Questa pagina descrive come utilizzare i Controlli di servizio VPC per proteggere IAP per l'inoltro TCP e come utilizzare IAP per l'inoltro TCP all'interno di un perimetro dei Controlli di servizio VPC.
Prima di iniziare
Leggi la panoramica dei Controlli di servizio VPC.
Configura l'utilizzo del forwarding TCP IAP senza un perimetro di servizio.
Crea un perimetro di servizio utilizzando Controlli di servizio VPC. Questo perimetro di servizio protegge le risorse dei servizi gestiti da Google che hai specificato. Quando crei il perimetro di servizio:
Aggiungi il progetto che contiene l'istanza Compute Engine a cui vuoi connetterti con IAP ai progetti all'interno del tuo perimetro di servizio. Se esegui un client IAP per TCP su un'istanza Compute Engine, inserisci nel perimetro anche il progetto che contiene questa istanza.
Aggiungi l'API TCP Identity-Aware Proxy all'elenco dei servizi protetti dal tuo perimetro di servizio.
Se hai creato il perimetro di servizio senza aggiungere i progetti e i servizi necessari, consulta Gestione dei perimetri di servizio per informazioni su come aggiornare il perimetro di servizio.
Configura i record DNS utilizzando Cloud DNS
Se il tuo IAP per client TCP, probabilmente Google Cloud CLI, non è in esecuzione all'interno di alcun perimetro, puoi saltare questo passaggio. Se invece esegui il client all'interno di un perimetro, devi configurare i record DNS per IAP per TCP.
IAP per TCP utilizza domini che non sono sottodomini di googleapis.com. Utilizzando Cloud DNS, aggiungi i record DNS per assicurarti che la rete VPC gestisca correttamente le richieste inviate a quei domini. Per scoprire di più sulle route VPC, consulta la panoramica delle route.
Segui questi passaggi per creare una zona gestita per un dominio, aggiungere record DNS per instradare le richieste ed eseguire la transazione. Puoi utilizzare gcloud CLI con il tuo terminale preferito o utilizzare Cloud Shell, in cui gcloud CLI è preinstallato.
Configura il DNS
*.googleapis.comcome di consueto per le integrazioni dei Controlli di servizio VPC.Raccogli queste informazioni da utilizzare durante la configurazione dei record DNS:
PROJECT_ID è l'ID del progetto che ospita la rete VPC.
NETWORK_NAME è il nome della rete VPC in cui esegui il tuo IAP per client TCP.
ZONE_NAME è un nome per la zona che stai creando. Ad esempio,
iap-tcp-zone.
Crea una zona gestita privata per il dominio
tunnel.cloudproxy.appin modo che la rete VPC possa gestirla.gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=tunnel.cloudproxy.app \ --description="Description of your managed zone"
Avviare una transazione.
gcloud dns record-sets transaction start --zone=ZONE_NAME
Aggiungi il seguente record A DNS. Questo reindirizza il traffico al VIP limitato (indirizzo IP virtuale) di Google.
gcloud dns record-sets transaction add \ --name=tunnel.cloudproxy.app. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
Aggiungi il seguente record CNAME DNS in modo che rimandi al record A che hai appena aggiunto. Questo reindirizza tutto il traffico corrispondente al dominio agli indirizzi IP elencati nel passaggio precedente.
gcloud dns record-sets transaction add \ --name="*.tunnel.cloudproxy.app." \ --type=CNAME tunnel.cloudproxy.app. \ --zone=ZONE_NAME \ --ttl=300
Esegui la transazione.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
Configurazione del DNS con BIND
Anziché utilizzare Cloud DNS, puoi utilizzare BIND. In questo caso, segui le istruzioni per configurare il DNS con BIND, ma utilizza IAP per i domini TCP anziché i domini googleapis.com generici.
Utilizzo del VIP privato
Anziché utilizzare il VIP con restrizioni, potrebbe essere possibile utilizzare il VIP privato, a seconda di come hai configurato il perimetro e la rete. Se preferisci farlo, usa
199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11
al posto di
199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7
nelle istruzioni per la configurazione dei record DNS.
Utilizzo di un VPC condiviso
Se utilizzi un VPC condiviso, devi aggiungere l'host e i progetti di servizio al perimetro di servizio. Vedi Gestione dei perimetri di servizio.
Passaggi successivi
- Consulta Gestione dei perimetri di servizio per aggiungere altre risorse al perimetro di servizio.