Esta página foi traduzida pela API Cloud Translation.

Proteger o IAP para encaminhamento TCP com os VPC Service Controls

Esta página descreve como usar os VPC Service Controls para proteger o IAP para encaminhamento TCP e como usar o IAP para encaminhamento TCP num perímetro dos VPC Service Controls.

Antes de começar

Leia a vista geral dos VPC Service Controls.
Configure a utilização do encaminhamento TCP do IAP sem um perímetro de serviço.
Crie um perímetro de serviço com os VPC Service Controls. Este perímetro de serviço protege os recursos geridos pela Google dos serviços que especificar. Quando criar o perímetro de serviço, faça o seguinte:
1. Adicione o projeto que contém a instância do Compute Engine à qual quer estabelecer ligação com o IAP aos projetos dentro do seu perímetro de serviço. Se estiver a executar um cliente IAP para TCP numa instância do Compute Engine, também deve colocar o projeto que contém esta instância no perímetro.
2. Adicione a API TCP Identity-Aware Proxy à lista de serviços protegidos pelo seu perímetro de serviço.
Se criou o seu perímetro de serviço sem adicionar os projetos e os serviços de que precisa, consulte o artigo Gerir perímetros de serviço para saber como atualizar o seu perímetro de serviço.

Configure os seus registos de DNS através do Cloud DNS

Se o IAP para o cliente TCP, que é provavelmente a CLI gcloud, não estiver a ser executado dentro de nenhum perímetro, pode ignorar este passo. Por outro lado, se executar o cliente dentro de um perímetro, tem de configurar os registos de DNS para o IAP para TCP.

A IAP para TCP usa domínios que não são subdomínios de googleapis.com. Com o Cloud DNS, adicione registos de DNS para garantir que a sua rede VPC processa corretamente os pedidos enviados para esses domínios. Para saber mais acerca dos trajetos da VPC, leia a vista geral dos trajetos.

Siga os passos abaixo para criar uma zona gerida para um domínio, adicionar registos DNS para encaminhar pedidos e executar a transação. Pode usar a CLI gcloud com o seu terminal preferido ou usar o Cloud Shell, que tem a CLI gcloud pré-instalada.

Configure o DNS *.googleapis.com, como é habitual nas integrações do VPC Service Controls.
Recolha estas informações para usar ao configurar os seus registos de DNS:
- PROJECT_ID é o ID do projeto que aloja a sua rede VPC.
- NETWORK_NAME é o nome da rede VPC na qual está a executar o cliente do IAP para TCP.
- ZONE_NAME é um nome para a zona que está a criar. Por exemplo, iap-tcp-zone.

Crie uma zona gerida privada para o domínio tunnel.cloudproxy.app para que a rede VPC a possa processar.

gcloud dns managed-zones create ZONE_NAME \
 --visibility=private \
 --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
 --dns-name=tunnel.cloudproxy.app \
 --description="Description of your managed zone"

Inicie uma transação.

gcloud dns record-sets transaction start --zone=ZONE_NAME

Adicione o seguinte registo A de DNS. Isto reencaminha o tráfego para o VIP restrito (endereço IP virtual) da Google.

gcloud dns record-sets transaction add \
 --name=tunnel.cloudproxy.app. \
 --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
 --zone=ZONE_NAME \
 --ttl=300

Adicione o seguinte registo CNAME de DNS para apontar para o registo A que acabou de adicionar. Isto redireciona todo o tráfego correspondente ao domínio para os endereços IP indicados no passo anterior.
```
gcloud dns record-sets transaction add \
 --name="*.tunnel.cloudproxy.app." \
 --type=CNAME tunnel.cloudproxy.app. \
 --zone=ZONE_NAME \
 --ttl=300
```

Execute a transação.

gcloud dns record-sets transaction execute --zone=ZONE_NAME

Configurar o DNS com o BIND

Em vez de usar o Cloud DNS, pode usar o BIND. Nesse caso, siga as instruções para configurar o DNS com o BIND, mas use o IAP para domínios TCP em vez dos domínios googleapis.com gerais.

Usar o VIP privado

Em vez de usar o VIP restrito, pode ser possível usar o VIP privado, dependendo da forma como configurou o seu perímetro e rede. Se preferir fazê-lo, use

199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11

em vez de

199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7

nas instruções para configurar os registos de DNS.

Usar uma VPC partilhada

Se estiver a usar uma VPC partilhada, tem de adicionar os projetos anfitrião e de serviço ao perímetro de serviço. Consulte o artigo Gerir perímetros de serviço.

O que se segue?

Consulte o artigo Gerir perímetros de serviço para adicionar mais recursos ao seu perímetro de serviço.

Proteger o IAP para encaminhamento TCP com os VPC Service Controls Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.