Invoca un extremo privado que cumpla con los Controles del servicio de VPC

Puedes segmentar un extremo privado para las llamadas HTTP desde la ejecución de tu flujo de trabajo con el registro de servicios del Directorio de servicios. Cuando creas un extremo privado dentro de una red de nube privada virtual (VPC), el extremo puede cumplir con los Controles del servicio de VPC.

Los Controles del servicio de VPC proporcionan una capa adicional de defensa de seguridad que es independiente de Identity and Access Management (IAM). Si bien IAM habilita un control de acceso detallado basado en la identidad, los Controles del servicio de VPC permiten una seguridad perimetral basada en el contexto más amplia, que incluye el control de salida de datos en todo el perímetro.

  • El Directorio de servicios es un registro de servicios que almacena información sobre los servicios de red registrados, incluidos sus nombres, ubicaciones y atributos. Independientemente de su infraestructura, puedes registrar servicios automáticamente y capturar sus detalles. Esto te permite descubrir, publicar y conectar servicios a gran escala para todos tus extremos de servicio.

  • Una red de VPC proporciona conectividad para tus instancias de máquina virtual (VM) y te permite crear extremos privados dentro de tu red de VPC con direcciones IP internas. Las llamadas HTTP a un recurso de red de VPC se envían a través de una red privada mientras se aplican los Controles del servicio de VPC y la IAM.

  • Controles del servicio de VPC es una función de Google Cloud que te permite configurar un perímetro de servicio y crear un límite de transferencia de datos. Puedes usar los Controles del servicio de VPC con Workflows para ayudar a proteger tus servicios y reducir el riesgo de robo de datos.

En este documento, se muestra cómo registrar una VM en una red de VPC como un extremo de Directorio de servicios. Esto te permite proporcionar a tu flujo de trabajo un nombre de servicio del Directorio de servicios. La ejecución de tu flujo de trabajo usa la información recuperada del registro de servicios para enviar la solicitud HTTP adecuada, sin salir a una red pública.

En este diagrama, se proporciona una descripción general:

Envía una solicitud HTTP a un número de puerto en una instancia de VM con información del directorio de servicios.

En un nivel alto, debes seguir los siguientes pasos:

  1. Otorga permisos al agente de servicio de Cloud Workflows para que pueda ver los recursos del Directorio de servicios y acceder a las redes de VPC con él.
  2. Crea una red de VPC para proporcionar funcionalidad de red.
  3. Crea una regla de firewall de VPC para permitir o denegar el tráfico hacia o desde las instancias de VM en tu red de VPC.
  4. Crea una instancia de VM en la red de VPC. Una instancia de VM de Compute Engine es una máquina virtual alojada en la infraestructura de Google. Los términos instancia de Compute Engine, instancia de VM y VM son sinónimos y se usan de manera intercambiable.
  5. Implementa una aplicación en la VM. Puedes ejecutar una app en tu instancia de VM y confirmar que el tráfico se entrega como se espera.

  6. Configura el Directorio de servicios para que la ejecución de tu flujo de trabajo pueda invocar un extremo del Directorio de servicios.

  7. Crea e implementa tu flujo de trabajo. El valor private_service_name en tu flujo de trabajo especifica el extremo de Directorio de servicios que registraste en el paso anterior.

Otorga permisos al agente de servicio de Cloud Workflows

Algunos servicios de Google Cloud tienen agentes de servicio que permiten que los servicios accedan a tus recursos. Si una API requiere un agente de servicio, Google crea el agente de servicio después de que activas y usas la API.

  1. Cuando implementas un flujo de trabajo por primera vez, el agente de servicio de Cloud Workflows se crea automáticamente con el siguiente formato:

    service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com

    Puedes crear la cuenta de servicio de forma manual en un proyecto sin ningún flujo de trabajo con este comando:

    gcloud beta services identity create \
    --service=workflows.googleapis.com \
    --project=PROJECT_ID

    Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud.

  2. Para ver los recursos del Directorio de servicios, otorga el rol de visor del Directorio de servicios (servicedirectory.viewer) en el proyecto al agente de servicio de Workflows:

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com \
    --role=roles/servicedirectory.viewer

    Reemplaza PROJECT_NUMBER por el número de proyecto de Google Cloud. Para encontrar el número del proyecto, ve a la página de bienvenida de la consola de Google Cloud o ejecuta el siguiente comando:

    gcloud projects describe PROJECT_ID --format='value(projectNumber)'

  3. Para acceder a las redes de VPC con el Directorio de servicios, otorga el rol de servicio autorizado de Private Service Connect (roles/servicedirectory.pscAuthorizedService) del proyecto al agente de servicio de Workflows:

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com \
    --role=roles/servicedirectory.pscAuthorizedService

Crear red de VPC

Una red de VPC es una versión virtual de una red física que se implementa en la red de producción de Google. Proporciona conectividad para las instancias de VM de Compute Engine.

Puedes crear una red de VPC en modo automático o personalizado. Cada red nueva que crees debe tener un nombre único dentro del mismo proyecto.

Por ejemplo, el siguiente comando crea una red de VPC de modo automático:

gcloud compute networks create NETWORK_NAME \
    --subnet-mode=auto

Reemplaza NETWORK_NAME por un nombre para la red de VPC.

Para obtener más información, consulta Crea y administra redes de VPC.

Crea una regla de firewall de VPC

Las reglas de firewall de VPC permiten o rechazan el tráfico hacia o desde las instancias de VM en una red de VPC según el número de puerto, la etiqueta o el protocolo.

Las reglas de firewall de VPC se definen a nivel de red y solo se aplican a la red en la que se crean; sin embargo, el nombre que elijas para una regla debe ser exclusivo del proyecto.

Por ejemplo, el siguiente comando crea una regla de firewall para una red de VPC especificada y permite el tráfico de entrada desde cualquier dirección IPv4, 0.0.0.0/0. El valor de la marca --rules de all hace que la regla sea aplicable a todos los protocolos y puertos de destino.

gcloud compute firewall-rules create RULE_NAME \
    --network=projects/PROJECT_ID/global/networks/NETWORK_NAME \
    --direction=INGRESS \
    --action=ALLOW \
    --source-ranges=0.0.0.0/0 \
    --rules=all

Reemplaza RULE_NAME por un nombre para la regla de firewall.

Para obtener más información, consulta Reglas de firewall de VPC.

Crea una instancia de VM en la red de VPC

Las instancias de VM incluyen clústeres de Google Kubernetes Engine (GKE), instancias del entorno flexible de App Engine y otros productos de Google Cloud compilados en VMs de Compute Engine. Para admitir acceso a la red privada, un recurso de red de VPC puede ser una instancia de VM, una dirección IP de Cloud Interconnect o un balanceador de cargas interno de capa 4.

Las instancias de Compute Engine pueden ejecutar imágenes públicas para Linux y Windows Server que proporciona Google, así como imágenes personalizadas privadas que puedes crear o importar desde tus sistemas existentes. También puedes implementar contenedores de Docker.

Si usas un conjunto de tipos predefinidos de máquinas o creas tus propios tipos personalizados de máquinas, puedes elegir las propiedades de máquina de tus instancias, como la cantidad de CPU virtuales y de memoria.

Por ejemplo, el siguiente comando crea una instancia de VM de Linux a partir de una imagen pública con una interfaz de red conectada a la red de VPC que creaste anteriormente.

  1. Crea y, luego, inicia una instancia de VM:

    gcloud compute instances create VM_NAME \
    --image-family=debian-11 \
    --image-project=debian-cloud \
    --machine-type=e2-micro \
    --network-interface network=projects/PROJECT_ID/global/networks/NETWORK_NAME

    Reemplaza VM_NAME por un nombre para la VM.

  2. Si se te solicita confirmar la zona de la instancia, escribe y.

    Después de crear la instancia de VM, toma nota de la dirección INTERNAL_IP que se muestra.

  3. En la consola de Google Cloud, ve a la página Instancias de VM.

    Ir a Instancias de VM

  4. En la columna Nombre, haz clic en el nombre de la instancia de VM adecuada.

  5. Si la VM está en ejecución, haz clic en Detener para detenerla.

  6. Para editar la VM, haz clic en Editar.

  7. En la sección Networking > Firewalls, para permitir el tráfico HTTP o HTTPS a la VM, selecciona Permitir tráfico HTTP o Permitir tráfico HTTPS.

    En este ejemplo, selecciona la casilla de verificación Permitir tráfico HTTP.

    Compute Engine agrega una etiqueta de red a la VM que asocia la regla de firewall con la VM. Luego, crea la regla de firewall de entrada correspondiente que permite todo el tráfico entrante en tcp:80 (HTTP) o tcp:443 (HTTPS).

  8. Para guardar los cambios, haz clic en Guardar.

  9. Para reiniciar la VM, haz clic en Iniciar/Reanudar.

Para obtener más información, consulta Crea y, luego, inicia una instancia de VM.

Implementa una aplicación en la VM

Para probar la configuración de red y confirmar que el tráfico se entrega como se espera, puedes implementar una app simple en tu VM que escuche en un puerto.

Por ejemplo, los siguientes comandos crean un servicio web de Node.js que escucha en el puerto 3000.

  1. Establece una conexión SSH a tu instancia de VM.

  2. Actualiza los repositorios de tus paquetes:

    sudo apt update

  3. Instala NVM, Node.js y npm.

    Para obtener más información, consulta Configura un entorno de desarrollo de Node.js.

  4. Crea un archivo package.json de forma interactiva:

    npm init

    Por ejemplo:

    {
"name": "test",
"version": "1.0.0",
"description": "",
"main": "index.js",
"scripts": {
"test": "hello"
},
"author": "",
"license": "ISC"
}

  5. Instala Express, un framework de aplicaciones web para Node.js:

    npm install express

  6. Escribe el código de la app de prueba:

    vim app.js

    En el siguiente ejemplo, se crea una app que responde a solicitudes GET a la ruta de acceso raíz (/) con el texto "Hello, world!".

    const express = require('express');
const app = express();

app.get('/', (req, res) => {
  res.status(200).send('Hello, world!').end();
});

app.listen(3000, () => {
  console.log('Sample app listening on port 3000.');
});

    Anota el puerto en el que escucha la app. Se debe usar el mismo número de puerto cuando se configura el extremo para el servicio del Directorio de servicios.

  7. Confirma que la app esté a la escucha en el puerto 3000:

    node app.js

Compute Engine ofrece una variedad de opciones de implementación. Para obtener más información, consulta Elige una estrategia de implementación de Compute Engine para tu carga de trabajo.

Configura el Directorio de servicios

Para admitir la invocación de un extremo privado desde una ejecución de flujo de trabajo, debes configurar un espacio de nombres del Directorio de servicios, registrar un servicio en el espacio de nombres y agregar un extremo al servicio.

Por ejemplo, los siguientes comandos crean un espacio de nombres, un servicio y un extremo que especifican la red de VPC y la dirección IP interna de tu instancia de VM.

  1. Crea un espacio de nombres:

    gcloud service-directory namespaces create NAMESPACE \
    --location=REGION

    Reemplaza lo siguiente:

    • NAMESPACE: El ID del espacio de nombres o el identificador completamente calificado del espacio de nombres.
    • REGION: Es la región de Google Cloud que contiene el espacio de nombres, por ejemplo, us-central1.

  2. Crea un servicio:

    gcloud service-directory services create SERVICE \
    --namespace=NAMESPACE \
    --location=REGION

    Reemplaza SERVICE por el nombre del servicio que creas.

  3. Configura un extremo.

    gcloud service-directory endpoints create ENDPOINT \
    --namespace=NAMESPACE \
    --service=SERVICE \
    --network=projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME \
    --port=PORT_NUMBER \
    --address=IP_ADDRESS \
    --location=REGION

    Reemplaza lo siguiente:

    • ENDPOINT: Es el nombre del extremo que creas.
    • PORT_NUMBER: Es el puerto en el que se ejecuta el extremo, por ejemplo, 3000.
    • IP_ADDRESS: la dirección IPv6 o IPv4 del extremo. Esta es la dirección IP interna que anotaste antes.

Para obtener más información, consulta Configura el directorio de servicios y Configura el acceso a la red privada.

Crea e implementa tu flujo de trabajo

Para llamar o invocar un extremo privado desde Workflows, debes usar una solicitud HTTP. Los métodos de solicitud HTTP más comunes tienen un atajo de llamada (como http.get y http.post), pero puedes realizar cualquier tipo de solicitud HTTP configurando el campo call en http.request y especificando el tipo de solicitud con el campo method. Para obtener más información, consulta Cómo realizar una solicitud HTTP.

  1. Crea un archivo de código fuente para tu flujo de trabajo:

    touch call-private-endpoint.JSON_OR_YAML

    Reemplaza JSON_OR_YAML por yaml o json, según el formato de tu flujo de trabajo.

  2. En un editor de texto, copia el siguiente flujo de trabajo (que, en este caso, usa un protocolo HTTP para el valor url) en tu archivo de código fuente:

    YAML

    main:
  steps:
    - checkHttp:
        call: http.get
        args:
          url: http://IP_ADDRESS
          private_service_name: "projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE/services/SERVICE"
        result: res
    - ret:
        return: ${res}

    JSON

    {
  "main": {
    "steps": [
      {
        "checkHttp": {
          "call": "http.get",
          "args": {
            "url": "http://IP_ADDRESS",
            "private_service_name": "projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE/services/SERVICE"
          },
          "result": "res"
        }
      },
      {
        "ret": {
          "return": "${res}"
        }
      }
    ]
  }
}

    El valor private_service_name debe ser una cadena que especifique un nombre de servicio registrado del directorio de servicios con el siguiente formato:

    projects/PROJECT_ID/locations/LOCATION/namespaces/NAMESPACE_NAME/services/SERVICE_NAME

  3. Implementa el flujo de trabajo. Para fines de prueba, puedes conectar la cuenta de servicio predeterminada de Compute Engine al flujo de trabajo para representar su identidad:

    gcloud workflows deploy call-private-endpoint \
    --source=call-private-endpoint.JSON_OR_YAML \
    --location=REGION \
    --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.com

  4. Ejecuta el flujo de trabajo:

    gcloud workflows run call-private-endpoint \
    --location=REGION

    Deberías ver un resultado similar al siguiente:

    argument: 'null'
duration: 0.650784403s
endTime: '2023-06-09T18:19:52.570690079Z'
name: projects/968807934019/locations/us-central1/workflows/call-private-endpoint/executions/4aac88d3-0b54-419b-b364-b6eb973cc932
result: '{"body":"Hello, world!","code":200,"headers":{"Connection":"keep-alive","Content-Length":"21","Content-Type":"text/html;
charset=utf-8","Date":"Fri, 09 Jun 2023 18:19:52 GMT","Etag":"W/\"15-NFaeBgdti+9S7zm5kAdSuGJQm6Q\"","Keep-Alive":"timeout=5","X-Powered-By":"Express"}}'
startTime: '2023-06-09T18:19:51.919905676Z'
state: SUCCEEDED

¿Qué sigue?