Halaman ini menjelaskan cara menggunakan Kontrol Layanan VPC untuk melindungi IAP untuk penerusan TCP, dan cara menggunakan IAP untuk penerusan TCP dalam perimeter Kontrol Layanan VPC.
Sebelum memulai
Siapkan penggunaan penerusan TCP IAP tanpa perimeter layanan.
Buat perimeter layanan menggunakan Kontrol Layanan VPC. Perimeter layanan ini melindungi resource layanan yang dikelola Google yang Anda tentukan. Saat membuat perimeter layanan, lakukan hal berikut:
Tambahkan project yang berisi instance Compute Engine yang ingin Anda hubungkan dengan IAP ke project dalam perimeter layanan Anda. Jika Anda menjalankan IAP untuk klien TCP di instance Compute Engine, masukkan juga project yang berisi instance ini ke dalam perimeter.
Tambahkan Identity-Aware Proxy TCP API ke daftar layanan yang dilindungi oleh perimeter layanan Anda.
Jika Anda membuat perimeter layanan tanpa menambahkan project dan layanan yang Anda butuhkan, lihat Mengelola perimeter layanan untuk mempelajari cara mengupdate perimeter layanan.
Mengonfigurasi data DNS menggunakan Cloud DNS
Jika IAP untuk klien TCP, yang kemungkinan adalah Google Cloud CLI, tidak berjalan di dalam perimeter apa pun, Anda dapat melewati langkah ini. Di sisi lain, jika menjalankan klien di dalam perimeter, Anda harus mengonfigurasi data DNS untuk IAP untuk TCP.
IAP untuk TCP menggunakan domain yang bukan subdomain dari
googleapis.com
. Dengan Cloud DNS, tambahkan data DNS untuk memastikan bahwa jaringan VPC Anda menangani permintaan yang dikirim ke domain tersebut dengan benar. Untuk
mempelajari rute VPC lebih lanjut, baca
Ringkasan rute.
Gunakan langkah-langkah berikut untuk membuat zona terkelola untuk domain, menambahkan data DNS untuk merutekan permintaan, dan menjalankan transaksi. Anda dapat menggunakan gcloud CLI dengan terminal pilihan Anda atau menggunakan Cloud Shell, yang telah menginstal gcloud CLI.
Konfigurasikan DNS
*.googleapis.com
seperti biasa untuk integrasi Kontrol Layanan VPC.Kumpulkan informasi ini untuk digunakan saat mengonfigurasi data DNS:
PROJECT_ID adalah ID project yang menghosting jaringan VPC Anda.
NETWORK_NAME adalah nama jaringan VPC tempat Anda menjalankan IAP untuk klien TCP.
ZONE_NAME adalah nama untuk zona yang Anda buat. Contoh,
iap-tcp-zone
.
Buat zona terkelola pribadi untuk domain
tunnel.cloudproxy.app
agar jaringan VPC dapat menanganinya.gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=tunnel.cloudproxy.app \ --description="Description of your managed zone"
Mulai transaksi.
gcloud dns record-sets transaction start --zone=ZONE_NAME
Tambahkan data A DNS berikut. Tindakan ini akan mengalihkan traffic ke VIP yang dibatasi (alamat IP virtual) Google.
gcloud dns record-sets transaction add \ --name=tunnel.cloudproxy.app. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
Tambahkan data DNS CNAME berikut untuk mengarah ke data A yang baru saja Anda tambahkan. Tindakan ini akan mengalihkan semua traffic yang cocok dengan domain ke alamat IP yang tercantum di langkah sebelumnya.
gcloud dns record-sets transaction add \ --name="*.tunnel.cloudproxy.app." \ --type=CNAME tunnel.cloudproxy.app. \ --zone=ZONE_NAME \ --ttl=300
Jalankan transaksi.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
Mengonfigurasi DNS dengan BIND
Sebagai ganti Cloud DNS, Anda dapat menggunakan
BIND. Dalam hal ini,
ikuti petunjuk untuk
mengonfigurasi DNS dengan
BIND,
tetapi gunakan IAP untuk domain TCP, bukan domain
googleapis.com
umum.
Menggunakan VIP pribadi
Daripada menggunakan VIP yang dibatasi, Anda mungkin dapat menggunakan VIP pribadi, bergantung pada cara Anda mengonfigurasi perimeter dan jaringan. Jika Anda lebih memilih untuk melakukannya, gunakan
199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11
sebagai ganti
199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7
dalam petunjuk untuk mengonfigurasi data DNS Anda.
Menggunakan VPC bersama
Jika menggunakan VPC bersama, Anda harus menambahkan host dan project layanan ke perimeter layanan. Lihat Mengelola perimeter layanan.
Langkah selanjutnya
- Lihat Mengelola perimeter layanan untuk menambahkan lebih banyak resource ke perimeter layanan Anda.