En esta página se describe cómo usar Controles de Servicio de VPC para proteger IAP para el reenvío de TCP y cómo usar IAP para el reenvío de TCP dentro de un perímetro de Controles de Servicio de VPC.
Antes de empezar
Consulta la información general sobre Controles de Servicio de VPC.
Configura el uso del reenvío de TCP de IAP sin un perímetro de servicio.
Crea un perímetro de servicio con Controles de Servicio de VPC. Este perímetro de servicio protege los recursos gestionados por Google de los servicios que especifiques. Cuando crees el perímetro de servicio, haz lo siguiente:
Añade el proyecto que contiene la instancia de Compute Engine a la que quieres conectarte con IAP a los proyectos de tu perímetro de servicio. Si ejecutas un cliente de IAP para TCP en una instancia de Compute Engine, incluye también en el perímetro el proyecto que contiene esta instancia.
Añade la API TCP de Identity-Aware Proxy a la lista de servicios protegidos por tu perímetro de servicio.
Si has creado tu perímetro de servicio sin añadir los proyectos y los servicios que necesitas, consulta el artículo Gestionar perímetros de servicio para saber cómo actualizarlo.
Configurar los registros DNS con Cloud DNS
Si tu cliente de IAP para TCP, que probablemente sea Google Cloud CLI, no se ejecuta dentro de ningún perímetro, puedes saltarte este paso. Por otro lado, si ejecutas el cliente dentro de un perímetro, debes configurar los registros DNS de IAP para TCP.
IAP para TCP usa dominios que no son subdominios de
googleapis.com. Con Cloud DNS, añade registros DNS para asegurarte de que tu red VPC gestione correctamente las solicitudes enviadas a esos dominios. Para obtener más información sobre las rutas de VPC, consulta la descripción general de las rutas.
Sigue estos pasos para crear una zona gestionada para un dominio, añadir registros DNS para enrutar solicitudes y ejecutar la transacción. Puedes usar la CLI de gcloud con el terminal que prefieras o usar Cloud Shell, que tiene la CLI de gcloud preinstalada.
Configura el DNS de
*.googleapis.comcomo es habitual en las integraciones de Controles de Servicio de VPC.Recopila esta información para usarla al configurar tus registros DNS:
PROJECT_ID es el ID del proyecto que aloja tu red de VPC.
NETWORK_NAME es el nombre de la red de VPC en la que ejecutas tu cliente de IAP para TCP.
ZONE_NAME es el nombre de la zona que estás creando. Por ejemplo,
iap-tcp-zone.
Crea una zona gestionada privada para el dominio
tunnel.cloudproxy.apppara que la red de VPC pueda gestionarlo.gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=tunnel.cloudproxy.app \ --description="Description of your managed zone"
Inicia una transacción.
gcloud dns record-sets transaction start --zone=ZONE_NAME
Añade el siguiente registro A de DNS. De esta forma, se redirige el tráfico a la IP virtual restringida de Google.
gcloud dns record-sets transaction add \ --name=tunnel.cloudproxy.app. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
Añade el siguiente registro CNAME de DNS para que apunte al registro A que acabas de añadir. De esta forma, se redirige todo el tráfico que coincida con el dominio a las direcciones IP que se indican en el paso anterior.
gcloud dns record-sets transaction add \ --name="*.tunnel.cloudproxy.app." \ --type=CNAME tunnel.cloudproxy.app. \ --zone=ZONE_NAME \ --ttl=300
Ejecuta la transacción.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
Configurar DNS con BIND
En lugar de usar Cloud DNS, puedes usar BIND. En ese caso, sigue las instrucciones para configurar el DNS con BIND, pero usa IAP para dominios TCP en lugar de dominios googleapis.com generales.
Usar la VIP privada
En lugar de usar el VIP restringido, puede que sea posible usar el VIP privado, en función de cómo hayas configurado tu perímetro y tu red. Si prefieres hacerlo así, usa
199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11
en lugar de
199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7
en las instrucciones para configurar tus registros DNS.
Usar una VPC compartida
Si utilizas una VPC compartida, debes añadir los proyectos host y de servicio al perímetro de servicio. Consulta Gestionar perímetros de servicio.
Siguientes pasos
- Consulta Gestionar perímetros de servicio para añadir más recursos a tu perímetro de servicio.