Etapa 3: configurar o acesso

Esta seção fornece orientações sobre as etapas necessárias após a implantação para concluir a instalação do MDE.

Ativar o driver do Filestore do cluster do GKE

A partir da versão 1.4.0, o cluster do MDE GKE usa uma instância do Filestore para armazenar despejos de heap da JVM, o que permite que a equipe de engenharia resolva problemas dos clientes com mais eficiência. Devido a restrições do Terraform, esse complemento pode não estar ativado para os clusters do Autopilot de versões anteriores. Se você perceber que os pods não estão sendo iniciados e estão no estado ContainerCreating, será necessário ativar o driver CSI para o Filestore usando o seguinte comando:

gcloud container clusters update CLUSTER_NAME \
   --update-addons=GcpFilestoreCsiDriver=ENABLED --region REGION_NAME

Configurar o Identity-Aware Proxy

O Identity-Aware Proxy (IAP) permite que você se conecte com segurança aos IPs internos da API e da interface da Web do MDE, além de restringir o acesso externo à interface da Web do MDE apenas a usuários autorizados se você a implantou com a opção de balanceador de carga externo.

Para usar o IAP, primeiro configure a tela do OAuth e ative a API de serviço do IAP:

No console do Google Cloud , acesse o IAP e clique em Ativar API. A operação pode demorar alguns minutos.
Configure a tela de permissão OAuth para o IAP:
1. No console do Google Cloud , acesse a página Segurança > Identity-Aware Proxy e selecione o projeto de implantação do MDE.
2. Se você ainda não configurou a tela de consentimento do OAuth do seu projeto, precisará fazer isso:
  1. Clique em Configurar tela de consentimento.
  2. Selecione o tipo de usuário Externo e clique em Criar.
  3. Digite o Nome do aplicativo que você quer exibir, por exemplo, MDE.
  4. Em E-mail para suporte do usuário, selecione o endereço de e-mail que será exibido como um contato público. O endereço de e-mail precisa pertencer à conta de usuário logada ou a um grupo do Google em que o usuário logado é gerente ou proprietário.
  5. Acesse Dados de contato do desenvolvedor e insira os endereços de e-mail que você quer que o Google use para notificar você sobre mudanças no seu projeto.
  6. Adicione os detalhes opcionais que quiser.
  7. Clique em Salvar.
Para mudar as informações na tela de consentimento do OAuth depois, como o nome do produto ou o endereço de e-mail, repita as etapas anteriores.

Tunelamento SSH com IAP

Para se conectar aos IPs particulares dos serviços do MDE, é possível fazer um túnel por proxy via SSH, o que permite usar ferramentas locais, como o Postman, para interagir com as APIs do MDE.

Antes de começar

Verifique se você concluiu as etapas de configuração geral do IAP.

A implantação padrão do MDE cria uma VM proxy chamada mde-proxy. Essa máquina pode fazer proxy de solicitações recebidas para o gateway de API do MDE ou interface da Web do MDE. Essa VM tem apenas um IP particular, mas o IAP permite criar um túnel SSH seguro para essa máquina usando o Identity-Aware Proxy (IAP) para encaminhamento de TCP. O restante desta seção explica como configurar o IAP para encaminhar o tráfego para o mde-proxy e como criar um túnel para ele na sua estação de trabalho:

No console Google Cloud , acesse o IAP e clique em RECURSOS SSH E TCP.
Conceda aos usuários autorizados a usar o IAP para se conectar a mde-proxy pelo IAP:

Antes que os usuários possam usar o IAP para se conectar ao mde-proxy, conceda a eles o papel roles/iap.tunnelResourceAccessor com as seguintes instruções:
1. Selecione mde-proxy na lista.
  
  Observação: você vai ver uma mensagem de aviso ao lado do recurso mde-proxy. Isso é esperado e não representa um problema. A IAP tem acesso ao mde-proxy por uma regra de firewall que usa tags de rede.
2. Clique em Adicionar principal no painel à direita.
3. Digite o e-mail do principal a quem você quer conceder acesso.
4. Selecione a função IAP-secured Tunnel User.
Crie um túnel para a API MDE usando o seguinte comando:

Observação: o tunelamento SSH no Cloud Shell exige uma flag -4 adicional com o comando gcloud compute ssh para forçar o uso do IPv4.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy"  \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8080:api.mde.cloud.google.com:80
```
Depois de executar o comando, as APIs do MDE vão estar acessíveis em http://localhost:8080.
Crie um túnel para a interface da Web do MDE.

Se você criou um túnel para a API MDE na etapa 3, abra um novo terminal para executar os comandos mais tarde. Os túneis SSH para a API do MDE e a interface da Web do MDE podem ser executados em paralelo.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy" \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8081:ui.mde.cloud.google.com:80
```
Depois de executar o comando, a interface da Web do MDE estará acessível em http://localhost:8081.

Configurar o acesso à interface da Web do balanceador de carga HTTP externo

Nesta seção, você vai configurar o acesso à interface da Web do MDE com o balanceador de carga HTTP externo usando o IAP.

Se você ativou o balanceador de carga HTTP externo para a interface da Web do MDE, use o IAP para restringir o acesso ao aplicativo apenas a usuários autorizados.

Antes de começar

Siga os pré-requisitos abaixo:

Você implantou o MDE com a interface da Web do MDE.
Você implantou a interface da Web do MDE com um balanceador de carga HTTP externo.
Você concluiu as etapas de configuração geral do IAP.

Etapas

No console Google Cloud , acesse o IAP.
Clique em Applications.
Selecione o serviço mde/mde-ui-ext-service.

Observação: você vai ver uma mensagem de erro ao lado do recurso mde/mde-ui-ext-service. Esse é o comportamento esperado e não é um problema. A IAP tem acesso ao mde/mde-ui-ext-service.
Clique no botão para Ativar.
Leia e aceite os requisitos de configuração.
Clique em Ativar. Essa operação pode levar vários minutos.
Conceda aos usuários autorizados a usar o IAP acesso à interface da Web do MDE:
1. Clique em Adicionar principais no painel à direita.
2. Digite o e-mail do principal a quem você quer conceder acesso.
3. Selecione a função IAP-secured Web App User.

Configurar o DNS para a interface da Web do MDE

Se você ativou o balanceador de carga HTTP externo para a interface da Web do MDE, defina o registro A do nome de domínio atribuído à variável MDE_UI_DOMAIN_NAME em input.tfvars como o endereço IP do balanceador de carga HTTP externo implantado para concluir o provisionamento do certificado SSL gerenciado pelo Google.

É possível pesquisar o endereço IP do balanceador HTTP externo com o seguinte comando:

gcloud compute addresses list --filter="name~'.*mde-ui.*'" --format="value(address)" --global

Consulte seu host de DNS para saber como criar um registro A.