Protege IAP para el redireccionamiento de TCP con los Controles del servicio de VPC

En esta página, se describe cómo usar los Controles del servicio de VPC a fin de proteger IAP para el redireccionamiento de TCP y cómo utilizar IAP para el redireccionamiento de TCP en un perímetro de Controles del servicio de VPC.

Antes de comenzar

  1. Lee la Descripción general de los Controles del servicio de VPC.

  2. Configura el uso del redireccionamiento de TCP de IAP sin un perímetro de servicio.

  3. Crea un perímetro de servicio mediante los Controles del servicio de VPC. Este perímetro de servicio protege los recursos administrados por Google de los servicios que especifiques. Cuando crees el perímetro de servicio, haz lo siguiente:

    1. Agrega el proyecto que contiene la instancia de Compute Engine a la que deseas conectarte con IAP a los proyectos que están en tu perímetro de servicio. Si ejecutas un cliente de IAP para TCP en una instancia de Compute Engine, también coloca el proyecto que contiene esta instancia en el perímetro.

    2. Agrega la API de Identity‑Aware Proxy TCP a la lista de servicios protegidos por el perímetro de servicio.

    Si creaste el perímetro de servicio sin agregar los proyectos y los servicios que necesitas, consulta Administra los perímetros de servicio para obtener información sobre cómo actualizar el perímetro de servicio.

Configura tus registros DNS con Cloud DNS

Si tu cliente de IAP para TCP (probablemente la herramienta de línea de comandos de gcloud) no se ejecuta en ningún perímetro, puedes omitir este paso. Por otro lado, si ejecutas el cliente en un perímetro, debes configurar los registros DNS de IAP para TCP.

IAP para TCP usa dominios que no son subdominios de googleapis.com. Con Cloud DNS, agrega registros DNS para asegurarte de que la red de VPC controle de forma correcta las solicitudes enviadas a esos dominios. Para obtener más información sobre las rutas de VPC, consulta la Descripción general de las rutas.

Sigue estos pasos, que te permitirán crear una zona administrada para un dominio, agregar registros DNS para enrutar solicitudes y ejecutar la transacción. Puedes usar la herramienta de gcloud con tu terminal preferida o usar Cloud Shell, que tiene la herramienta de gcloud preinstalada.

  1. Configura el DNS de *.googleapis.com como lo haces habitualmente para las integraciones de los Controles del servicio de VPC.

  2. Recopila esta información para configurar tus registros DNS:

    • PROJECT_ID es el ID del proyecto que aloja la red de VPC.

    • NETWORK_NAME es el nombre de la red de VPC en la que ejecutas tu cliente de IAP para TCP.

    • ZONE_NAME es un nombre para la zona que estás creando. Por ejemplo, iap-tcp-zone

  3. Crea una zona privada y administrada para el dominio tunnel.coudproxy.app a fin de que la red de VPC pueda controlarla.

    gcloud dns managed-zones create ZONE_NAME \
     --visibility=private \
     --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
     --dns-name=tunnel.cloudproxy.app \
     --description="Description of your managed zone"
    
  4. Inicia una transacción.

    gcloud dns record-sets transaction start --zone=ZONE_NAME
    
  5. Agrega el siguiente registro A de DNS. Esto redirige el tráfico a la VIP (dirección IP virtual) restringida de Google.

    gcloud dns record-sets transaction add \
     --name=tunnel.cloudproxy.app. \
     --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
     --zone=ZONE_NAME \
     --ttl=300
    
  6. Agrega el siguiente registro CNAME del DNS para que apunte al registro A que acabas de agregar. De este modo, se redirecciona todo el tráfico que coincide con el dominio a las direcciones IP enumeradas en el paso anterior.

    gcloud dns record-sets transaction add \
     --name="*.tunnel.cloudproxy.app." \
     --type=CNAME tunnel.cloudproxy.app. \
     --zone=ZONE_NAME \
     --ttl=300
    
  7. Ejecuta la transacción.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME
    

Configura DNS con BIND

En vez de usar Cloud DNS, puedes usar BIND. En ese caso, sigue las instrucciones para configurar DNS con BIND, pero usa los dominios de IAP para TCP en vez de los dominios generales de googleapis.com.

Usa la VIP privada

En lugar de usar la VIP restringida, es posible usar la VIP privada, según cómo configures el perímetro y la red. Si prefieres hacerlo, usa

199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11

en lugar de

199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7

en las instrucciones para configurar tus registros DNS.

Usa una VPC compartida

Si usas una VPC compartida, debes agregar el host y los proyectos de servicio al perímetro de servicio. Consulta Administra perímetros de servicio.

¿Qué sigue?