Habilitar IAP para GKE

En esta página se explica cómo proteger una instancia de Google Kubernetes Engine (GKE) con Identity-Aware Proxy (IAP).

Información general

IAP se integra a través de Ingress para GKE. Esta integración te permite controlar el acceso a nivel de recurso de los empleados en lugar de usar una VPN.

En un clúster de GKE, el tráfico entrante se gestiona mediante el balanceo de carga HTTP(S), un componente de Cloud Load Balancing. El balanceador de carga HTTP(S) se configura normalmente mediante el controlador Ingress de Kubernetes. El controlador Ingress obtiene información de configuración de un objeto Ingress de Kubernetes asociado a uno o varios objetos Service. Cada objeto Service contiene información de enrutamiento que se usa para dirigir una solicitud entrante a un pod y un puerto concretos.

A partir de la versión 1.10.5-gke.3 de Kubernetes, puedes añadir la configuración del balanceador de carga asociando un servicio a un objeto BackendConfig. BackendConfig es una definición de recurso personalizado (CRD) que se define en el repositorio kubernetes/ingress-gce.

El controlador Ingress de Kubernetes lee la información de configuración de BackendConfig y configura el balanceador de carga en consecuencia. Un BackendConfig contiene información de configuración específica de Cloud Load Balancing y te permite definir una configuración independiente para cada servicio de backend de balanceo de carga HTTP(S).

Antes de empezar

Para habilitar IAP en GKE, necesitas lo siguiente:

  • Un proyecto de la consola de Google Cloud con la facturación habilitada. Google Cloud
  • Grupo de una o varias instancias de GKE, atendidas por un balanceador de carga HTTPS. El balanceador de carga se debe crear automáticamente cuando crees un objeto Ingress en un clúster de GKE.
  • Un nombre de dominio registrado en la dirección de tu balanceador de carga.
  • Código de la aplicación para verificar que todas las solicitudes tienen una identidad.

IAP usa un cliente de OAuth gestionado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación con IAP. Si quieres permitir el acceso a usuarios ajenos a tu organización, consulta Habilitar las compras en aplicaciones para aplicaciones externas.

Habilitar IAP

Si no has configurado la pantalla de consentimiento de OAuth de tu proyecto, se te pedirá que lo hagas. Para configurar la pantalla de consentimiento de OAuth, consulta el artículo Configurar la pantalla de consentimiento de OAuth.

Si ejecutas clústeres de GKE con la versión 1.24 o posterior, puedes configurar IAP y GKE mediante la API Gateway de Kubernetes. Para ello, sigue estos pasos y, a continuación, las instrucciones de Configurar IAP. No configures BackendConfig.

Configurar el acceso a IAP

  1. Ve a la página Identity-Aware Proxy.
    Ve a la página Identity-Aware Proxy
  2. Selecciona el proyecto que quieras proteger con IAP.

  3. Seleccione la casilla situada junto al recurso al que quiera conceder acceso.

    Si no ves un recurso, asegúrate de que se haya creado y de que el controlador de entrada de BackendConfig de Compute Engine esté sincronizado.

    Para verificar que el servicio de backend está disponible, ejecuta el siguiente comando de gcloud:

    gcloud compute backend-services list
  4. En el panel lateral de la derecha, haz clic en Añadir principal.
  5. En el cuadro de diálogo Añadir principales que aparece, introduce las direcciones de correo de los grupos o las personas que deban tener el rol Usuario de aplicaciones web protegidas mediante IAP en el proyecto.

    Los siguientes tipos de principales pueden tener este rol:

    • Cuenta de Google: usuario@gmail.com
    • Grupo de Google: admins@googlegroups.com
    • Cuenta de servicio: servidor@example.gserviceaccount.com
    • Dominio de Google Workspace: example.com

    Asegúrate de añadir una cuenta de Google a la que tengas acceso.

  6. En la lista desplegable Roles, selecciona Cloud IAP > IAP-secured Web App User (Cloud IAP > Usuario de aplicación web protegida con IAP).
  7. Haz clic en Guardar.

Configurar BackendConfig

Para configurar un BackendConfig para IAP, añade un bloque iap.

Añadir un bloque iap a BackendConfig

Para configurar BackendConfig para IAP, debes especificar el valor enabled. Asegúrate de que tienes el permiso compute.backendServices.update y añade el bloque iap a BackendConfig.

En las versiones 1.16.8-gke.3 y posteriores de GKE, usa la versión cloud.google.com/v1 de la API. Si utilizas una versión anterior de GKE, usa cloud.google.com/v1beta1. 

apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: CONFIG_DEFAULT
  namespace: my-namespace
spec:
  iap:
    enabled: true

Asociar un puerto de servicio a un BackendConfig

También debes asociar puertos de servicio a tu BackendConfig para activar IAP. Una forma de establecer esta asociación es asignar a todos los puertos del servicio el valor predeterminado de BackendConfig. Para ello, añade la siguiente anotación al recurso Service: 

metadata:
  annotations:
    beta.cloud.google.com/backend-config: '{"default": "CONFIG_DEFAULT"}'

Verificar el BackendConfig

Para probar la configuración, ejecuta kubectl get event. Si ves el mensaje "no BackendConfig for service port exists", significa que has asociado correctamente un puerto de servicio a tu BackendConfig, pero no se ha encontrado el recurso BackendConfig. Este error puede producirse si no has creado el recurso BackendConfig, lo has creado en el espacio de nombres incorrecto o has escrito mal la referencia en la anotación de Service.

Desactivar IAP

Para desactivar las compras en la aplicación, debes definir enabled como false en BackendConfig. Si eliminas el bloque IAP de BackendConfig, los ajustes se conservarán. Por ejemplo, si las compras en la aplicación están habilitadas y eliminas el bloque, seguirán activadas.

Siguientes pasos