Habilitar IAP para GKE

En esta página se explica cómo proteger una instancia de Google Kubernetes Engine (GKE) con Identity-Aware Proxy (IAP).

Información general

IAP se integra a través de Ingress para GKE. Esta integración te permite controlar el acceso a nivel de recurso de los empleados en lugar de usar una VPN.

En un clúster de GKE, el tráfico entrante se gestiona mediante el balanceo de carga HTTP(S), un componente de Cloud Load Balancing. El balanceador de carga HTTP(S) se configura normalmente mediante el controlador Ingress de Kubernetes. El controlador Ingress obtiene información de configuración de un objeto Ingress de Kubernetes asociado a uno o varios objetos Service. Cada objeto Service contiene información de enrutamiento que se usa para dirigir una solicitud entrante a un pod y un puerto concretos.

A partir de la versión 1.10.5-gke.3 de Kubernetes, puedes añadir la configuración del balanceador de carga asociando un servicio a un objeto BackendConfig. BackendConfig es una definición de recurso personalizado (CRD) que se define en el repositorio kubernetes/ingress-gce.

El controlador Ingress de Kubernetes lee la información de configuración de BackendConfig y configura el balanceador de carga en consecuencia. Un BackendConfig contiene información de configuración específica de Cloud Load Balancing y te permite definir una configuración independiente para cada servicio de backend de balanceo de carga HTTP(S).

Antes de empezar

Para habilitar IAP en GKE, necesitas lo siguiente:

• Un proyecto de la consola de Google Cloud con la facturación habilitada. Google Cloud
• Grupo de una o varias instancias de GKE, atendidas por un balanceador de carga HTTPS. El balanceador de carga se debe crear automáticamente cuando crees un objeto Ingress en un clúster de GKE.
  • Consulta información sobre cómo crear un Ingress para HTTPS.
• Un nombre de dominio registrado en la dirección de tu balanceador de carga.
• Código de la aplicación para verificar que todas las solicitudes tienen una identidad.
  • Consulta cómo obtener la identidad del usuario.

IAP usa un cliente de OAuth gestionado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación con IAP. Si quieres permitir el acceso a usuarios ajenos a tu organización, consulta Habilitar las compras en aplicaciones para aplicaciones externas.

Habilitar IAP

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

If you are running GKE clusters version 1.24 or later, you can configure IAP and GKE by using the Kubernetes Gateway API. To do so, complete the following steps and then follow the instructions in Configure IAP. Do not configure BackendConfig.

Setting up IAP access

1. Go to the Identity-Aware Proxy page.
   Go to the Identity-Aware Proxy page
2. Select the project you want to secure with IAP.

3. Select the checkbox next to the resource you want to grant access to.

   If you don't see a resource, ensure that the resource is created and that the BackendConfig Compute Engine ingress controller is synced.

   To verify that the backend service is available, run the following gcloud command:

   gcloud compute backend-services list
4. On the right side panel, click Add principal.
5. In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.

   The following kinds of principals can have this role:

   • Google Account: user@gmail.com
   • Google Group: admins@googlegroups.com
   • Service account: server@example.gserviceaccount.com
   • Google Workspace domain: example.com

   Make sure to add a Google Account that you have access to.

6. Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
7. Click Save.

Configuring BackendConfig

You can configure a BackendConfig for IAP by adding an iap block.

Adding an iap block to the BackendConfig

To configure the BackendConfig for IAP, you need to specify the enabled value. Ensure that you have the compute.backendServices.update permission and add the iap block to BackendConfig.

For GKE versions 1.16.8-gke.3 and higher, use the cloud.google.com/v1 API version. If you are using an earlier GKE version, use cloud.google.com/v1beta1.

apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: CONFIG_DEFAULT
  namespace: my-namespace
spec:
  iap:
    enabled: true

Associate a service port with a BackendConfig

You also need to associate Service ports with your BackendConfig to trigger turning on IAP. One way to make this association is to make all ports for the service default to your BackendConfig, which you can do by adding the following annotation to your Service resource:

metadata:
  annotations:
    beta.cloud.google.com/backend-config: '{"default": "CONFIG_DEFAULT"}'

Verify the BackendConfig

To test the configuration, run kubectl get event. If you see the message "no BackendConfig for service port exists", then you successfully associated a service port with your BackendConfig, but the BackendConfig resource wasn't found. This error can occur if you haven't created the BackendConfig resource, created it in the wrong namespace, or misspelled the reference in the Service annotation.

Turning IAP off

To turn IAP off, you must set enabled to false in the BackendConfig. If you delete the IAP block from BackendConfig, the settings will persist. For example, if IAP is enabled and you delete the block then IAP will still be turned on.

Siguientes pasos

• Consulta cómo configurar Cloud CDN en GKE.
• Consulta cómo configurar Cloud Armor para GKE.
• Consulta más información sobre el recurso BackendConfig.