Cette page explique comment utiliser VPC Service Controls afin de protéger IAP pour le transfert TCP et comment utiliser IAP pour le transfert TCP dans un périmètre VPC Service Controls.
Avant de commencer
Consultez la présentation de VPC Service Controls.
Configurez l'utilisation d'IAP pour le transfert TCP sans périmètre de service.
Créez un périmètre de service à l'aide de VPC Service Controls. Ce périmètre de service protège les ressources de services gérées par Google que vous spécifiez. Lorsque vous créez le périmètre de service, procédez comme suit :
Ajoutez le projet contenant l'instance Compute Engine à laquelle vous souhaitez vous connecter avec IAP aux projets de votre périmètre de service. Si vous exécutez IAP pour un client TCP sur une instance Compute Engine, placez également le projet contenant cette instance dans le périmètre.
Ajoutez l'API TCP d'Identity-Aware Proxy à la liste des services protégés par votre périmètre de service.
Si vous avez créé votre périmètre de service sans ajouter les projets et services nécessaires, consultez la section Gérer les périmètres de service pour savoir comment mettre votre périmètre de service à jour.
Configurer les enregistrements DNS à l'aide de Cloud DNS
Si votre IAP pour un client TCP, qui est probablement la CLI Google Cloud, ne s'exécute dans aucun périmètre, vous pouvez ignorer cette étape. Par ailleurs, si vous exécutez le client dans un périmètre, vous devez configurer les enregistrements DNS pour l'IAP pour TCP.
L'IAP pour TCP utilise des domaines qui ne sont pas des sous-domaines de googleapis.com
. À l'aide de Cloud DNS, ajoutez des enregistrements DNS pour faire en sorte que votre réseau VPC gère correctement les requêtes envoyées à ces domaines. Pour en savoir plus sur les routes VPC, consultez la présentation des routes.
Procédez comme suit pour créer une zone gérée pour un domaine, ajouter des enregistrements DNS pour acheminer les requêtes et exécuter la transaction. Vous pouvez utiliser gcloud CLI avec le terminal de votre choix ou utilisez Cloud Shell, pour lequel gcloud CLI préinstallée.
Configurez le DNS
*.googleapis.com
comme d'habitude pour les intégrations de VPC Service Controls.Recueillez les informations suivantes à utiliser lors de la configuration de vos enregistrements DNS :
PROJECT_ID est l'ID du projet qui héberge votre réseau VPC.
NETWORK_NAME est le nom du réseau VPC dans lequel vous exécutez votre IAP pour le client TCP.
ZONE_NAME est le nom de la zone que vous créez. Exemple :
iap-tcp-zone
.
Créez une zone gérée privée pour le domaine
tunnel.cloudproxy.app
afin que le réseau VPC puisse la gérer.gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=tunnel.cloudproxy.app \ --description="Description of your managed zone"
Lancez une transaction.
gcloud dns record-sets transaction start --zone=ZONE_NAME
Ajoutez l'enregistrement DNS A suivant. Cela permet de rediriger le trafic vers les adresses IP virtuelles restreintes de Google.
gcloud dns record-sets transaction add \ --name=tunnel.cloudproxy.app. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
Ajoutez l'enregistrement DNS CNAME suivant pour pointer vers l'enregistrement A que vous venez d'ajouter. Ainsi, tout le trafic correspondant au domaine est redirigé vers les adresses IP mentionnées à l'étape précédente.
gcloud dns record-sets transaction add \ --name="*.tunnel.cloudproxy.app." \ --type=CNAME tunnel.cloudproxy.app. \ --zone=ZONE_NAME \ --ttl=300
Exécutez la transaction.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
Configurer le DNS avec BIND
Au lieu d'utiliser Cloud DNS, vous pouvez utiliser BIND. Dans ce cas, suivez les instructions permettant de configurer DNS avec BIND, mais utilisez les IAP pour les domaines TCP plutôt que les domaines googleapis.com
généraux.
Utiliser l'adresse IP virtuelle privée
Au lieu d'utiliser l'adresse IP virtuelle restreinte, vous pourrez peut-être utiliser l'adresse IP virtuelle privée, selon la configuration du périmètre et du réseau. Si vous préférez procéder ainsi, utilisez
199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11
à la place du signe
199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7
dans les instructions de configuration de vos enregistrements DNS.
Utiliser un VPC partagé
Si vous utilisez un VPC partagé, vous devez ajouter l'hôte et les projets de service au périmètre de service. Veuillez consultez la section Gestion des périmètres de service.
Étape suivante
- Pour ajouter d'autres ressources à votre périmètre de service, consultez la section Gérer les périmètres de service.