Invoca un extremo privado que cumpla con los Controles del servicio de VPC

Puedes orientar las llamadas HTTP desde la ejecución del flujo de trabajo a un extremo privado mediante el registro de servicio del Directorio de servicios con Workflows. Cuando se crea un extremo privado dentro de una red de nube privada virtual (VPC), el extremo puede cumplir con los Controles del servicio de VPC.

Los Controles del servicio de VPC proporcionan una capa adicional de defensa de seguridad que es independiente de Identity and Access Management (IAM). Si bien IAM habilita el control de acceso basado en la identidad detallado, los Controles del servicio de VPC permiten una seguridad perimetral basada en el contexto más amplia, que incluye el control de salida de datos en el perímetro.

El Directorio de servicios es un registro de servicios que almacena información sobre servicios de red registrados, incluidos sus nombres, ubicaciones y atributos. Sin importar su infraestructura, puedes registrar servicios automáticamente y capturar sus detalles. Esto te permite descubrir, publicar y conectar servicios a gran escala para todos los extremos de servicios.
Una red de VPC proporciona conectividad para tus instancias de máquina virtual (VM) y te permite crear extremos privados dentro de tu red de VPC mediante el uso de direcciones IP internas. Las llamadas HTTP a un recurso de red de VPC se envían a través de una red privada mientras se aplican IAM y los Controles del servicio de VPC.
Los Controles del servicio de VPC son una función de Google Cloud que te permite configurar un perímetro de servicio y crear un límite de transferencia de datos. Puedes usar los Controles del servicio de VPC con Workflows para proteger los servicios y reducir el riesgo de robo de datos.

En este documento, se muestra cómo registrar una VM en una red de VPC como un extremo del Directorio de servicios. Esto te permite proporcionarle a tu flujo de trabajo un nombre de servicio del Directorio de servicios. La ejecución de tu flujo de trabajo usa la información recuperada del registro de servicio para enviar la solicitud HTTP adecuada, sin tener que salir a una red pública.

En este diagrama, se proporciona una descripción general:

Enviar una solicitud HTTP a un número de puerto en una instancia de VM con información del Directorio de servicios

En un nivel alto, debes seguir los siguientes pasos:

Otorga permisos al agente de servicio de Cloud Workflows para que el agente de servicio pueda ver los recursos del Directorio de servicios y acceder a las redes de VPC con el Directorio de servicios.
Crea una red de VPC para proporcionar la funcionalidad de red.
Crea una regla de firewall de VPC para permitir o rechazar el tráfico hacia o desde las instancias de VM en la red de VPC.
Crea una instancia de VM en la red de VPC. Una instancia de VM de Compute Engine es una máquina virtual alojada en la infraestructura de Google. Los términos instancia de Compute Engine, instancia de VM y VM son sinónimos y se usan de forma intercambiable.
Implementar una aplicación en la VM Puedes ejecutar una app en la instancia de VM y confirmar que el tráfico se entregue como se espera.
Configura el Directorio de servicios para que la ejecución del flujo de trabajo pueda invocar un extremo del Directorio de servicios.
Crea e implementa tu flujo de trabajo. El valor private_service_name en tu flujo de trabajo especifica el extremo del Directorio de servicios que registraste en el paso anterior.

Otorga permisos al agente de servicio de Cloud Workflows

Algunos servicios de Google Cloud tienen cuentas de servicio administradas por Google que permiten que los servicios accedan a tus recursos. Estas cuentas de servicio se conocen como agentes de servicio. Si una API requiere un agente de servicio, Google crea el agente de servicio después de que activas y usas la API.

Cuando implementas un flujo de trabajo por primera vez, el agente de servicio de Cloud Workflows se crea de forma automática con el siguiente formato:

service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com

Con este comando, puedes crear manualmente la cuenta de servicio en un proyecto sin ningún flujo de trabajo:
```
gcloud beta services identity create \
    --service=workflows.googleapis.com \
    --project=PROJECT_ID
```
Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud.
Para ver los recursos del Directorio de servicios, otorga la función Visualizador del directorio de servicios (servicedirectory.viewer) en el proyecto al agente de servicio de Workflows:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com \
    --role=roles/servicedirectory.viewer
```
Reemplaza PROJECT_NUMBER por el número de proyecto de Google Cloud. Para encontrar el número del proyecto, ve a la página de bienvenida de la consola de Google Cloud o ejecuta el siguiente comando:
```
gcloud projects describe PROJECT_ID --format='value(projectNumber)'
```
Para acceder a las redes de VPC mediante el Directorio de servicios, otorga la función de servicio autorizado de Private Service Connect (roles/servicedirectory.pscAuthorizedService) en el proyecto al agente de servicio de Workflows:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com \
    --role=roles/servicedirectory.pscAuthorizedService
```

Crear red de VPC

Una red de VPC es una versión virtual de una red física que se implementa en la red de producción de Google. Proporciona conectividad para las instancias de VM de Compute Engine.

Puedes crear una red de VPC de modo automático o personalizado. Cada red nueva que crees debe tener un nombre único dentro del mismo proyecto.

Por ejemplo, el siguiente comando crea una red de VPC de modo automático:

gcloud compute networks create NETWORK_NAME \
    --subnet-mode=auto

Reemplaza NETWORK_NAME por un nombre para la red de VPC.

Para obtener más información, consulta Crea y administra redes de VPC.

Crea una regla de firewall de VPC

Las reglas de firewall de VPC permiten o rechazan el tráfico hacia o desde las instancias de VM en una red de VPC según el número de puerto, la etiqueta o el protocolo.

Las reglas de firewall de VPC se definen a nivel de red y solo se aplican a la red en la que se crean; sin embargo, el nombre que elijas para una regla debe ser exclusivo del proyecto.

Por ejemplo, el siguiente comando crea una regla de firewall para una red de VPC específica y permite el tráfico de entrada desde cualquier dirección IPv4, 0.0.0.0/0. El valor de la marca --rules de all hace que la regla sea aplicable a todos los protocolos y puertos de destino.

gcloud compute firewall-rules create RULE_NAME \
    --network=projects/PROJECT_ID/global/networks/NETWORK_NAME \
    --direction=INGRESS \
    --action=ALLOW \
    --source-ranges=0.0.0.0/0 \
    --rules=all

Reemplaza RULE_NAME por un nombre para la regla de firewall.

Para obtener más información, consulta Reglas de firewall de VPC.

Crea una instancia de VM en la red de VPC

Las instancias de VM incluyen clústeres de Google Kubernetes Engine (GKE), instancias de entorno flexible de App Engine y otros productos de Google Cloud compilados en VM de Compute Engine. Para admitir el acceso a la red privada, un recurso de red de VPC puede ser una instancia de VM, una dirección IP de Cloud Interconnect o un balanceador de cargas interno de capa 4.

Las instancias de Compute Engine pueden ejecutar imágenes públicas para Linux y Windows Server que proporciona Google, así como imágenes personalizadas privadas que puedes crear o importar desde tus sistemas existentes. También puedes implementar contenedores de Docker.

Si utilizas un conjunto de tipos predefinidos de máquinas o creas tus propios tipos personalizados de máquinas, puedes elegir las propiedades de máquina de tus instancias, como la cantidad de CPU virtuales y de memoria.

Por ejemplo, el siguiente comando crea una instancia de VM de Linux a partir de una imagen pública con una interfaz de red conectada a la red de VPC que creaste antes.

Crea y, luego, inicia una instancia de VM:

gcloud compute instances create VM_NAME \
    --image-family=debian-11 \
    --image-project=debian-cloud \
    --machine-type=e2-micro \
    --network-interface network=projects/PROJECT_ID/global/networks/NETWORK_NAME

Reemplaza VM_NAME por un nombre para la VM.

Si se te solicita que confirmes la zona para la instancia, escribe y.

Después de crear la instancia de VM, toma nota de la dirección INTERNAL_IP que se muestra.
En la consola de Google Cloud, ve a la página Instancias de VM.

Ir a Instancias de VM
En la columna Nombre, haz clic en el nombre de la instancia de VM correspondiente.
Si la VM está en ejecución, haz clic en Detener para detenerla.
Para editar la VM, haz clic en Editar.
En la sección Herramientas de redes > Firewalls, para permitir el tráfico HTTP o HTTPS a la VM, selecciona Permitir tráfico HTTP o Permitir tráfico HTTPS.

Para este ejemplo, selecciona la casilla de verificación Permitir tráfico HTTP.

Compute Engine agrega una etiqueta de red a la VM, que asocia la regla de firewall con la VM. Luego, crea la regla de firewall de entrada correspondiente que permite todo el tráfico entrante en tcp:80 (HTTP) o tcp:443 (HTTPS).
Para guardar los cambios, haz clic en Guardar.
Para reiniciar la VM, haz clic en Iniciar/Reanudar.

Para obtener más información, consulta Crea y, luego, inicia una instancia de VM.

Implementa una aplicación en la VM

Para probar la configuración de red y confirmar que el tráfico se entrega como se espera, puedes implementar una app simple en tu VM que escuche en un puerto.

Por ejemplo, los siguientes comandos crean un servicio web de Node.js que escucha en el puerto 3000.

Establece una conexión SSH a tu instancia de VM.
Actualiza los repositorios de tus paquetes:
```
sudo apt update
```
Instala NVM, Node.js y npm.

Para obtener más información, consulta Configura un entorno de desarrollo de Node.js.

Crea un archivo package.json de forma interactiva:

npm init

Por ejemplo:

{
"name": "test",
"version": "1.0.0",
"description": "",
"main": "index.js",
"scripts": {
"test": "hello"
},
"author": "",
"license": "ISC"
}

Instala Express, un marco de trabajo de aplicación web para Node.js:
```
npm install express
```
Escribe el código para la app de prueba:
```
vim app.js
```
En el siguiente ejemplo, se crea una app que responde a las solicitudes GET a la ruta raíz (/) con el texto “Hello, world!”.
```
const express = require('express');
const app = express();

app.get('/', (req, res) => {
  res.status(200).send('Hello, world!').end();
});

app.listen(3000, () => {
  console.log('Sample app listening on port 3000.');
});
```
Toma nota del puerto en el que escucha la app. Se debe usar el mismo número de puerto cuando se configura el extremo para el servicio del Directorio de servicios.
Confirma que la app esté escuchando en el puerto 3000:
```
node app.js
```

Compute Engine ofrece una variedad de opciones de implementación. Si quieres obtener más información, consulta Elige una estrategia de implementación de Compute Engine para tu carga de trabajo.

Configura el Directorio de servicios

Para admitir la invocación de un extremo privado desde la ejecución de un flujo de trabajo, debes configurar un espacio de nombres del Directorio de servicios, registrar un servicio en el espacio de nombres y agregar un extremo al servicio.

Por ejemplo, con los siguientes comandos, se crea un espacio de nombres, un servicio y un extremo que especifican la red de VPC y la dirección IP interna de tu instancia de VM.

Crea un espacio de nombres:
```
gcloud service-directory namespaces create NAMESPACE \
    --location=REGION
```
Reemplaza lo siguiente:
- NAMESPACE: El ID del espacio de nombres o identificador completamente calificado para el espacio de nombres.
- REGION: Es la región de Google Cloud que contiene el espacio de nombres; por ejemplo, us-central1.

Crea un servicio:

gcloud service-directory services create SERVICE \
    --namespace=NAMESPACE \
    --location=REGION

Reemplaza SERVICE por el nombre del servicio que estás creando.

Configurar un extremo

Nota: Asegúrate de configurar solo un extremo por servicio del Directorio de servicios. Si hay más de un extremo configurado, Workflows elige un extremo de manera arbitraria.
```
gcloud service-directory endpoints create ENDPOINT \
    --namespace=NAMESPACE \
    --service=SERVICE \
    --network=projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME \
    --port=PORT_NUMBER \
    --address=IP_ADDRESS \
    --location=REGION
```
Reemplaza lo siguiente:
- ENDPOINT: Es el nombre del extremo que creas.
- PORT_NUMBER: Es el puerto en el que se ejecuta el extremo; por ejemplo, 3000.
- IP_ADDRESS: La dirección IPv6 o IPv4 del extremo; esta es la dirección IP interna que anotaste antes.

Para obtener más información, consulta Configura el Directorio de servicios y Configura el acceso a redes privadas.

Crea e implementa tu flujo de trabajo

La llamada o la invocación de un extremo privado desde Workflows se realizan mediante una solicitud HTTP. Los métodos de solicitud HTTP más comunes tienen un acceso directo de llamada (como http.get y http.post), pero puedes realizar cualquier tipo de solicitud HTTP si configuras el campo call en http.request y especificas el tipo de solicitud con el campo method. Para obtener más información, consulta Cómo realizar una solicitud HTTP.

Crea un archivo de código fuente para tu flujo de trabajo:
```
touch call-private-endpoint.JSON_OR_YAML
```
Reemplaza JSON_OR_YAML por yaml o json, según el formato de tu flujo de trabajo.

En un editor de texto, copia el siguiente flujo de trabajo (que, en este caso, usa un protocolo HTTP para el valor url) en tu archivo de código fuente:

YAML

main:
  steps:
    - checkHttp:
        call: http.get
        args:
          url: http://IP_ADDRESS
          private_service_name: "projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE/services/SERVICE"
        result: res
    - ret:
        return: ${res}

JSON

{
  "main": {
    "steps": [
      {
        "checkHttp": {
          "call": "http.get",
          "args": {
            "url": "http://IP_ADDRESS",
            "private_service_name": "projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE/services/SERVICE"
          },
          "result": "res"
        }
      },
      {
        "ret": {
          "return": "${res}"
        }
      }
    ]
  }
}

El valor private_service_name debe ser una string que especifique un nombre de servicio registrado del Directorio de servicios con el siguiente formato:

projects/PROJECT_ID/locations/LOCATION/namespaces/NAMESPACE_NAME/services/SERVICE_NAME

Implementar el flujo de trabajo Para fines de prueba, puedes adjuntar la cuenta de servicio predeterminada de Compute Engine al flujo de trabajo para representar su identidad:
```
gcloud workflows deploy call-private-endpoint \
    --source=call-private-endpoint.JSON_OR_YAML \
    --location=REGION \
    --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.com
```
Precaución: Te recomendamos que uses la cuenta de servicio predeterminada de Compute Engine solo para realizar pruebas. Para entornos de producción, recomendamos crear una cuenta de servicio nueva y otorgarle una o más funciones de IAM que contengan los permisos mínimos requeridos y que sigan el principio de privilegio mínimo.

Ejecuta el flujo de trabajo:

gcloud workflows run call-private-endpoint \
    --location=REGION

Deberías ver un resultado similar al siguiente:

argument: 'null'
duration: 0.650784403s
endTime: '2023-06-09T18:19:52.570690079Z'
name: projects/968807934019/locations/us-central1/workflows/call-private-endpoint/executions/4aac88d3-0b54-419b-b364-b6eb973cc932
result: '{"body":"Hello, world!","code":200,"headers":{"Connection":"keep-alive","Content-Length":"21","Content-Type":"text/html;
charset=utf-8","Date":"Fri, 09 Jun 2023 18:19:52 GMT","Etag":"W/\"15-NFaeBgdti+9S7zm5kAdSuGJQm6Q\"","Keep-Alive":"timeout=5","X-Powered-By":"Express"}}'
startTime: '2023-06-09T18:19:51.919905676Z'
state: SUCCEEDED