Puedes orientar las llamadas HTTP desde la ejecución del flujo de trabajo a un extremo privado mediante el registro de servicio del Directorio de servicios con Workflows. Cuando se crea un extremo privado dentro de una red de nube privada virtual (VPC), el extremo puede cumplir con los Controles del servicio de VPC.
Los Controles del servicio de VPC proporcionan una capa adicional de defensa de seguridad que es independiente de Identity and Access Management (IAM). Si bien IAM habilita el control de acceso basado en la identidad detallado, los Controles del servicio de VPC permiten una seguridad perimetral basada en el contexto más amplia, que incluye el control de salida de datos en el perímetro.
El Directorio de servicios es un registro de servicios que almacena información sobre servicios de red registrados, incluidos sus nombres, ubicaciones y atributos. Sin importar su infraestructura, puedes registrar servicios automáticamente y capturar sus detalles. Esto te permite descubrir, publicar y conectar servicios a gran escala para todos los extremos de servicios.
Una red de VPC proporciona conectividad para tus instancias de máquina virtual (VM) y te permite crear extremos privados dentro de tu red de VPC mediante el uso de direcciones IP internas. Las llamadas HTTP a un recurso de red de VPC se envían a través de una red privada mientras se aplican IAM y los Controles del servicio de VPC.
Los Controles del servicio de VPC son una función de Google Cloud que te permite configurar un perímetro de servicio y crear un límite de transferencia de datos. Puedes usar los Controles del servicio de VPC con Workflows para proteger los servicios y reducir el riesgo de robo de datos.
En este documento, se muestra cómo registrar una VM en una red de VPC como un extremo del Directorio de servicios. Esto te permite proporcionarle a tu flujo de trabajo un nombre de servicio del Directorio de servicios. La ejecución de tu flujo de trabajo usa la información recuperada del registro de servicio para enviar la solicitud HTTP adecuada, sin tener que salir a una red pública.
En este diagrama, se proporciona una descripción general:
En un nivel alto, debes seguir los siguientes pasos:
- Otorga permisos al agente de servicio de Cloud Workflows para que el agente de servicio pueda ver los recursos del Directorio de servicios y acceder a las redes de VPC con el Directorio de servicios.
- Crea una red de VPC para proporcionar la funcionalidad de red.
- Crea una regla de firewall de VPC para permitir o rechazar el tráfico hacia o desde las instancias de VM en la red de VPC.
- Crea una instancia de VM en la red de VPC. Una instancia de VM de Compute Engine es una máquina virtual alojada en la infraestructura de Google. Los términos instancia de Compute Engine, instancia de VM y VM son sinónimos y se usan de forma intercambiable.
- Implementar una aplicación en la VM Puedes ejecutar una app en la instancia de VM y confirmar que el tráfico se entregue como se espera.
- Configura el Directorio de servicios para que la ejecución del flujo de trabajo pueda invocar un extremo del Directorio de servicios.
- Crea e implementa tu flujo de trabajo. El valor
private_service_name
en tu flujo de trabajo especifica el extremo del Directorio de servicios que registraste en el paso anterior.
Otorga permisos al agente de servicio de Cloud Workflows
Algunos servicios de Google Cloud tienen cuentas de servicio administradas por Google que permiten que los servicios accedan a tus recursos. Estas cuentas de servicio se conocen como agentes de servicio. Si una API requiere un agente de servicio, Google crea el agente de servicio después de que activas y usas la API.
Cuando implementas un flujo de trabajo por primera vez, el agente de servicio de Cloud Workflows se crea de forma automática con el siguiente formato:
service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com
Con este comando, puedes crear manualmente la cuenta de servicio en un proyecto sin ningún flujo de trabajo:
gcloud beta services identity create \ --service=workflows.googleapis.com \ --project=PROJECT_ID
Reemplaza
PROJECT_ID
por el ID del proyecto de Google Cloud.Para ver los recursos del Directorio de servicios, otorga la función Visualizador del directorio de servicios (
servicedirectory.viewer
) en el proyecto al agente de servicio de Workflows:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com \ --role=roles/servicedirectory.viewer
Reemplaza
PROJECT_NUMBER
por el número de proyecto de Google Cloud. Para encontrar el número del proyecto, ve a la página de bienvenida de la consola de Google Cloud o ejecuta el siguiente comando:gcloud projects describe PROJECT_ID --format='value(projectNumber)'
Para acceder a las redes de VPC mediante el Directorio de servicios, otorga la función de servicio autorizado de Private Service Connect (
roles/servicedirectory.pscAuthorizedService
) en el proyecto al agente de servicio de Workflows:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com \ --role=roles/servicedirectory.pscAuthorizedService
Crear red de VPC
Una red de VPC es una versión virtual de una red física que se implementa en la red de producción de Google. Proporciona conectividad para las instancias de VM de Compute Engine.
Puedes crear una red de VPC de modo automático o personalizado. Cada red nueva que crees debe tener un nombre único dentro del mismo proyecto.
Por ejemplo, el siguiente comando crea una red de VPC de modo automático:
gcloud compute networks create NETWORK_NAME \ --subnet-mode=auto
Reemplaza NETWORK_NAME
por un nombre para la
red de VPC.
Para obtener más información, consulta Crea y administra redes de VPC.
Crea una regla de firewall de VPC
Las reglas de firewall de VPC permiten o rechazan el tráfico hacia o desde las instancias de VM en una red de VPC según el número de puerto, la etiqueta o el protocolo.
Las reglas de firewall de VPC se definen a nivel de red y solo se aplican a la red en la que se crean; sin embargo, el nombre que elijas para una regla debe ser exclusivo del proyecto.
Por ejemplo, el siguiente comando crea una regla de firewall para una red de VPC específica y permite el tráfico de entrada desde cualquier dirección IPv4, 0.0.0.0/0
. El valor de la marca --rules
de all
hace que la regla sea aplicable a todos los protocolos y puertos de destino.
gcloud compute firewall-rules create RULE_NAME \ --network=projects/PROJECT_ID/global/networks/NETWORK_NAME \ --direction=INGRESS \ --action=ALLOW \ --source-ranges=0.0.0.0/0 \ --rules=all
Reemplaza RULE_NAME
por un nombre para la regla de firewall.
Para obtener más información, consulta Reglas de firewall de VPC.
Crea una instancia de VM en la red de VPC
Las instancias de VM incluyen clústeres de Google Kubernetes Engine (GKE), instancias de entorno flexible de App Engine y otros productos de Google Cloud compilados en VM de Compute Engine. Para admitir el acceso a la red privada, un recurso de red de VPC puede ser una instancia de VM, una dirección IP de Cloud Interconnect o un balanceador de cargas interno de capa 4.
Las instancias de Compute Engine pueden ejecutar imágenes públicas para Linux y Windows Server que proporciona Google, así como imágenes personalizadas privadas que puedes crear o importar desde tus sistemas existentes. También puedes implementar contenedores de Docker.
Si utilizas un conjunto de tipos predefinidos de máquinas o creas tus propios tipos personalizados de máquinas, puedes elegir las propiedades de máquina de tus instancias, como la cantidad de CPU virtuales y de memoria.
Por ejemplo, el siguiente comando crea una instancia de VM de Linux a partir de una imagen pública con una interfaz de red conectada a la red de VPC que creaste antes.
Crea y, luego, inicia una instancia de VM:
gcloud compute instances create VM_NAME \ --image-family=debian-11 \ --image-project=debian-cloud \ --machine-type=e2-micro \ --network-interface network=projects/PROJECT_ID/global/networks/NETWORK_NAME
Reemplaza
VM_NAME
por un nombre para la VM.Si se te solicita que confirmes la zona para la instancia, escribe
y
.Después de crear la instancia de VM, toma nota de la dirección
INTERNAL_IP
que se muestra.En la consola de Google Cloud, ve a la página Instancias de VM.
En la columna Nombre, haz clic en el nombre de la instancia de VM correspondiente.
Si la VM está en ejecución, haz clic en
Detener para detenerla.Para editar la VM, haz clic en
Editar.En la sección Herramientas de redes > Firewalls, para permitir el tráfico HTTP o HTTPS a la VM, selecciona Permitir tráfico HTTP o Permitir tráfico HTTPS.
Para este ejemplo, selecciona la casilla de verificación Permitir tráfico HTTP.
Compute Engine agrega una etiqueta de red a la VM, que asocia la regla de firewall con la VM. Luego, crea la regla de firewall de entrada correspondiente que permite todo el tráfico entrante en
tcp:80
(HTTP) otcp:443
(HTTPS).Para guardar los cambios, haz clic en Guardar.
Para reiniciar la VM, haz clic en Iniciar/Reanudar.
Para obtener más información, consulta Crea y, luego, inicia una instancia de VM.
Implementa una aplicación en la VM
Para probar la configuración de red y confirmar que el tráfico se entrega como se espera, puedes implementar una app simple en tu VM que escuche en un puerto.
Por ejemplo, los siguientes comandos crean un servicio web de Node.js que escucha en el puerto 3000.
Establece una conexión SSH a tu instancia de VM.
Actualiza los repositorios de tus paquetes:
sudo apt update
-
Para obtener más información, consulta Configura un entorno de desarrollo de Node.js.
Crea un archivo
package.json
de forma interactiva:npm init
Por ejemplo:
{ "name": "test", "version": "1.0.0", "description": "", "main": "index.js", "scripts": { "test": "hello" }, "author": "", "license": "ISC" }
Instala Express, un marco de trabajo de aplicación web para Node.js:
npm install express
Escribe el código para la app de prueba:
vim app.js
En el siguiente ejemplo, se crea una app que responde a las solicitudes
GET
a la ruta raíz (/
) con el texto “Hello, world!”.Toma nota del puerto en el que escucha la app. Se debe usar el mismo número de puerto cuando se configura el extremo para el servicio del Directorio de servicios.
Confirma que la app esté escuchando en el puerto 3000:
node app.js
Compute Engine ofrece una variedad de opciones de implementación. Si quieres obtener más información, consulta Elige una estrategia de implementación de Compute Engine para tu carga de trabajo.
Configura el Directorio de servicios
Para admitir la invocación de un extremo privado desde la ejecución de un flujo de trabajo, debes configurar un espacio de nombres del Directorio de servicios, registrar un servicio en el espacio de nombres y agregar un extremo al servicio.
Por ejemplo, con los siguientes comandos, se crea un espacio de nombres, un servicio y un extremo que especifican la red de VPC y la dirección IP interna de tu instancia de VM.
Crea un espacio de nombres:
gcloud service-directory namespaces create NAMESPACE \ --location=REGION
Reemplaza lo siguiente:
NAMESPACE
: El ID del espacio de nombres o identificador completamente calificado para el espacio de nombres.REGION
: Es la región de Google Cloud que contiene el espacio de nombres; por ejemplo,us-central1
.
Crea un servicio:
gcloud service-directory services create SERVICE \ --namespace=NAMESPACE \ --location=REGION
Reemplaza
SERVICE
por el nombre del servicio que estás creando.Configurar un extremo
gcloud service-directory endpoints create ENDPOINT \ --namespace=NAMESPACE \ --service=SERVICE \ --network=projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME \ --port=PORT_NUMBER \ --address=IP_ADDRESS \ --location=REGION
Reemplaza lo siguiente:
ENDPOINT
: Es el nombre del extremo que creas.PORT_NUMBER
: Es el puerto en el que se ejecuta el extremo; por ejemplo,3000
.IP_ADDRESS
: La dirección IPv6 o IPv4 del extremo; esta es la dirección IP interna que anotaste antes.
Para obtener más información, consulta Configura el Directorio de servicios y Configura el acceso a redes privadas.
Crea e implementa tu flujo de trabajo
La llamada o la invocación de un extremo privado desde Workflows se realizan mediante una solicitud HTTP. Los métodos de solicitud HTTP más comunes tienen un acceso directo de llamada (como http.get y http.post), pero puedes realizar cualquier tipo de solicitud HTTP si configuras el campo call
en http.request
y especificas el tipo de solicitud con el campo method
. Para obtener más información, consulta Cómo realizar una solicitud HTTP.
Crea un archivo de código fuente para tu flujo de trabajo:
touch call-private-endpoint.JSON_OR_YAML
Reemplaza
JSON_OR_YAML
poryaml
ojson
, según el formato de tu flujo de trabajo.En un editor de texto, copia el siguiente flujo de trabajo (que, en este caso, usa un protocolo HTTP para el valor
url
) en tu archivo de código fuente:YAML
main: steps: - checkHttp: call: http.get args: url: http://IP_ADDRESS private_service_name: "projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE/services/SERVICE" result: res - ret: return: ${res}
JSON
{ "main": { "steps": [ { "checkHttp": { "call": "http.get", "args": { "url": "http://IP_ADDRESS", "private_service_name": "projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE/services/SERVICE" }, "result": "res" } }, { "ret": { "return": "${res}" } } ] } }
El valor
private_service_name
debe ser una string que especifique un nombre de servicio registrado del Directorio de servicios con el siguiente formato:projects/PROJECT_ID/locations/LOCATION/namespaces/NAMESPACE_NAME/services/SERVICE_NAME
Implementar el flujo de trabajo Para fines de prueba, puedes adjuntar la cuenta de servicio predeterminada de Compute Engine al flujo de trabajo para representar su identidad:
gcloud workflows deploy call-private-endpoint \ --source=call-private-endpoint.JSON_OR_YAML \ --location=REGION \ --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.com
Ejecuta el flujo de trabajo:
gcloud workflows run call-private-endpoint \ --location=REGION
Deberías ver un resultado similar al siguiente:
argument: 'null' duration: 0.650784403s endTime: '2023-06-09T18:19:52.570690079Z' name: projects/968807934019/locations/us-central1/workflows/call-private-endpoint/executions/4aac88d3-0b54-419b-b364-b6eb973cc932 result: '{"body":"Hello, world!","code":200,"headers":{"Connection":"keep-alive","Content-Length":"21","Content-Type":"text/html; charset=utf-8","Date":"Fri, 09 Jun 2023 18:19:52 GMT","Etag":"W/\"15-NFaeBgdti+9S7zm5kAdSuGJQm6Q\"","Keep-Alive":"timeout=5","X-Powered-By":"Express"}}' startTime: '2023-06-09T18:19:51.919905676Z' state: SUCCEEDED
¿Qué sigue?
- Obtén más información sobre Private Service Connect.
- Configura un perímetro de servicio con los Controles del servicio de VPC.
- Invoca IAP, como Compute Engine, GKE o un extremo privado o de otro tipo mediante la habilitación de IAP.