Mengamankan IAP untuk penerusan TCP dengan Kontrol Layanan VPC

Halaman ini menjelaskan cara menggunakan Kontrol Layanan VPC untuk melindungi IAP untuk penerusan TCP, dan cara menggunakan IAP untuk penerusan TCP dalam perimeter Kontrol Layanan VPC.

Sebelum memulai

  1. Baca Ringkasan Kontrol Layanan VPC.

  2. Siapkan penggunaan penerusan TCP IAP tanpa perimeter layanan.

  3. Buat perimeter layanan menggunakan Kontrol Layanan VPC. Perimeter layanan ini melindungi resource layanan yang dikelola Google yang Anda tentukan. Saat membuat perimeter layanan, lakukan hal berikut:

    1. Tambahkan project yang berisi instance Compute Engine yang ingin Anda hubungkan dengan IAP ke project dalam perimeter layanan Anda. Jika Anda menjalankan IAP untuk klien TCP di instance Compute Engine, masukkan juga project yang berisi instance ini ke dalam perimeter.

    2. Tambahkan Identity-Aware Proxy TCP API ke daftar layanan yang dilindungi oleh perimeter layanan Anda.

    Jika Anda membuat perimeter layanan tanpa menambahkan project dan layanan yang Anda butuhkan, lihat Mengelola perimeter layanan untuk mempelajari cara mengupdate perimeter layanan.

Mengonfigurasi data DNS menggunakan Cloud DNS

Jika IAP untuk klien TCP, yang kemungkinan adalah Google Cloud CLI, tidak berjalan di dalam perimeter apa pun, Anda dapat melewati langkah ini. Di sisi lain, jika menjalankan klien di dalam perimeter, Anda harus mengonfigurasi data DNS untuk IAP untuk TCP.

IAP untuk TCP menggunakan domain yang bukan subdomain dari googleapis.com. Dengan Cloud DNS, tambahkan data DNS untuk memastikan bahwa jaringan VPC Anda menangani permintaan yang dikirim ke domain tersebut dengan benar. Untuk mempelajari rute VPC lebih lanjut, baca Ringkasan rute.

Gunakan langkah-langkah berikut untuk membuat zona terkelola untuk domain, menambahkan data DNS untuk merutekan permintaan, dan menjalankan transaksi. Anda dapat menggunakan gcloud CLI dengan terminal pilihan Anda atau menggunakan Cloud Shell, yang telah menginstal gcloud CLI.

  1. Konfigurasikan DNS *.googleapis.com seperti biasa untuk integrasi Kontrol Layanan VPC.

  2. Kumpulkan informasi ini untuk digunakan saat mengonfigurasi data DNS:

    • PROJECT_ID adalah ID project yang menghosting jaringan VPC Anda.

    • NETWORK_NAME adalah nama jaringan VPC tempat Anda menjalankan IAP untuk klien TCP.

    • ZONE_NAME adalah nama untuk zona yang Anda buat. Contoh, iap-tcp-zone.

  3. Buat zona terkelola pribadi untuk domain tunnel.cloudproxy.app agar jaringan VPC dapat menanganinya.

    gcloud dns managed-zones create ZONE_NAME \
     --visibility=private \
     --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
     --dns-name=tunnel.cloudproxy.app \
     --description="Description of your managed zone"
  4. Mulai transaksi.

    gcloud dns record-sets transaction start --zone=ZONE_NAME
  5. Tambahkan data A DNS berikut. Tindakan ini akan mengalihkan traffic ke VIP yang dibatasi (alamat IP virtual) Google.

    gcloud dns record-sets transaction add \
     --name=tunnel.cloudproxy.app. \
     --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
     --zone=ZONE_NAME \
     --ttl=300
  6. Tambahkan data DNS CNAME berikut untuk mengarah ke data A yang baru saja Anda tambahkan. Tindakan ini akan mengalihkan semua traffic yang cocok dengan domain ke alamat IP yang tercantum di langkah sebelumnya.

    gcloud dns record-sets transaction add \
     --name="*.tunnel.cloudproxy.app." \
     --type=CNAME tunnel.cloudproxy.app. \
     --zone=ZONE_NAME \
     --ttl=300
  7. Jalankan transaksi.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME

Mengonfigurasi DNS dengan BIND

Sebagai ganti Cloud DNS, Anda dapat menggunakan BIND. Dalam hal ini, ikuti petunjuk untuk mengonfigurasi DNS dengan BIND, tetapi gunakan IAP untuk domain TCP, bukan domain googleapis.com umum.

Menggunakan VIP pribadi

Daripada menggunakan VIP yang dibatasi, Anda mungkin dapat menggunakan VIP pribadi, bergantung pada cara Anda mengonfigurasi perimeter dan jaringan. Jika Anda lebih memilih untuk melakukannya, gunakan

199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11

sebagai ganti

199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7

dalam petunjuk untuk mengonfigurasi data DNS Anda.

Menggunakan VPC bersama

Jika menggunakan VPC bersama, Anda harus menambahkan host dan project layanan ke perimeter layanan. Lihat Mengelola perimeter layanan.

Langkah selanjutnya