendConfig

Para probar la configuración, ejecuta kubectl get event. Si ves el mensaje "no BackendConfig for service port exists", significa que asociaste correctamente un puerto de servicio a tu BackendConfig, pero el recurso de BackendConfig no se encontró. Este error puede ocurrir si no creaste el recurso BackendConfig, lo creaste en el espacio de nombres incorrecto o escribiste mal la referencia en la anotación del servicio.

Desactiva IAP

Para desactivar IAP, debes configurar enabled en false en BackendConfig. Si borras el bloque de IAP de BackendConfig, la configuración se mantendrá. Por ejemplo, si IAP está habilitado y borras el bloque, IAP se seguirá activando.

Pasos siguientes