Auf dieser Seite wird beschrieben, wie Sie VPC Service Controls zum Schutz von IAP zur TCP-Weiterleitung verwenden und wie Sie IAP zur TCP-Weiterleitung in einem VPC Service Controls-Perimeter verwenden.
Hinweis
Lesen Sie VPC Service Controls.
Richten Sie die Nutzung der IAP-TCP-Weiterleitung ohne Dienstperimeter ein.
Erstellen Sie mit VPC Service Controls einen Dienstperimeter. Er schützt die von Google verwalteten Ressourcen der von Ihnen angegebenen Dienste. Er schützt die von Google verwalteten Ressourcen der von Ihnen angegebenen Dienste.
Fügen Sie das Projekt mit der Compute Engine-Instanz, zu der Sie über IAP eine Verbindung herstellen möchten, zu den Projekten in Ihrem Dienstperimeter hinzu. Wenn Sie einen IAP für TCP-Client auf einer Compute Engine-Instanz ausführen, fügen Sie das Projekt mit dieser Instanz ebenfalls zum Perimeter hinzu.
Fügen Sie die Identity-Aware Proxy TCP API der Liste der Dienste hinzu, die durch Ihren Dienstperimeter geschützt sind.
Wenn Sie Ihren Dienstperimeter erstellt haben, ohne die benötigten Projekte und Dienste einzufügen, erfahren Sie unter Dienstperimeter verwalten, wie Sie Ihren Dienstperimeter aktualisieren.
DNS-Einträge mit Cloud DNS konfigurieren
Wenn Ihr IAP für TCP-Client, also wahrscheinlich Google Cloud CLI nicht innerhalb eines Perimeters ausgeführt wird, können Sie diesen Schritt überspringen. Wenn Sie den Client jedoch in einem Perimeter ausführen, müssen Sie DNS-Einträge für IAP für TCP konfigurieren.
IAP für TCP verwendet Domains, die keine Subdomains von googleapis.com sind. Fügen Sie DNS-Einträge mithilfe von Cloud DNS hinzu, damit Ihr VPC-Netzwerk Anfragen, die an diese Domains gesendet werden, ordnungsgemäß verarbeitet. Weitere Informationen zu VPC-Routen finden Sie in der Routenübersicht.
Führen Sie folgende Schritte aus, um eine verwaltete Zone für eine Domain zu erstellen, DNS-Einträge zur Weiterleitung von Anfragen hinzuzufügen und die Transaktion auszuführen. Sie können die gcloud CLI mit Ihrem bevorzugten Terminal oder mit der Cloud Shell verwenden, in der die gcloud CLI vorinstalliert ist.
Konfigurieren Sie das
*.googleapis.com-DNS wie gewohnt für VPC Service Controls-Integrationen.Legen Sie diese Informationen beim Konfigurieren der DNS-Einträge fest:
PROJECT_ID ist die ID des Projekts, in dem Ihr VPC-Netzwerk gehostet wird.
NETWORK_NAME ist der Name des VPC-Netzwerks, in dem Sie den IAP für TCP-Client ausführen.
ZONE_NAME ist ein Name für die Zone, die Sie erstellen. Beispiel:
iap-tcp-zone
Erstellen Sie eine private verwaltete Zone für die Domain
tunnel.cloudproxy.app, damit sie vom VPC-Netzwerk verarbeitet werden kann.gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=tunnel.cloudproxy.app \ --description="Description of your managed zone"
Starten Sie eine Transaktion.
gcloud dns record-sets transaction start --zone=ZONE_NAME
Fügen Sie den folgenden DNS-A-Eintrag hinzu. Dadurch wird der Traffic auf den eingeschränkte VIP (virtuelle IP-Adresse).
gcloud dns record-sets transaction add \ --name=tunnel.cloudproxy.app. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
Geben Sie den folgenden DNS-CNAME-Eintrag an, um auf den gerade hinzugefügten A-Eintrag zu verweisen. Dadurch wird der gesamte Traffic, der mit der Domain übereinstimmt, an die im vorherigen Schritt aufgeführten IP-Adressen umgeleitet.
gcloud dns record-sets transaction add \ --name="*.tunnel.cloudproxy.app." \ --type=CNAME tunnel.cloudproxy.app. \ --zone=ZONE_NAME \ --ttl=300
Führen Sie die Transaktion aus.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
DNS mit BIND konfigurieren
Anstelle von Cloud DNS können Sie BIND verwenden. In diesem Fall
folgen Sie der Anleitung für
Konfigurieren von DNS mit
BINDEN
Verwenden Sie für TCP-Domains jedoch IAP anstelle des allgemeinen
googleapis.com Domains.
Private VIP-Adresse verwenden
Anstelle der eingeschränkten VIP kann, je nachdem, wie Sie Ihren Perimeter und Ihr Netzwerk konfiguriert haben, auch der private VIP verwendet werden. Wenn Sie diese Vorgehensweise bevorzugen, verwenden Sie
199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11
anstelle von
199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7
wie in der Anleitung zur Konfiguration Ihrer DNS-Einträge.
Freigegebene VPC verwenden
Wenn Sie eine freigegebene VPC verwenden, müssen Sie den Host und die Dienstprojekte in den Dienstperimeter einfügen. Siehe Dienstperimeter verwalten.
Nächste Schritte
- Unter Dienstperimeter verwalten erfahren Sie, wie Sie Ihren Dienstparameter um Ressourcen erweitern.