Langkah 3: Konfigurasi akses

Bagian ini memberikan panduan tentang langkah-langkah pasca-deployment yang diperlukan untuk menyelesaikan penginstalan MDE Anda.

Mengaktifkan driver filestore cluster GKE

Mulai 1.4.0, cluster MDE GKE menggunakan instance filestore untuk menyimpan dump heap JVM yang memungkinkan tim engineering memecahkan masalah pelanggan secara lebih efektif. Karena batasan Terraform, add-on ini mungkin tidak diaktifkan untuk cluster autopilot versi sebelumnya. Jika Anda mengalami masalah saat pod tidak dimulai dan berada dalam status ContainerCreating, Anda harus mengaktifkan driver CSI untuk Filestore menggunakan perintah berikut:

gcloud container clusters update CLUSTER_NAME \
   --update-addons=GcpFilestoreCsiDriver=ENABLED --region REGION_NAME

Mengonfigurasi Identity-Aware Proxy

Identity-Aware Proxy (IAP) memungkinkan Anda terhubung dengan aman ke IP internal MDE API dan antarmuka web, serta membatasi akses eksternal ke antarmuka web MDE hanya untuk pengguna yang berwenang jika Anda men-deploy-nya dengan opsi Load Balancer Eksternal.

Untuk menggunakan IAP, Anda harus mengonfigurasi layar OAuth dan mengaktifkan IAP Service API terlebih dahulu:

Di konsol Google Cloud , buka IAP, lalu klik Enable API. Operasi ini mungkin memerlukan waktu beberapa menit untuk selesai.
Mengonfigurasi layar izin OAuth untuk IAP:
1. Di konsol Google Cloud , buka halaman Security > Identity-Aware Proxy dan pilih project deployment MDE.
2. Jika Anda belum mengonfigurasi layar izin OAuth project, Anda akan diminta untuk melakukannya:
  1. Klik Konfigurasi layar izin.
  2. Pilih jenis pengguna Eksternal, lalu klik Buat.
  3. Masukkan Nama aplikasi yang ingin Anda tampilkan, misalnya MDE.
  4. Di bagian Email dukungan pengguna, pilih alamat email yang ingin Anda tampilkan sebagai kontak publik. Alamat email harus milik akun pengguna yang login atau milik Grup Google yang penggunanya yang login adalah pengelola atau pemiliknya.
  5. Buka Informasi kontak developer, masukkan alamat email yang Anda inginkan agar Google dapat menggunakannya untuk memberi tahu Anda tentang perubahan apa pun pada project Anda.
  6. Tambahkan detail opsional.
  7. Klik Simpan.
Untuk mengubah informasi di layar izin OAuth nanti, seperti nama produk atau alamat email, ulangi langkah-langkah sebelumnya untuk mengonfigurasi layar izin.

Tunneling SSH melalui IAP

Untuk terhubung ke IP pribadi layanan MDE, Anda dapat membuat tunnel melalui proxy melalui SSH, dan Anda dapat menggunakan alat lokal seperti Postman untuk berinteraksi dengan MDE API.

Sebelum memulai

Pastikan Anda telah menyelesaikan langkah-langkah konfigurasi IAP umum.

Deployment MDE standar membuat VM proxy bernama mde-proxy. Mesin ini dapat mem-proxy permintaan masuk ke gateway API MDE atau antarmuka web MDE. VM ini hanya memiliki IP pribadi, tetapi IAP memungkinkan Anda membuat tunnel SSH yang aman ke mesin ini menggunakan Identity-Aware Proxy (IAP) untuk penerusan TCP. Bagian selanjutnya menjelaskan cara mengonfigurasi IAP untuk membuat tunnel traffic ke mde-proxy, dan cara membuat tunnel ke mde-proxy dari workstation Anda:

Di konsol Google Cloud , buka IAP, lalu klik SSH AND TCP RESOURCES.
Memberikan izin kepada pengguna yang diizinkan untuk menggunakan IAP agar dapat terhubung ke mde-proxy melalui IAP:

Sebelum pengguna dapat menggunakan IAP untuk terhubung ke mde-proxy, berikan peran roles/iap.tunnelResourceAccessor kepada mereka dengan mengikuti petunjuk berikut:
1. Pilih mde-proxy dari daftar.
  
  Catatan: Anda dapat melihat pesan peringatan di samping resource mde-proxy. Hal ini wajar dan tidak menimbulkan masalah. IAP memiliki akses ke mde-proxy melalui aturan firewall yang menggunakan tag jaringan.
2. Klik Tambahkan Principal di panel sisi kanan.
3. Ketik email kepala sekolah yang ingin Anda beri akses.
4. Pilih peran IAP-secured Tunnel User.
Buat tunnel ke MDE API menggunakan perintah berikut:

Catatan: Tunneling SSH di Cloud Shell memerlukan flag -4 tambahan dengan perintah gcloud compute ssh untuk memaksanya menggunakan IPv4.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy"  \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8080:api.mde.cloud.google.com:80
```
Setelah menjalankan perintah, MDE API dapat diakses di bagian http://localhost:8080.
Buat tunnel ke antarmuka web MDE.

Jika Anda membuat tunnel ke MDE API di Langkah 3, Anda dapat membuka terminal baru untuk menjalankan perintah nanti. Tunnel SSH ke MDE API dan antarmuka web MDE dapat berjalan secara paralel.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy" \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8081:ui.mde.cloud.google.com:80
```
Setelah menjalankan perintah, antarmuka web MDE dapat diakses di bagian http://localhost:8081.

Mengonfigurasi akses ke Load Balancer HTTP Eksternal antarmuka web

Di bagian ini, Anda akan mengonfigurasi akses ke Load Balancer HTTP Eksternal antarmuka web MDE menggunakan IAP.

Jika Anda mengaktifkan Load balancer HTTP Eksternal untuk antarmuka web MDE, Anda harus menggunakan IAP untuk membatasi akses ke aplikasi hanya bagi pengguna yang diberi otorisasi.

Sebelum memulai

Pastikan Anda menyelesaikan prasyarat berikut:

Anda men-deploy MDE dengan antarmuka web MDE.
Anda men-deploy antarmuka web MDE dengan Load Balancer HTTP Eksternal.
Anda telah menyelesaikan langkah-langkah konfigurasi IAP umum.

Langkah

Di konsol Google Cloud , buka IAP.
Klik Aplikasi.
Pilih layanan mde/mde-ui-ext-service.

Catatan: Anda dapat melihat pesan error di samping resource mde/mde-ui-ext-service. Ini adalah perilaku yang diharapkan dan bukan masalah. IAP memiliki akses ke mde/mde-ui-ext-service.
Klik tombol Aktifkan.
Baca dan setujui persyaratan konfigurasi.
Klik Turn On. Operasi ini mungkin memerlukan waktu beberapa menit.
Memberi pengguna yang diberi otorisasi untuk menggunakan IAP akses ke antarmuka web MDE:
1. Klik Tambahkan Principal di panel sebelah kanan.
2. Ketik email kepala sekolah yang ingin Anda beri akses.
3. Pilih peran IAP-secured Web App User.

Mengonfigurasi DNS untuk antarmuka web MDE

Jika Anda mengaktifkan Load balancer HTTP Eksternal untuk antarmuka web MDE, Anda harus menyetel data A nama domain yang Anda tetapkan ke variabel MDE_UI_DOMAIN_NAME di input.tfvars ke alamat IP load balancer HTTP eksternal yang di-deploy untuk menyelesaikan penyediaan sertifikat SSL yang dikelola Google.

Anda dapat mencari alamat IP load balancer HTTP eksternal dengan perintah berikut:

gcloud compute addresses list --filter="name~'.*mde-ui.*'" --format="value(address)" --global

Lihat host DNS Anda untuk mengetahui detail tentang cara membuat data A.