Protezione degli IAP per l'inoltro TCP con i Controlli di servizio VPC

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina viene descritto come utilizzare i Controlli di servizio VPC per proteggere gli IAP per l'inoltro TCP e come utilizzare IAP per l'inoltro TCP all'interno di un perimetro dei Controlli di servizio VPC.

Prima di iniziare

  1. Consulta la Panoramica dei Controlli di servizio VPC.

  2. Configura l'utilizzo dell'inoltro TCP IAP senza un perimetro di servizio.

  3. Crea un perimetro di servizio utilizzando i Controlli di servizio VPC. Questo perimetro di servizio protegge le risorse dei servizi gestiti da Google specificate. Quando crei il perimetro di servizio, segui questi passaggi:

    1. Aggiungi il progetto che contiene l'istanza Compute Engine a cui vuoi connetterti con IAP ai progetti all'interno del tuo perimetro di servizio. Se esegui un client IAP per TCP su un'istanza di Compute Engine, inserisci anche il progetto contenente questa istanza nel perimetro.

    2. Aggiungi l'API Identity-Aware Proxy TCP all'elenco dei servizi protetti dal tuo perimetro di servizio.

    Se hai creato il perimetro di servizio senza aggiungere i progetti e i servizi di cui hai bisogno, consulta la sezione Gestire i perimetri di servizio per scoprire come aggiornare il perimetro di servizio.

Configura i tuoi record DNS utilizzando Cloud DNS

Se il tuo client IAP per TCP, probabilmente l'interfaccia a riga di comando di Google Cloud, non è in esecuzione all'interno di alcun perimetro, puoi saltare questo passaggio. D'altra parte, se esegui il client all'interno di un perimetro, devi configurare i record DNS per IAP per TCP.

IAP per TCP utilizza domini che non sono sottodomini di googleapis.com. Utilizzando Cloud DNS, aggiungi record DNS per assicurarti che la tua rete VPC gestisca correttamente le richieste inviate a tali domini. Per scoprire di più sulle route VPC, consulta la Panoramica delle route.

Segui i passaggi riportati di seguito per creare una zona gestita per un dominio, aggiungere i record DNS per instradare le richieste ed eseguire la transazione. Puoi utilizzare l'interfaccia a riga di comando gcloud con il terminale che preferisci o utilizzare Cloud Shell, su cui è preinstallato l'interfaccia a riga di comando gcloud.

  1. Configura il DNS *.googleapis.com, come di consueto per le integrazioni Controlli di servizio VPC.

  2. Raccogli le seguenti informazioni da utilizzare per la configurazione dei record DNS:

    • PROJECT_ID è l'ID del progetto che ospita la tua rete VPC.

    • NETWORK_NAME è il nome della rete VPC in cui esegui il tuo client IAP per TCP.

    • ZONE_NAME è un nome per la zona che stai creando. Ad esempio, iap-tcp-zone.

  3. Crea una zona gestita privata per il dominio tunnel.cloudproxy.app, in modo che la rete VPC possa gestirla.

    gcloud dns managed-zones create ZONE_NAME \
     --visibility=private \
     --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
     --dns-name=tunnel.cloudproxy.app \
     --description="Description of your managed zone"
    
  4. Avvia una transazione.

    gcloud dns record-sets transaction start --zone=ZONE_NAME
    
  5. Aggiungi il seguente record DNS A. Questo reindirizza il traffico al VIP limitato di Google (indirizzo IP virtuale).

    gcloud dns record-sets transaction add \
     --name=tunnel.cloudproxy.app. \
     --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
     --zone=ZONE_NAME \
     --ttl=300
    
  6. Aggiungi il seguente record CNAME DNS che punta al record A che hai appena aggiunto. Questo reindirizza tutto il traffico che corrisponde al dominio agli indirizzi IP elencati nel passaggio precedente.

    gcloud dns record-sets transaction add \
     --name="*.tunnel.cloudproxy.app." \
     --type=CNAME tunnel.cloudproxy.app. \
     --zone=ZONE_NAME \
     --ttl=300
    
  7. Esegui la transazione.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME
    

Configurazione del DNS con BIND

Anziché utilizzare Cloud DNS, puoi utilizzare BIND. In tal caso, segui le istruzioni per la configurazione del DNS con BIND, ma utilizza gli IAP per i domini TCP anziché i domini googleapis.com generici.

Utilizzo del VIP privato

Invece di utilizzare un VIP con restrizioni, potrebbe essere possibile utilizzare il VIP privato, a seconda di come hai configurato il perimetro e la rete. Se preferisci farlo, utilizza

199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11

al posto di

199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7

nelle istruzioni per la configurazione dei record DNS.

Utilizzo di un VPC condiviso

Se utilizzi un VPC condiviso, devi aggiungere l'host e i progetti di servizio al perimetro di servizio. Vedi Gestione dei perimetri di servizio.

Passaggi successivi