Permite el acceso a recursos protegidos desde una dirección IP interna

En esta página, se describe cómo permitir el tráfico desde direcciones IP internas en una De la red de VPC a los perímetros de servicio con reglas de entrada y salida.

Descripción general

Puedes usar los Controles del servicio de VPC para definir condiciones los rangos de direcciones IP de la red de VPC para acceder a proyectos y redes de VPC. Esta función te permite hacer lo siguiente: tareas:

  • Admitir acceso básico de nivel para permiten rangos de direcciones IP internas de las redes de VPC.

  • Permitir el uso de estas condiciones de nivel de acceso para la API de entrada o salida dentro o fuera del límite del perímetro de servicio.

Esta función proporciona los siguientes beneficios:

  • Puedes especificar condiciones en las configuraciones de Controles del servicio de VPC para permitir el acceso desde una dirección IP interna en una red de VPC.

  • Workflows que requieren llamadas a la API para pasar por varios perímetros de servicio pueden restringir el acceso para permitir solo unas pocas subredes, en lugar de permitir de toda la red de VPC o del proyecto.

  • Puedes configurar diferentes recursos de tu entorno local para poder acceder solo a recursos específicos de Google Cloud. Debes usar la IP de la subred rango de direcciones asociado con estos recursos locales y la zona de destino red de VPC como parte del nivel de acceso.

En la Figura 1, se muestra una configuración de ejemplo que permite el acceso a un servicio protegido específico desde una dirección IP interna autorizada.

Limitaciones del uso de direcciones IP internas

Cuando usas una dirección IP interna en los Controles del servicio de VPC, se aplican las siguientes limitaciones:

  • Puedes habilitar una dirección IP interna solo con niveles de acceso básicos y no con niveles de acceso personalizados.

  • Te recomendamos que no niegues los niveles de acceso con direcciones IP internas debido a que pueden provocar comportamientos inesperados.

  • También se aplican las limitaciones para agregar redes de VPC a perímetros de servicio.

  • Cuando los Controles del servicio de VPC registran un registro de auditoría de política denegada, se oculta el nombre de la red de VPC como __UNKNOWN__ en el registro de auditoría.

  • No se admiten las redes de VPC para las que SUBNET_MODE está configurado como custom, pero no tienen subredes. Para habilitar la dirección IP interna, una red de VPC debe contener al menos una subred.

  • Solo puedes especificar 500 redes de VPC en todos los niveles de acceso de tu política de acceso.

  • Cuando borras una red de VPC a la que hace referencia un nivel de acceso o un perímetro de servicio y, luego, vuelves a crear otra red de VPC con el mismo nombre, los Controles del servicio de VPC no habilitan automáticamente las direcciones IP internas en la red de VPC recreada. Para esta limitación, crea una red de VPC con una un nombre diferente y agregarlo al perímetro.

  • No puedes usar una dirección IP interna para permitir el acceso de Google Cloud. Por ejemplo, Cloud SQL.

  • Si usas un nivel de acceso que tiene condiciones internas basadas en direcciones IP con una regla de salida, te recomendamos que no agregues ninguna otra condición, como el tipo de dispositivo o la identidad del usuario, al nivel de acceso.

  • La dirección IP interna no coincide con los niveles de acceso que hacen referencia a ubicaciones geográficas regiones.

Usar la dirección IP interna en los niveles de acceso

  1. Especifica el nombre de la red de VPC y el rango de direcciones IP en el campo vpcNetworkSources de la condición de nivel de acceso básico.

    • Nombre de la red de VPC. Debes definir el nombre de la red del VPC en el siguiente formato:

      //compute.googleapis.com/projects/PROJECT_ID/global/networks/NETWORK_NAME

      Por ejemplo, //compute.googleapis.com/projects/my-project/global/networks/my-vpc.

    • Rango de direcciones IP. El rango de direcciones IP especificado en el archivo VpcSubNetwork campo de VpcNetworkSource debe seguir la especificación de subred de IP de bloque de CIDR. Puedes usar cualquier dirección IP que sea un rango IPv4 válido para las subredes.

  2. Usa este nivel de acceso con condiciones de permiso en la IngressSource o EgressSource

En las siguientes secciones, se explica cómo realizar estos pasos para habilitar una dirección IP interna con un ejemplo.

Ejemplo de cómo usar una dirección IP interna para configurar el acceso a la subred

En el siguiente ejemplo, tienes dos proyectos:

  1. Proyecto host de red: Project1 aloja una red de VPC: default. Las dos VMs en Project1, VM1 y VM2 usan esta red como una interfaz de red para enviar tráfico.

  2. Proyecto de Cloud Storage: Project2 contiene un bucket de Cloud Storage.

Puedes usar los Controles del servicio de VPC para permitir que solo VM1 desde Project1 acceda al bucket de Cloud Storage en Project2 con una dirección IP interna. Para lograr esta configuración, debes seguir estos pasos:

  1. Creas un perímetro de servicio sp1 alrededor de Project1 y otro perímetro de servicio sp2 alrededor de Project2.

  2. Luego, puedes agregar reglas de entrada y salida a los perímetros de servicio para Permitir el acceso de la subred de VM1 al bucket de Cloud Storage únicamente

En el siguiente diagrama, se muestra la configuración que se describe en este ejemplo.

Configura una política de acceso a nivel de la organización

  1. Asegúrate de tener una política de acceso a nivel de la organización. Si no tienes una política de acceso en este nivel, ejecuta el siguiente comando Comando de gcloud CLI:

    gcloud access-context-manager policies create \
    --organization=ORGANIZATION_ID --title=POLICY_TITLE

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: El ID numérico de tu organización.

    • POLICY_TITLE: Es un título legible para la política de acceso.

    Para obtener más información, consulta Crea una política de acceso a nivel de la organización.

  2. Obtén el nombre de tu política de acceso.

  3. Para establecer esta política como tu política de acceso predeterminada, ejecuta el siguiente comando: Comando de gcloud CLI:

    gcloud config set access_context_manager/policy POLICY_NAME

    Reemplaza POLICY_NAME por el nombre numérico de la política de acceso.

    Para obtener más información, consulta Establece la política de acceso predeterminada para La herramienta de línea de comandos de gcloud.

Crea perímetros para proteger el proyecto host de red y el proyecto de Cloud Storage

  1. Para crear un perímetro sp1 alrededor de Project1, ejecuta el siguiente comando de la CLI de gcloud:

    gcloud access-context-manager perimeters create sp1 --title="sp1" --resources=PROJECT_NUMBER \
    --restricted-services=storage.googleapis.com --policy=POLICY_NAME

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el número de proyecto del proyecto host de red. Por ejemplo, projects/111

    • POLICY_NAME: Es el nombre numérico de tu política de acceso. Por ejemplo, 1234567890.

  2. Para crear un perímetro sp2 alrededor de Project2 que restrinja el servicio de Cloud Storage, ejecuta el siguiente comando de gcloud CLI:

    gcloud access-context-manager perimeters create sp2 --title="sp2" --resources=PROJECT_NUMBER \
    --restricted-services=storage.googleapis.com --policy=POLICY_NAME

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el número de proyecto de Cloud Storage. Por ejemplo, projects/222

    • POLICY_NAME: Es el nombre numérico de la política de acceso. Por ejemplo, 1234567890.

Si quieres obtener más información para crear un perímetro de servicio, consulta Crea un perímetro de servicio. perímetro de servicio.

Después de crear estos dos perímetros, el bucket de Cloud Storage al que se puede acceder desde ambas VMs.

Crea un nivel de acceso con una condición de acceso basada en una dirección IP interna

Crea un nivel de acceso que solo permita el tráfico proveniente de la subred de VM1.

  1. Crea un archivo YAML que defina tus condiciones de acceso. El siguiente ejemplo muestra solo los atributos necesarios para habilitar una dirección IP interna:

    echo """
- vpcNetworkSources:
  - vpcSubnetwork:
      network: VPC_NETWORK_NAME
      vpcIpSubnetworks:
      - IP_RANGE

""" > level.yaml

    Reemplaza lo siguiente:

    • VPC_NETWORK_NAME: Es el nombre de la red de VPC. donde reside VM1. Por ejemplo, //compute.googleapis.com/projects/Project1/global/networks/default.

    • IP_RANGE: El rango de direcciones IP de la subred. Por ejemplo, 10.10.0.0/24

    Usa el nombre de la red de VPC y los formatos de rango de direcciones IP se explicó anteriormente.

    Para obtener más información sobre el archivo YAML, consulta Archivo YAML de basic-level-spec.

  2. Para crear un nivel de acceso con el archivo YAML, ejecuta el siguiente comando de gcloud CLI:

    gcloud access-context-manager levels create LEVEL_NAME \
    --title="TITLE" --basic-level-spec=FILE_NAME

    Reemplaza lo siguiente:

    • LEVEL_NAME: Es un nombre único para el nivel de acceso. Por ejemplo, allowvm1

    • TITLE: Es un título corto y legible para el nivel de acceso. Por ejemplo, allowvm1

    • FILE_NAME: Es el archivo YAML que define tus condiciones de acceso. para el nivel de acceso. Por ejemplo, level.yaml

    Para obtener más información, consulta Cómo crear un nivel de acceso básico.

Configura una política de entrada para permitir el tráfico de API entrante al bucket de Cloud Storage

Para permitir solo el acceso desde VM1, configura una política de entrada en el perímetro sp2 para permitir que el tráfico de la API de Cloud Storage ingrese al perímetro.

  1. Crea un archivo YAML que defina tu política de entrada.

    echo """
- ingressFrom:
    identityType: ANY_IDENTITY
    sources:
    - accessLevel: accessPolicies/POLICY_NAME/accessLevels/ACCESS_LEVEL_NAME
  ingressTo:
    operations:
    - methodSelectors:
      - method: '*'
      serviceName: storage.googleapis.com
    resources:
    - '*'

""" > ingress.yaml

    Reemplaza lo siguiente:

    • POLICY_NAME: Es el nombre numérico de tu política de acceso. Por ejemplo, 1234567890

    • ACCESS_LEVEL_NAME: Es el nombre de tu nivel de acceso. Por ejemplo, allowvm1.

    Para obtener más información sobre el archivo YAML, consulta Reglas de entrada. referencia.

  2. Para actualizar la política de entrada de un perímetro de servicio, ejecuta el siguiente comando de la CLI de gcloud:

    gcloud access-context-manager perimeters update PERIMETER --set-ingress-policies=FILE_NAME

    Reemplaza lo siguiente:

    • PERIMETER: Es el nombre de tu perímetro de servicio que protege el proyecto de Cloud Storage. Por ejemplo, sp2

    • FILE_NAME: Es el archivo YAML que define tu política de entrada. Por ejemplo, ingress.yaml.

    Para obtener más información, consulta Actualiza las políticas de entrada y salida de un perímetro de servicio.

Configura una política de salida para permitir el tráfico de API de salida al bucket de Cloud Storage

Además, configura una política de salida en el perímetro sp1 para permitir que el tráfico de la API de Cloud Storage salga del perímetro.

  1. Crea un archivo YAML que defina tu política de salida. Asegúrate de establecer el campo sourceRestriction como SOURCE_RESTRICTION_ENABLED en el archivo .

    echo """
- egressFrom:
    identityType: ANY_IDENTITY
    sourceRestriction: SOURCE_RESTRICTION_ENABLED
    sources:
    - accessLevel: accessPolicies/POLICY_NAME/accessLevels/ACCESS_LEVEL_NAME
  egressTo:
    operations:
    - methodSelectors:
      - method: '*'
      serviceName: storage.googleapis.com
    resources:
    - '*'

""" > egress.yaml

    Reemplaza lo siguiente:

    • POLICY_NAME: Es el nombre numérico de tu política de acceso. Por ejemplo, 1234567890

    • ACCESS_LEVEL_NAME: Es el nombre de tu nivel de acceso. Por ejemplo, allowvm1.

    Para obtener más información sobre el archivo YAML, consulta Reglas de salida referencia.

  2. Para actualizar la política de salida de un perímetro de servicio, ejecuta el siguiente comando: :

    gcloud access-context-manager perimeters update PERIMETER --set-egress-policies=FILE_NAME

    Reemplaza lo siguiente:

    • PERIMETER: Es el nombre de tu perímetro de servicio que protege el proyecto de host de red. Por ejemplo, sp1

    • FILE_NAME: Es el archivo YAML que define tu política de salida. Por ejemplo, egress.yaml.

    Para obtener más información, consulta Actualiza las políticas de entrada y salida de un perímetro de servicio.

Después de configurar las políticas de entrada y salida, se puede acceder al bucket de Cloud Storage desde VM1, mientras que no se puede acceder al bucket de Cloud Storage desde VM2.

Recomendaciones

  • Cuando habilites una dirección IP interna, te recomendamos que inhabilites el reenvío de IP para tus VMs. El reenvío de IP permite que una VM dentro de la misma red de VPC envíe solicitudes con una dirección IP diferente, lo que genera el riesgo de falsificación de direcciones IP.

  • Si deseas habilitar el reenvío de IP, te recomendamos que uses la a fin de reducir el riesgo de falsificación de identidad de direcciones IP:

    • Usa la restricción de la política de la organización Restrict VM IP Forwarding (constraints/compute.vmCanIpForward) para garantizar que solo las VMs autorizadas puedan habilitar el reenvío de IP.

    • Usa fuentes para las reglas de firewall. restringir las direcciones IP que pueden comunicarse con las VMs que tienen IP reenvío habilitado. Realice las siguientes tareas:

      • Configura reglas de firewall de entrada para permitir el tráfico entrante solo de un Rango de direcciones IP para las VMs que tienen habilitado el reenvío de IP.

      • Configura reglas de firewall de salida para permitir el tráfico saliente solo a un Rango de direcciones IP de las VMs que tienen habilitado el reenvío de IP.