Questa pagina descrive come utilizzare i Controlli di servizio VPC per proteggere IAP per l'inoltro TCP e come utilizzare IAP per l'inoltro TCP all'interno di un perimetro di Controlli di servizio VPC.
Prima di iniziare
Leggi la Panoramica dei Controlli di servizio VPC.
Configura l'utilizzo dell'inoltro TCP IAP senza un perimetro di servizio.
Crea un perimetro di servizio utilizzando i Controlli di servizio VPC. Questo perimetro di servizio protegge le risorse gestite da Google dei servizi che specifichi. Quando crei il perimetro di servizio:
Aggiungi il progetto che contiene l'istanza Compute Engine a cui vuoi connetterti con IAP ai progetti all'interno del perimetro di servizio. Se stai eseguendo un client IAP per TCP su un'istanza Compute Engine, inserisci nel perimetro anche il progetto contenente questa istanza.
Aggiungi l'API TCP Identity-Aware Proxy all'elenco dei servizi protetti dal tuo perimetro di servizio.
Se hai creato il perimetro di servizio senza aggiungere i progetti e i servizi di cui hai bisogno, consulta Gestire i perimetri di servizio per scoprire come aggiornarlo.
Configurare i record DNS utilizzando Cloud DNS
Se il client IAP per TCP, che probabilmente è Google Cloud CLI, non è in esecuzione all'interno di nessun perimetro, puoi saltare questo passaggio. Se invece esegui il client all'interno di un perimetro, devi configurare i record DNS per l'IAP per TCP.
IAP per TCP utilizza domini che non sono sottodomini di
googleapis.com. Utilizzando Cloud DNS, aggiungi record DNS per assicurarti che la rete VPC gestisca correttamente le richieste inviate a questi domini. Per approfondire le route VPC, consulta la Panoramica delle route.
Per creare una zona gestita per un dominio, aggiungere record DNS per instradare le richieste ed eseguire la transazione: Puoi utilizzare gcloud CLI con il terminale che preferisci o utilizzare Cloud Shell, su cui è preinstallato gcloud CLI.
Configura il DNS di
*.googleapis.comcome è consuetudine per le integrazioni di Controlli di servizio VPC.Raccogli le seguenti informazioni da utilizzare durante la configurazione dei record DNS:
PROJECT_ID è l'ID del progetto che ospita la rete VPC.
NETWORK_NAME è il nome della rete VPC in cui stai eseguendo il client IAP per TCP.
ZONE_NAME è il nome della zona che stai creando. Ad esempio,
iap-tcp-zone.
Crea una zona gestita privata per il dominio
tunnel.cloudproxy.appin modo che la rete VPC possa gestirla.gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=tunnel.cloudproxy.app \ --description="Description of your managed zone"
Avvia una transazione.
gcloud dns record-sets transaction start --zone=ZONE_NAME
Aggiungi il seguente record A DNS. In questo modo, il traffico viene reindirizzato all'IP virtuale (indirizzo IP virtuale) di Google soggetto a limitazioni.
gcloud dns record-sets transaction add \ --name=tunnel.cloudproxy.app. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
Aggiungi il seguente record CNAME DNS in modo che punti al record A appena aggiunto. In questo modo, tutto il traffico corrispondente al dominio viene reindirizzato agli indirizzi IP elencati nel passaggio precedente.
gcloud dns record-sets transaction add \ --name="*.tunnel.cloudproxy.app." \ --type=CNAME tunnel.cloudproxy.app. \ --zone=ZONE_NAME \ --ttl=300
Esegui la transazione.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
Configurazione del DNS con BIND
Anziché utilizzare Cloud DNS, puoi utilizzare
BIND. In questo caso,
segui le istruzioni per la
configurazione del DNS con
BIND,
ma utilizza l'IAP per i domini TCP anziché per i dominigoogleapis.com generali.
Utilizzo del VIP privato
Anziché utilizzare l'IP virtuale con restrizioni, potrebbe essere possibile utilizzare l'IP virtuale privato, a seconda di come hai configurato il perimetro e la rete. Se preferisci, utilizza
199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11
al posto di
199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7
nelle istruzioni per la configurazione dei record DNS.
Utilizzo di una VPC condivisa
Se utilizzi un VPC condiviso, devi aggiungere i progetti host e di servizio al perimetro di servizio. Vedi Gestire i perimetri di servizio.
Passaggi successivi
- Consulta Gestire i perimetri di servizio per aggiungere altre risorse al perimetro di servizio.