Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengamankan IAP untuk penerusan TCP dengan Kontrol Layanan VPC

Halaman ini menjelaskan cara menggunakan Kontrol Layanan VPC untuk melindungi IAP untuk penerusan TCP, dan cara menggunakan IAP untuk penerusan TCP dalam perimeter Kontrol Layanan VPC.

Sebelum memulai

Baca Ringkasan Kontrol Layanan VPC.
Menyiapkan penggunaan penerusan TCP IAP tanpa perimeter layanan.
Buat perimeter layanan menggunakan Kontrol Layanan VPC. Perimeter layanan ini melindungi resource layanan yang dikelola Google yang Anda tentukan. Saat Anda membuat perimeter layanan, lakukan hal berikut:
1. Tambahkan project yang berisi instance Compute Engine yang ingin Anda hubungkan dengan IAP ke project dalam perimeter layanan Anda. Jika Anda menjalankan klien IAP untuk TCP di instance Compute Engine, masukkan juga project yang berisi instance ini ke dalam perimeter.
2. Tambahkan Identity-Aware Proxy TCP API ke daftar layanan yang dilindungi oleh perimeter layanan Anda.
Jika Anda membuat perimeter layanan tanpa menambahkan project dan layanan yang Anda butuhkan, lihat Mengelola perimeter layanan untuk mempelajari cara mengupdate perimeter layanan.

Mengonfigurasi data DNS menggunakan Cloud DNS

Jika klien IAP untuk TCP Anda, yang kemungkinan adalah Google Cloud CLI, tidak berjalan di dalam perimeter mana pun, maka Anda dapat melewati langkah ini. Di sisi lain, jika Anda menjalankan klien di dalam perimeter, Anda harus mengonfigurasi data DNS untuk IAP untuk TCP.

IAP untuk TCP menggunakan domain yang bukan subdomain dari googleapis.com. Dengan menggunakan Cloud DNS, tambahkan data DNS untuk memastikan bahwa jaringan VPC Anda menangani permintaan yang dikirim ke domain tersebut dengan benar. Untuk mempelajari rute VPC lebih lanjut, baca Ringkasan rute.

Gunakan langkah-langkah berikut untuk membuat zona terkelola untuk sebuah domain, menambahkan data DNS untuk mengarahkan permintaan, dan menjalankan transaksi. Anda dapat menggunakan gcloud CLI dengan terminal pilihan Anda atau menggunakan Cloud Shell, yang telah menginstal gcloud CLI.

Konfigurasi DNS *.googleapis.com seperti biasa untuk integrasi Kontrol Layanan VPC.
Kumpulkan informasi ini untuk digunakan saat mengonfigurasi data DNS Anda:
- PROJECT_ID adalah ID project yang menghosting jaringan VPC Anda.
- NETWORK_NAME adalah nama jaringan VPC tempat Anda menjalankan klien IAP untuk TCP.
- ZONE_NAME adalah nama untuk zona yang Anda buat. Contoh, iap-tcp-zone.

Buat zona pribadi terkelola untuk domain tunnel.cloudproxy.app sehingga jaringan VPC dapat menanganinya.

gcloud dns managed-zones create ZONE_NAME \
 --visibility=private \
 --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
 --dns-name=tunnel.cloudproxy.app \
 --description="Description of your managed zone"

Mulai transaksi.

gcloud dns record-sets transaction start --zone=ZONE_NAME

Tambahkan data A DNS berikut. Tindakan ini akan mengalihkan traffic ke VIP yang dibatasi (alamat IP virtual) Google.

gcloud dns record-sets transaction add \
 --name=tunnel.cloudproxy.app. \
 --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
 --zone=ZONE_NAME \
 --ttl=300

Tambahkan data CNAME DNS berikut untuk mengarah ke data A yang baru saja Anda tambahkan. Tindakan ini akan mengalihkan semua traffic yang cocok dengan domain tersebut ke alamat IP yang tercantum dalam langkah sebelumnya.
```
gcloud dns record-sets transaction add \
 --name="*.tunnel.cloudproxy.app." \
 --type=CNAME tunnel.cloudproxy.app. \
 --zone=ZONE_NAME \
 --ttl=300
```

Jalankan transaksi.

gcloud dns record-sets transaction execute --zone=ZONE_NAME

Mengonfigurasi DNS dengan BIND

Daripada menggunakan Cloud DNS, Anda dapat menggunakan BIND. Dalam hal ini, ikuti petunjuk untuk mengonfigurasi DNS dengan BIND, tetapi gunakan domain IAP for TCP, bukan domain googleapis.com umum.

Menggunakan VIP pribadi

Daripada menggunakan VIP yang dibatasi, Anda mungkin dapat menggunakan VIP pribadi, bergantung pada cara Anda mengonfigurasi perimeter dan jaringan. Jika Anda lebih suka melakukannya, gunakan

199.36.153.8 199.36.153.9 199.36.153.10 199.36.153.11

sebagai pengganti

199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7

dalam petunjuk untuk mengonfigurasi data DNS Anda.

Menggunakan VPC bersama

Jika Anda menggunakan VPC bersama, Anda harus menambahkan project host dan layanan ke perimeter layanan. Lihat bagian Mengelola perimeter layanan.

Langkah berikutnya

Lihat Mengelola perimeter layanan untuk menambahkan lebih banyak resource ke perimeter layanan Anda.

Mengamankan IAP untuk penerusan TCP dengan Kontrol Layanan VPC Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.