Schritt 3: Zugriff konfigurieren

In diesem Abschnitt finden Sie Informationen zu den erforderlichen Schritten nach der Bereitstellung, um die MDE-Installation abzuschließen.

Filestore-Treiber für GKE-Cluster aktivieren

Ab Version 1.4.0 verwendet der MDE-GKE-Cluster eine Filestore-Instanz zum Speichern von JVM-Heap-Dumps. So kann das Engineering-Team Kundenprobleme effektiver beheben. Aufgrund von Terraform-Einschränkungen ist dieses Add-on möglicherweise nicht für Autopilot-Cluster früherer Versionen aktiviert. Wenn die Pods nicht gestartet werden und sich im Status ContainerCreating befinden, müssen Sie den CSI-Treiber für Filestore mit dem folgenden Befehl aktivieren:

gcloud container clusters update CLUSTER_NAME \
   --update-addons=GcpFilestoreCsiDriver=ENABLED --region REGION_NAME

Identity-Aware Proxy konfigurieren

Mit Identity-Aware Proxy (IAP) können Sie eine sichere Verbindung zu den internen IP-Adressen der MDE API und der Weboberfläche herstellen. Außerdem können Sie den externen Zugriff auf die MDE-Weboberfläche auf autorisierte Nutzer beschränken, wenn Sie sie mit der Option „Externer Load Balancer“ bereitgestellt haben.

Wenn Sie IAP verwenden möchten, müssen Sie zuerst den OAuth-Bildschirm konfigurieren und die IAP-Dienst-API aktivieren:

Rufen Sie in der Google Cloud Console IAP auf und klicken Sie auf API aktivieren. Dieser Vorgang kann einige Minuten dauern.
So konfigurieren Sie den OAuth-Zustimmungsbildschirm für IAP:
1. Rufen Sie in der Google Cloud Console die Seite Sicherheit > Identity-Aware Proxy auf und wählen Sie das MDE-Bereitstellungsprojekt aus.
2. Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts nicht konfiguriert haben, werden Sie dazu aufgefordert:
  1. Klicken Sie auf Zustimmungsbildschirm konfigurieren.
  2. Wählen Sie den Nutzertyp Extern aus und klicken Sie auf Erstellen.
  3. Geben Sie den Namen der Anwendung ein, der angezeigt werden soll, z. B. MDE.
  4. Wählen Sie unter E‑Mail-Adresse für Nutzersupport die E‑Mail-Adresse aus, die als öffentlicher Kontakt angezeigt werden soll. Die E‑Mail-Adresse muss zum angemeldeten Nutzerkonto oder zu einer Google-Gruppe gehören, für die der angemeldete Nutzer Administrator oder Inhaber ist.
  5. Rufen Sie Kontaktdaten des Entwicklers auf und geben Sie die E-Mail-Adressen ein, die Google verwenden soll, um Sie über Änderungen an Ihrem Projekt zu informieren.
  6. Fügen Sie nach Belieben weitere Details hinzu.
  7. Klicken Sie auf Speichern.
Wenn Sie später Informationen wie den Produktnamen oder die E‑Mail-Adresse auf dem OAuth-Zustimmungsbildschirm ändern möchten, müssen Sie die vorherigen Schritte zur Konfiguration des Zustimmungsbildschirms wiederholen.

SSH-Tunneling über IAP

Um eine Verbindung zu den privaten IPs der MDE-Dienste herzustellen, können Sie sie über SSH durch den Proxy tunneln. So können Sie lokale Tools wie Postman verwenden, um mit den MDE-APIs zu interagieren.

Hinweise

Prüfen Sie, ob Sie die Schritte zur allgemeinen IAP-Produkten ausgeführt haben.

Bei der Standardbereitstellung von MDE wird eine Proxy-VM namens mde-proxy erstellt. Diese Maschine kann eingehende Anfragen an das MDE API-Gateway oder die MDE-Weboberfläche weiterleiten. Diese VM hat nur eine private IP-Adresse, aber mit IAP können Sie mithilfe von Identity-Aware Proxy (IAP) for TCP Forwarding einen sicheren SSH-Tunnel zu dieser Maschine erstellen. Im restlichen Teil dieses Abschnitts wird beschrieben, wie Sie IAP für das Tunneln von Traffic zu mde-proxy konfigurieren und wie Sie einen Tunnel von Ihrer Workstation zu mde-proxy erstellen:

Rufen Sie in der Google Cloud Console IAP auf und klicken Sie auf SSH- UND TCP-RESSOURCEN.
So erteilen Sie Nutzern, die berechtigt sind, über IAP eine Verbindung zu mde-proxy herzustellen, die entsprechenden Berechtigungen:

Bevor Nutzer IAP verwenden können, um eine Verbindung zu mde-proxy herzustellen, müssen Sie ihnen die roles/iap.tunnelResourceAccessor-Rolle zuweisen. Folgen Sie dazu dieser Anleitung:
1. Wählen Sie mde-proxy aus der Liste aus.
  
  Hinweis: Neben der mde-proxy-Ressource wird voraussichtlich eine Warnmeldung angezeigt. Das ist normal und stellt kein Problem dar. IAP hat über eine Firewallregel, die Netzwerk-Tags verwendet, Zugriff auf den „mde-proxy“.
2. Klicken Sie in der rechten Seitenleiste auf Hauptkonto hinzufügen.
3. Geben Sie die E-Mail-Adresse des Hauptkontos ein, dem Sie Zugriff gewähren möchten.
4. Wählen Sie die Rolle IAP-secured Tunnel User aus.
Erstellen Sie mit dem folgenden Befehl einen Tunnel zur MDE API:

Hinweis: Für das SSH-Tunneling in Cloud Shell ist ein zusätzliches -4-Flag mit dem Befehl gcloud compute ssh erforderlich, um die Verwendung von IPv4 zu erzwingen.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy"  \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8080:api.mde.cloud.google.com:80
```
Nachdem Sie den Befehl ausgeführt haben, sind die MDE-APIs unter http://localhost:8080 verfügbar.
Erstellen Sie einen Tunnel zur MDE-Webschnittstelle.

Wenn Sie in Schritt 3 einen Tunnel zur MDE API erstellt haben, können Sie ein neues Terminal öffnen, um die Befehle später auszuführen. Die SSH-Tunnel zur MDE API und zur MDE-Weboberfläche können parallel ausgeführt werden.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy" \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8081:ui.mde.cloud.google.com:80
```
Nachdem Sie den Befehl ausgeführt haben, ist die MDE-Weboberfläche unter http://localhost:8081 verfügbar.

Zugriff auf die Weboberfläche des externen HTTP-Load-Balancers konfigurieren

In diesem Abschnitt konfigurieren Sie den Zugriff auf die MDE-Weboberfläche über den externen HTTP-Load-Balancer mit IAP.

Wenn Sie den externen HTTP-Load-Balancer für die MDE-Weboberfläche aktiviert haben, müssen Sie IAP verwenden, um den Zugriff auf die Anwendung auf autorisierte Nutzer zu beschränken.

Hinweise

Führen Sie die folgenden Schritte aus:

Sie haben MDE über die MDE-Weboberfläche bereitgestellt.
Sie haben die MDE-Weboberfläche mit einem externen HTTP-Load-Balancer bereitgestellt.
Sie haben die Schritte zur allgemeinen IAP-Konfiguration abgeschlossen.

Schritte

Rufen Sie in der Google Cloud Console IAP auf.
Klicken Sie auf Anwendungen.
Wählen Sie den Dienst mde/mde-ui-ext-service aus.

Hinweis :Neben der mde/mde-ui-ext-service-Ressource wird eine Fehlermeldung angezeigt. Das ist ganz normal und kein Problem. IAP hat Zugriff auf die mde/mde-ui-ext-service.
Klicken Sie auf den Schalter Aktivieren.
Lesen und akzeptieren Sie die Konfigurationsanforderungen.
Klicken Sie auf Aktivieren. Dieser Vorgang kann einige Minuten dauern.
Gewähren Sie Nutzern, die zur Verwendung von IAP autorisiert sind, Zugriff auf die MDE-Weboberfläche:
1. Klicken Sie in der rechten Seitenleiste auf Hauptkonten hinzufügen.
2. Geben Sie die E-Mail-Adresse des Hauptkontos ein, dem Sie Zugriff gewähren möchten.
3. Wählen Sie die Rolle IAP-secured Web App User aus.

DNS für die MDE-Weboberfläche konfigurieren

Wenn Sie den externen HTTP-Load-Balancer für die MDE-Weboberfläche aktiviert haben, müssen Sie den A-Eintrag des Domainnamens, den Sie der Variablen MDE_UI_DOMAIN_NAME in input.tfvars zugewiesen haben, auf die IP-Adresse des externen HTTP-Load-Balancers festlegen, der bereitgestellt wurde, um die Bereitstellung des von Google verwalteten SSL-Zertifikats abzuschließen.

Sie können die IP-Adresse des externen HTTP-Load-Balancers mit dem folgenden Befehl ermitteln:

gcloud compute addresses list --filter="name~'.*mde-ui.*'" --format="value(address)" --global

Wenden Sie sich an Ihren DNS-Host, um Informationen zum Erstellen eines A-Eintrags zu erhalten.