IAP für TCP-Weiterleitung mit VPC Service Controls sichern

Auf dieser Seite wird beschrieben, wie Sie VPC Service Controls zum Schutz von IAP zur TCP-Weiterleitung verwenden und wie Sie IAP zur TCP-Weiterleitung in einem VPC Service Controls-Perimeter verwenden.

Hinweis

  1. Lesen Sie VPC Service Controls.

  2. Richten Sie die Nutzung der IAP-TCP-Weiterleitung ohne Dienstperimeter ein.

  3. Erstellen Sie mit VPC Service Controls einen Dienstperimeter. Er schützt die von Google verwalteten Ressourcen der von Ihnen angegebenen Dienste. Er schützt die von Google verwalteten Ressourcen der von Ihnen angegebenen Dienste.

    1. Fügen Sie das Projekt mit der Compute Engine-Instanz, zu der Sie über IAP eine Verbindung herstellen möchten, zu den Projekten in Ihrem Dienstperimeter hinzu. Wenn Sie einen IAP für TCP-Client auf einer Compute Engine-Instanz ausführen, fügen Sie das Projekt mit dieser Instanz ebenfalls zum Perimeter hinzu.

    2. Fügen Sie die Identity-Aware Proxy TCP API der Liste der Dienste hinzu, die durch Ihren Dienstperimeter geschützt sind.

    Wenn Sie Ihren Dienstperimeter erstellt haben, ohne die benötigten Projekte und Dienste einzufügen, erfahren Sie unter Dienstperimeter verwalten, wie Sie Ihren Dienstperimeter aktualisieren.

DNS-Einträge mit Cloud DNS konfigurieren

Wenn Ihr IAP für TCP-Client, also wahrscheinlich die Google Cloud CLI, nicht in einem Perimeter ausgeführt wird, können Sie diesen Schritt überspringen. Wenn Sie den Client jedoch in einem Perimeter ausführen, müssen Sie DNS-Einträge für IAP für TCP konfigurieren.

IAP für TCP verwendet Domains, die keine Subdomains von googleapis.com sind. Fügen Sie DNS-Einträge mithilfe von Cloud DNS hinzu, damit Ihr VPC-Netzwerk Anfragen, die an diese Domains gesendet werden, ordnungsgemäß verarbeitet. Weitere Informationen zu VPC-Routen finden Sie in der Routenübersicht.

Führen Sie folgende Schritte aus, um eine verwaltete Zone für eine Domain zu erstellen, DNS-Einträge zur Weiterleitung von Anfragen hinzuzufügen und die Transaktion auszuführen. Sie können die gcloud CLI mit Ihrem bevorzugten Terminal oder mit der Cloud Shell verwenden, in der die gcloud CLI vorinstalliert ist.

  1. Konfigurieren Sie das *.googleapis.com-DNS wie gewohnt für VPC Service Controls-Integrationen.

  2. Legen Sie diese Informationen beim Konfigurieren der DNS-Einträge fest:

    • PROJECT_ID ist die ID des Projekts, in dem Ihr VPC-Netzwerk gehostet wird.

    • NETWORK_NAME ist der Name des VPC-Netzwerks, in dem Sie den IAP für TCP-Client ausführen.

    • ZONE_NAME ist ein Name für die Zone, die Sie erstellen. Beispiel: iap-tcp-zone

  3. Erstellen Sie eine private verwaltete Zone für die Domain tunnel.cloudproxy.app, damit sie vom VPC-Netzwerk verarbeitet werden kann.

    gcloud dns managed-zones create ZONE_NAME \
     --visibility=private \
     --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
     --dns-name=tunnel.cloudproxy.app \
     --description="Description of your managed zone"
  4. Starten Sie eine Transaktion.

    gcloud dns record-sets transaction start --zone=ZONE_NAME
  5. Fügen Sie den folgenden DNS-A-Eintrag hinzu. Dadurch wird der Traffic an die eingeschränkte VIP (virtuelle IP-Adresse) von Google umgeleitet.

    gcloud dns record-sets transaction add \
     --name=tunnel.cloudproxy.app. \
     --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
     --zone=ZONE_NAME \
     --ttl=300
  6. Geben Sie den folgenden DNS-CNAME-Eintrag an, um auf den gerade hinzugefügten A-Eintrag zu verweisen. Dadurch wird der gesamte Traffic, der mit der Domain übereinstimmt, an die im vorherigen Schritt aufgeführten IP-Adressen umgeleitet.

    gcloud dns record-sets transaction add \
     --name="*.tunnel.cloudproxy.app." \
     --type=CNAME tunnel.cloudproxy.app. \
     --zone=ZONE_NAME \
     --ttl=300
  7. Führen Sie die Transaktion aus.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME

DNS mit BIND konfigurieren

Anstelle von Cloud DNS können Sie BIND verwenden. Folgen Sie in diesem Fall der Anleitung zum Konfigurieren von DNS mit BIND, verwenden Sie aber den IAP für TCP-Domains anstelle der allgemeinen googleapis.com-Domains.

Private VIP-Adresse verwenden

Anstelle der eingeschränkten VIP kann, je nachdem, wie Sie Ihren Perimeter und Ihr Netzwerk konfiguriert haben, auch der private VIP verwendet werden. Wenn Sie diese Vorgehensweise bevorzugen, verwenden Sie

199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11

anstelle von

199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7

wie in der Anleitung zur Konfiguration Ihrer DNS-Einträge.

Freigegebene VPC verwenden

Wenn Sie eine freigegebene VPC verwenden, müssen Sie den Host und die Dienstprojekte in den Dienstperimeter einfügen. Siehe Dienstperimeter verwalten.

Nächste Schritte