En esta página, se describe cómo usar los Controles del servicio de VPC a fin de proteger IAP para el redireccionamiento de TCP y cómo utilizar IAP para el redireccionamiento de TCP en un perímetro de Controles del servicio de VPC.
Antes de comenzar
Lee la Descripción general de los Controles del servicio de VPC.
Configura el uso del redireccionamiento de TCP de IAP sin un perímetro de servicio.
Crea un perímetro de servicio mediante los Controles del servicio de VPC. Este perímetro de servicio protege los recursos administrados por Google de los servicios que especifiques. Cuando crees el perímetro de servicio, haz lo siguiente:
Agrega el proyecto que contiene la instancia de Compute Engine a la que deseas conectarte con IAP a los proyectos que están en tu perímetro de servicio. Si ejecutas un cliente de IAP para TCP en una instancia de Compute Engine, también coloca el proyecto que contiene esta instancia en el perímetro.
Agrega la API de Identity‑Aware Proxy TCP a la lista de servicios protegidos por el perímetro de servicio.
Si creaste el perímetro de servicio sin agregar los proyectos y los servicios que necesitas, consulta Administra los perímetros de servicio para obtener información sobre cómo actualizar el perímetro de servicio.
Configura tus registros DNS con Cloud DNS
Si tu cliente IAP para TCP, que es probable que sea Google Cloud CLI, no se ejecuta dentro de ningún perímetro, puedes omitir este paso. Por otro lado, si ejecutas el cliente en un perímetro, debes configurar los registros DNS de IAP para TCP.
IAP para TCP usa dominios que no son subdominios de googleapis.com. Con Cloud DNS, agrega registros DNS para asegurarte de que la red de VPC controle de forma correcta las solicitudes enviadas a esos dominios. Para obtener más información sobre las rutas de VPC, consulta la Descripción general de las rutas.
Sigue estos pasos a fin de crear una zona administrada para un dominio, agregar registros DNS a fin de enrutar solicitudes y ejecutar la transacción. Puedes usar la gcloud CLI con tu terminal preferida o usar Cloud Shell, que tiene la gcloud CLI preinstalada.
Configura el DNS de
*.googleapis.comcomo lo haces habitualmente para las integraciones de los Controles del servicio de VPC.Recopila esta información para usarla cuando configures tus registros DNS:
PROJECT_ID es el ID del proyecto que aloja la red de VPC.
NETWORK_NAME es el nombre de la red de VPC en la que ejecutas tu cliente de IAP para TCP.
ZONE_NAME es un nombre para la zona que estás creando. Por ejemplo,
iap-tcp-zone
Crea una zona privada administrada para el dominio
tunnel.cloudproxy.appde modo que la red de VPC pueda controlarla.gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=tunnel.cloudproxy.app \ --description="Description of your managed zone"
Inicia una transacción.
gcloud dns record-sets transaction start --zone=ZONE_NAME
Agrega el siguiente registro A de DNS. Esto redirige el tráfico a la VIP (dirección IP virtual) restringida de Google.
gcloud dns record-sets transaction add \ --name=tunnel.cloudproxy.app. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
Agrega el siguiente registro CNAME del DNS para que apunte al registro A que acabas de agregar. De este modo, se redirecciona todo el tráfico que coincide con el dominio a las direcciones IP enumeradas en el paso anterior.
gcloud dns record-sets transaction add \ --name="*.tunnel.cloudproxy.app." \ --type=CNAME tunnel.cloudproxy.app. \ --zone=ZONE_NAME \ --ttl=300
Ejecuta la transacción.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
Configura DNS con BIND
En vez de usar Cloud DNS, puedes usar BIND. En ese caso, sigue las instrucciones para configurar DNS con BIND, pero usa los dominios de IAP para TCP en vez de los dominios generales de googleapis.com.
Usa la VIP privada
En lugar de usar la VIP restringida, es posible usar la VIP privada, según cómo hayas configurado el perímetro y la red. Si prefieres hacerlo, utiliza
199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11
en lugar de
199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7
en las instrucciones para configurar tus registros DNS.
Usa una VPC compartida
Si usas una VPC compartida, debes agregar el host y los proyectos de servicio al perímetro de servicio. Consulta Administra perímetros de servicio.
¿Qué sigue?
- Consulta Administra perímetros de servicio para agregar más recursos al perímetro de servicio.