Mengamankan IAP untuk penerusan TCP dengan Kontrol Layanan VPC

Halaman ini menjelaskan cara menggunakan Kontrol Layanan VPC guna melindungi IAP untuk penerusan TCP, dan cara menggunakan IAP untuk penerusan TCP dalam perimeter Kontrol Layanan VPC.

Sebelum memulai

1. Baca Ringkasan Kontrol Layanan VPC.

2. Menyiapkan penggunaan penerusan TCP IAP tanpa perimeter layanan.

3. Buat perimeter layanan menggunakan Kontrol Layanan VPC. Perimeter layanan ini melindungi resource layanan yang dikelola Google yang Anda tentukan. Saat Anda membuat perimeter layanan, lakukan tindakan berikut:

   1. Tambahkan project yang berisi instance Compute Engine yang ingin Anda hubungkan dengan IAP ke project dalam perimeter layanan Anda. Jika Anda menjalankan IAP untuk klien TCP di instance Compute Engine, masukkan juga project yang berisi instance ini ke dalam perimeter.

   2. Tambahkan Identity-Aware Proxy TCP API ke daftar layanan yang dilindungi oleh perimeter layanan Anda.

   Jika Anda membuat perimeter layanan tanpa menambahkan project dan layanan yang diperlukan, lihat Mengelola perimeter layanan untuk mempelajari cara memperbarui perimeter layanan.

Mengonfigurasi data DNS menggunakan Cloud DNS

Jika IAP Anda untuk klien TCP, yang kemungkinan berupa Google Cloud CLI, tidak berjalan di dalam perimeter apa pun, Anda dapat melewati langkah ini. Di sisi lain, jika menjalankan klien di dalam perimeter, Anda harus mengonfigurasi data DNS untuk IAP untuk TCP.

IAP untuk TCP menggunakan domain yang bukan subdomain dari googleapis.com. Dengan menggunakan Cloud DNS, tambahkan data DNS untuk memastikan bahwa jaringan VPC Anda menangani permintaan yang dikirim ke domain tersebut dengan benar. Untuk mempelajari rute VPC lebih lanjut, baca Ringkasan rute.

Gunakan langkah-langkah berikut untuk membuat zona terkelola untuk domain, menambahkan data DNS untuk merutekan permintaan, dan menjalankan transaksi. Anda dapat menggunakan gcloud CLI dengan terminal pilihan Anda atau menggunakan Cloud Shell, yang sudah menginstal gcloud CLI.

1. Konfigurasikan DNS *.googleapis.com seperti biasa untuk integrasi Kontrol Layanan VPC.

2. Kumpulkan informasi ini untuk digunakan saat mengonfigurasi data DNS Anda:

   • PROJECT_ID adalah ID project yang menghosting jaringan VPC Anda.

   • NETWORK_NAME adalah nama jaringan VPC tempat Anda menjalankan IAP untuk klien TCP.

   • ZONE_NAME adalah nama untuk zona yang Anda buat. Misalnya, iap-tcp-zone.

3. Buat zona terkelola pribadi untuk domain tunnel.cloudproxy.app sehingga jaringan VPC dapat menanganinya.

   gcloud dns managed-zones create ZONE_NAME \
    --visibility=private \
    --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
    --dns-name=tunnel.cloudproxy.app \
    --description="Description of your managed zone"
   

4. Mulai transaksi.

   gcloud dns record-sets transaction start --zone=ZONE_NAME
   

5. Tambahkan data A DNS berikut. Tindakan ini akan mengalihkan traffic ke VIP terbatas Google (alamat IP virtual) milik Google.

   gcloud dns record-sets transaction add \
    --name=tunnel.cloudproxy.app. \
    --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
    --zone=ZONE_NAME \
    --ttl=300
   

6. Tambahkan data CNAME DNS berikut agar mengarah ke data A yang baru saja Anda tambahkan. Tindakan ini akan mengalihkan semua traffic yang cocok dengan domain ke alamat IP yang tercantum pada langkah sebelumnya.

   gcloud dns record-sets transaction add \
    --name="*.tunnel.cloudproxy.app." \
    --type=CNAME tunnel.cloudproxy.app. \
    --zone=ZONE_NAME \
    --ttl=300
   

7. Jalankan transaksi.

   gcloud dns record-sets transaction execute --zone=ZONE_NAME
   

Mengkonfigurasi DNS dengan BIND

Sebagai ganti Cloud DNS, Anda dapat menggunakan BIND. Dalam hal ini, ikuti petunjuk untuk mengonfigurasi DNS dengan BIND, tetapi gunakan IAP untuk domain TCP, bukan domain googleapis.com umum.

Menggunakan VIP pribadi

Daripada menggunakan VIP terbatas, Anda dapat menggunakan VIP pribadi, bergantung pada cara Anda mengonfigurasi perimeter dan jaringan Anda. Jika Anda lebih suka untuk melakukan itu, maka gunakan

199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11

sebagai pengganti

199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7

dalam petunjuk untuk mengkonfigurasi data DNS.

Menggunakan VPC bersama

Jika menggunakan VPC bersama, Anda harus menambahkan host dan project layanan ke perimeter layanan. Lihat Mengelola perimeter layanan.

Langkah selanjutnya

• Lihat Mengelola perimeter layanan untuk menambahkan lebih banyak resource ke perimeter layanan Anda.