In questa pagina viene descritto come utilizzare i Controlli di servizio VPC per proteggere gli IAP per l'inoltro TCP e come utilizzare IAP per l'inoltro TCP all'interno di un perimetro dei Controlli di servizio VPC.
Prima di iniziare
Consulta la Panoramica dei Controlli di servizio VPC.
Configura l'utilizzo dell'inoltro TCP IAP senza un perimetro di servizio.
Crea un perimetro di servizio utilizzando i Controlli di servizio VPC. Questo perimetro di servizio protegge le risorse dei servizi gestiti da Google specificate. Quando crei il perimetro di servizio, segui questi passaggi:
Aggiungi il progetto che contiene l'istanza Compute Engine a cui vuoi connetterti con IAP ai progetti all'interno del tuo perimetro di servizio. Se esegui un client IAP per TCP su un'istanza di Compute Engine, inserisci anche il progetto contenente questa istanza nel perimetro.
Aggiungi l'API Identity-Aware Proxy TCP all'elenco dei servizi protetti dal tuo perimetro di servizio.
Se hai creato il perimetro di servizio senza aggiungere i progetti e i servizi di cui hai bisogno, consulta la sezione Gestire i perimetri di servizio per scoprire come aggiornare il perimetro di servizio.
Configura i tuoi record DNS utilizzando Cloud DNS
Se il tuo client IAP per TCP, probabilmente l'interfaccia a riga di comando di Google Cloud, non è in esecuzione all'interno di alcun perimetro, puoi saltare questo passaggio. D'altra parte, se esegui il client all'interno di un perimetro, devi configurare i record DNS per IAP per TCP.
IAP per TCP utilizza domini che non sono sottodomini di googleapis.com. Utilizzando Cloud DNS, aggiungi record DNS per assicurarti che la tua rete VPC gestisca correttamente le richieste inviate a tali domini. Per scoprire di più sulle route VPC, consulta la Panoramica delle route.
Segui i passaggi riportati di seguito per creare una zona gestita per un dominio, aggiungere i record DNS per instradare le richieste ed eseguire la transazione. Puoi utilizzare l'interfaccia a riga di comando gcloud con il terminale che preferisci o utilizzare Cloud Shell, su cui è preinstallato l'interfaccia a riga di comando gcloud.
Configura il DNS
*.googleapis.com, come di consueto per le integrazioni Controlli di servizio VPC.Raccogli le seguenti informazioni da utilizzare per la configurazione dei record DNS:
PROJECT_ID è l'ID del progetto che ospita la tua rete VPC.
NETWORK_NAME è il nome della rete VPC in cui esegui il tuo client IAP per TCP.
ZONE_NAME è un nome per la zona che stai creando. Ad esempio,
iap-tcp-zone.
Crea una zona gestita privata per il dominio
tunnel.cloudproxy.app, in modo che la rete VPC possa gestirla.gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=tunnel.cloudproxy.app \ --description="Description of your managed zone"
Avvia una transazione.
gcloud dns record-sets transaction start --zone=ZONE_NAME
Aggiungi il seguente record DNS A. Questo reindirizza il traffico al VIP limitato di Google (indirizzo IP virtuale).
gcloud dns record-sets transaction add \ --name=tunnel.cloudproxy.app. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
Aggiungi il seguente record CNAME DNS che punta al record A che hai appena aggiunto. Questo reindirizza tutto il traffico che corrisponde al dominio agli indirizzi IP elencati nel passaggio precedente.
gcloud dns record-sets transaction add \ --name="*.tunnel.cloudproxy.app." \ --type=CNAME tunnel.cloudproxy.app. \ --zone=ZONE_NAME \ --ttl=300
Esegui la transazione.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
Configurazione del DNS con BIND
Anziché utilizzare Cloud DNS, puoi utilizzare
BIND. In tal caso, segui le istruzioni per la configurazione del DNS con BIND, ma utilizza gli IAP per i domini TCP anziché i domini googleapis.com generici.
Utilizzo del VIP privato
Invece di utilizzare un VIP con restrizioni, potrebbe essere possibile utilizzare il VIP privato, a seconda di come hai configurato il perimetro e la rete. Se preferisci farlo, utilizza
199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11
al posto di
199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7
nelle istruzioni per la configurazione dei record DNS.
Utilizzo di un VPC condiviso
Se utilizzi un VPC condiviso, devi aggiungere l'host e i progetti di servizio al perimetro di servizio. Vedi Gestione dei perimetri di servizio.
Passaggi successivi
- Consulta la sezione Gestione dei perimetri di servizio per aggiungere altre risorse al perimetro di servizio.