Paso 3: Configura el acceso

En esta sección, se proporciona orientación sobre los pasos posteriores a la implementación necesarios para completar la instalación del MDE.

Habilita el controlador de Filestore del clúster de GKE

A partir de la versión 1.4.0, el clúster de GKE del MDE usa una instancia de filestore para almacenar volcados de montón de JVM, lo que permite que el equipo de ingeniería solucione los problemas de los clientes de manera más eficaz. Debido a las restricciones de Terraform, es posible que este complemento no esté habilitado para los clústeres de Autopilot de versiones anteriores. Si observas que los Pods no se inician y se encuentran en el estado ContainerCreating, debes habilitar el controlador de CSI para Filestore con el siguiente comando:

gcloud container clusters update CLUSTER_NAME \
   --update-addons=GcpFilestoreCsiDriver=ENABLED --region REGION_NAME

Configura Identity-Aware Proxy

Identity-Aware Proxy (IAP) te permite conectarte de forma segura a las IPs internas de la API y la interfaz web de MDE, así como restringir el acceso externo a la interfaz web de MDE solo a los usuarios autorizados si la implementaste con la opción External Load Balancer.

Para usar IAP, primero debes configurar la pantalla de OAuth y habilitar la API del servicio de IAP:

En la consola de Google Cloud , ve a IAP y haz clic en Habilitar API. Esta operación puede tardar varios minutos.
Configura la pantalla de consentimiento de OAuth para las IAP:
1. En la consola de Google Cloud , ve a la página Seguridad > Identity-Aware Proxy y selecciona el proyecto de implementación de MDE.
2. Si aún no configuras la pantalla de consentimiento de OAuth para tu proyecto, se te solicitará hacerlo:
  1. Haz clic en Configurar pantalla de consentimiento.
  2. Selecciona el tipo de usuario Externo y haz clic en Crear.
  3. Ingresa el Nombre de la aplicación que deseas mostrar, por ejemplo, MDE.
  4. En Correo electrónico de asistencia al usuario, selecciona la dirección de correo electrónico que quieres mostrar como contacto público. La dirección de correo electrónico debe pertenecer a la cuenta del usuario que accedió o a un Grupo de Google del que el usuario que accedió sea administrador o propietario.
  5. Ve a Información de contacto del desarrollador y, luego, ingresa las direcciones de correo electrónico que deseas que Google use para notificarte sobre cualquier cambio en tu proyecto.
  6. Agrega los detalles opcionales que desees.
  7. Haz clic en Guardar.
Para cambiar la información en la pantalla de consentimiento de OAuth más tarde, como el nombre del producto o la dirección de correo electrónico, repite los pasos anteriores para configurarla.

Túnel SSH a través de IAP

Para conectarte a las IPs privadas de los servicios de MDE, puedes crear un túnel a través del proxy por SSH, lo que te permite usar herramientas locales como Postman para interactuar con las APIs de MDE.

Antes de comenzar

Asegúrate de haber completado los pasos de la configuración general de las IAP.

La implementación estándar de MDE crea una VM proxy llamada mde-proxy. Esta máquina puede redireccionar solicitudes entrantes a la puerta de enlace de la API de MDE o a la interfaz web de MDE. Esta VM solo tiene una IP privada, pero IAP te permite crear un túnel SSH seguro a esta máquina con Identity-Aware Proxy (IAP) para el reenvío de TCP. En el resto de esta sección, se explica cómo configurar IAP para el tráfico de tunelización hacia mde-proxy y cómo crear un túnel hacia él desde tu estación de trabajo:

En la consola de Google Cloud , ve a IAP y haz clic en RECURSOS SSH Y TCP.
Otorga permisos a los usuarios autorizados para usar IAP y conectarse a mde-proxy a través de IAP:

Antes de que los usuarios puedan usar IAP para conectarse a mde-proxy, otórgales el rol de roles/iap.tunnelResourceAccessor con las siguientes instrucciones:
1. Selecciona mde-proxy en la lista.
  
  Nota: Es posible que veas un mensaje de advertencia junto al recurso mde-proxy. Esto es normal y no representa un problema. IAP tiene acceso a mde-proxy a través de una regla de firewall que usa etiquetas de red.
2. Haz clic en Agregar principal en el panel lateral derecho.
3. Escribe el correo electrónico del principal al que quieres otorgar acceso.
4. Selecciona el rol IAP-secured Tunnel User.
Crea un túnel para la API de MDE con el siguiente comando:

Nota: El túnel SSH en Cloud Shell requiere una marca -4 adicional con el comando gcloud compute ssh para forzar su uso con IPv4.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy"  \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8080:api.mde.cloud.google.com:80
```
Después de ejecutar el comando, se puede acceder a las APIs de MDE en http://localhost:8080.
Crea un túnel a la interfaz web del MDE.

Si creaste un túnel para la API de MDE en el paso 3, puedes abrir una nueva terminal para ejecutar los comandos más adelante. Los túneles SSH a la API de MDE y a la interfaz web de MDE pueden ejecutarse en paralelo.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy" \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8081:ui.mde.cloud.google.com:80
```
Después de ejecutar el comando, se puede acceder a la interfaz web del MDE en http://localhost:8081.

Configura el acceso a la interfaz web del balanceador de cargas HTTP externo

En esta sección, configurarás el acceso a la interfaz web del MDE del balanceador de cargas HTTP externo con IAP.

Si habilitaste el balanceador de cargas HTTP externo para la interfaz web de MDE, debes usar el IAP para restringir el acceso a la aplicación solo a los usuarios autorizados.

Antes de comenzar

Asegúrate de completar los siguientes requisitos previos:

Implementaste MDE con la interfaz web de MDE.
Implementaste la interfaz web de MDE con un balanceador de cargas HTTP externo.
Completaste los pasos de la configuración general de IAP.

Pasos

En la consola de Google Cloud , ve a IAP.
Haz clic en Aplicaciones.
Selecciona el servicio mde/mde-ui-ext-service.

Nota: Es posible que veas un mensaje de error junto al recurso mde/mde-ui-ext-service. Este es el comportamiento esperado y no es un problema. IAP sí tiene acceso a mde/mde-ui-ext-service.
Haz clic en el botón de activación Habilitar.
Lee y acepta los requisitos de configuración.
Haz clic en Activar. Esta operación puede tardar varios minutos.
Otorga acceso a la interfaz web del MDE a los usuarios autorizados para usar IAP:
1. Haz clic en Agregar principales en el panel lateral derecho.
2. Escribe el correo electrónico del principal al que quieres otorgar acceso.
3. Selecciona el rol IAP-secured Web App User.

Configura el DNS para la interfaz web de MDE

Si habilitaste el balanceador de cargas HTTP externo para la interfaz web del MDE, debes establecer el registro A del nombre de dominio que asignaste a la variable MDE_UI_DOMAIN_NAME en input.tfvars a la dirección IP del balanceador de cargas HTTP externo que se implementó para finalizar el aprovisionamiento del certificado SSL administrado por Google.

Puedes buscar la dirección IP del balanceador de cargas HTTP externo con el siguiente comando:

gcloud compute addresses list --filter="name~'.*mde-ui.*'" --format="value(address)" --global

Consulta a tu host de DNS para obtener detalles sobre cómo crear un registro A.