Protezione di IAP per l'inoltro TCP con i Controlli di servizio VPC

Questa pagina descrive come utilizzare i Controlli di servizio VPC per proteggere IAP per l'inoltro TCP e come utilizzare IAP per l'inoltro TCP all'interno di un perimetro dei Controlli di servizio VPC.

Prima di iniziare

  1. Leggi la panoramica dei Controlli di servizio VPC.

  2. Configura l'utilizzo del forwarding TCP IAP senza un perimetro di servizio.

  3. Crea un perimetro di servizio utilizzando Controlli di servizio VPC. Questo perimetro di servizio protegge le risorse dei servizi gestiti da Google che hai specificato. Quando crei il perimetro di servizio:

    1. Aggiungi il progetto che contiene l'istanza Compute Engine a cui vuoi connetterti con IAP ai progetti all'interno del tuo perimetro di servizio. Se esegui un client IAP per TCP su un'istanza Compute Engine, inserisci nel perimetro anche il progetto che contiene questa istanza.

    2. Aggiungi l'API TCP Identity-Aware Proxy all'elenco dei servizi protetti dal tuo perimetro di servizio.

    Se hai creato il perimetro di servizio senza aggiungere i progetti e i servizi necessari, consulta Gestione dei perimetri di servizio per informazioni su come aggiornare il perimetro di servizio.

Configura i record DNS utilizzando Cloud DNS

Se il tuo IAP per client TCP, probabilmente Google Cloud CLI, non è in esecuzione all'interno di alcun perimetro, puoi saltare questo passaggio. Se invece esegui il client all'interno di un perimetro, devi configurare i record DNS per IAP per TCP.

IAP per TCP utilizza domini che non sono sottodomini di googleapis.com. Utilizzando Cloud DNS, aggiungi i record DNS per assicurarti che la rete VPC gestisca correttamente le richieste inviate a quei domini. Per scoprire di più sulle route VPC, consulta la panoramica delle route.

Segui questi passaggi per creare una zona gestita per un dominio, aggiungere record DNS per instradare le richieste ed eseguire la transazione. Puoi utilizzare gcloud CLI con il tuo terminale preferito o utilizzare Cloud Shell, in cui gcloud CLI è preinstallato.

  1. Configura il DNS *.googleapis.com come di consueto per le integrazioni dei Controlli di servizio VPC.

  2. Raccogli queste informazioni da utilizzare durante la configurazione dei record DNS:

    • PROJECT_ID è l'ID del progetto che ospita la rete VPC.

    • NETWORK_NAME è il nome della rete VPC in cui esegui il tuo IAP per client TCP.

    • ZONE_NAME è un nome per la zona che stai creando. Ad esempio, iap-tcp-zone.

  3. Crea una zona gestita privata per il dominio tunnel.cloudproxy.app in modo che la rete VPC possa gestirla.

    gcloud dns managed-zones create ZONE_NAME \
     --visibility=private \
     --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
     --dns-name=tunnel.cloudproxy.app \
     --description="Description of your managed zone"
    
  4. Avviare una transazione.

    gcloud dns record-sets transaction start --zone=ZONE_NAME
    
  5. Aggiungi il seguente record A DNS. Questo reindirizza il traffico al VIP limitato (indirizzo IP virtuale) di Google.

    gcloud dns record-sets transaction add \
     --name=tunnel.cloudproxy.app. \
     --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
     --zone=ZONE_NAME \
     --ttl=300
    
  6. Aggiungi il seguente record CNAME DNS in modo che rimandi al record A che hai appena aggiunto. Questo reindirizza tutto il traffico corrispondente al dominio agli indirizzi IP elencati nel passaggio precedente.

    gcloud dns record-sets transaction add \
     --name="*.tunnel.cloudproxy.app." \
     --type=CNAME tunnel.cloudproxy.app. \
     --zone=ZONE_NAME \
     --ttl=300
    
  7. Esegui la transazione.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME
    

Configurazione del DNS con BIND

Anziché utilizzare Cloud DNS, puoi utilizzare BIND. In questo caso, segui le istruzioni per configurare il DNS con BIND, ma utilizza IAP per i domini TCP anziché i domini googleapis.com generici.

Utilizzo del VIP privato

Anziché utilizzare il VIP con restrizioni, potrebbe essere possibile utilizzare il VIP privato, a seconda di come hai configurato il perimetro e la rete. Se preferisci farlo, usa

199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11

al posto di

199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7

nelle istruzioni per la configurazione dei record DNS.

Utilizzo di un VPC condiviso

Se utilizzi un VPC condiviso, devi aggiungere l'host e i progetti di servizio al perimetro di servizio. Vedi Gestione dei perimetri di servizio.

Passaggi successivi