Étape 3 : Configurer l'accès

Cette section fournit des conseils sur les étapes post-déploiement requises pour finaliser l'installation de MDE.

Activer le pilote Filestore du cluster GKE

Depuis la version 1.4.0, le cluster MDE GKE utilise une instance Filestore pour stocker les vidages du tas JVM, ce qui permet à l'équipe d'ingénierie de résoudre plus efficacement les problèmes des clients. En raison des restrictions de Terraform, il est possible que ce module complémentaire ne soit pas activé pour les clusters Autopilot des versions antérieures. Si vous constatez que les pods ne démarrent pas et qu'ils sont à l'état ContainerCreating, vous devez activer le pilote CSI pour Filestore à l'aide de la commande suivante :

gcloud container clusters update CLUSTER_NAME \
   --update-addons=GcpFilestoreCsiDriver=ENABLED --region REGION_NAME

Configurer Identity-Aware Proxy

Identity-Aware Proxy (IAP) vous permet de vous connecter de manière sécurisée aux adresses IP internes de l'API et de l'interface Web MDE, ainsi que de limiter l'accès externe à l'interface Web MDE aux seuls utilisateurs autorisés si vous l'avez déployée avec l'option "Équilibreur de charge externe".

Pour utiliser IAP, vous devez d'abord configurer l'écran OAuth et activer l'API du service IAP :

Dans la console Google Cloud , accédez à IAP, puis cliquez sur Activer l'API. Cette opération peut prendre plusieurs minutes.
Configurez l'écran de consentement OAuth pour IAP :
1. Dans la console Google Cloud , accédez à la page Sécurité > Identity-Aware Proxy et sélectionnez le projet de déploiement MDE.
2. Si vous n'avez pas configuré l'écran d'autorisation OAuth de votre projet, vous êtes invité à le faire :
  1. Cliquez sur Configurer l'écran de consentement.
  2. Sélectionnez le type d'utilisateur Externe, puis cliquez sur Créer.
  3. Saisissez le nom de l'application que vous souhaitez afficher, par exemple MDE.
  4. Sous Adresse e-mail d'assistance utilisateur, sélectionnez l'adresse e-mail que vous souhaitez afficher en tant que contact public. L'adresse e-mail doit appartenir au compte utilisateur connecté ou à un groupe Google dont l'utilisateur connecté est administrateur ou propriétaire.
  5. Accédez à Coordonnées du développeur, puis saisissez les adresses e-mail que vous souhaitez que Google utilise pour vous informer de toute modification apportée à votre projet.
  6. Ajoutez des détails, si nécessaire.
  7. Cliquez sur Enregistrer.
Pour modifier ultérieurement les informations affichées sur l'écran de consentement OAuth, comme le nom du produit ou l'adresse e-mail, répétez les étapes de configuration précédentes.

Tunnel SSH via IAP

Pour vous connecter aux adresses IP privées des services MDE, vous pouvez les faire transiter par le proxy via SSH. Cela vous permet d'utiliser des outils locaux tels que Postman pour interagir avec les API MDE.

Avant de commencer

Assurez-vous d'avoir effectué les étapes de configuration IAP'application.

Le déploiement MDE standard crée une VM proxy appelée mde-proxy. Cette machine peut servir de proxy pour les requêtes entrantes vers la passerelle d'API MDE ou l'interface Web MDE. Cette VM ne dispose que d'une adresse IP privée, mais IAP vous permet de créer un tunnel SSH sécurisé vers cette machine à l'aide d'Identity-Aware Proxy (IAP) pour le transfert TCP. Le reste de cette section explique comment configurer IAP pour le trafic de tunneling vers mde-proxy et comment créer un tunnel vers celui-ci à partir de votre poste de travail :

Dans la console Google Cloud , accédez à IAP, puis cliquez sur RESSOURCES SSH ET TCP.
Accordez aux utilisateurs autorisés à utiliser IAP l'accès à mde-proxy via IAP :

Avant que les utilisateurs puissent utiliser IAP pour se connecter à mde-proxy, accordez-leur le rôle roles/iap.tunnelResourceAccessor en suivant les instructions ci-dessous :
1. Sélectionnez mde-proxy dans la liste.
  
  Remarque : Vous devriez voir un message d'avertissement à côté de la ressource mde-proxy. C'est normal et cela ne pose pas de problème. IAP a accès à mde-proxy via une règle de pare-feu qui utilise des tags réseau.
2. Cliquez sur Ajouter un compte principal dans le panneau de droite.
3. Saisissez l'adresse e-mail du compte principal auquel vous souhaitez accorder l'accès.
4. Sélectionnez le rôle IAP-secured Tunnel User.
Créez un tunnel vers l'API MDE à l'aide de la commande suivante :

Remarque : Le tunneling SSH dans Cloud Shell nécessite un indicateur -4 supplémentaire avec la commande gcloud compute ssh pour forcer l'utilisation d'IPv4.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy"  \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8080:api.mde.cloud.google.com:80
```
Après avoir exécuté la commande, les API MDE sont accessibles sous http://localhost:8080.
Créez un tunnel vers l'interface Web MDE.

Si vous avez créé un tunnel vers l'API MDE à l'étape 3, vous pouvez ouvrir un nouveau terminal pour exécuter les commandes ultérieurement. Les tunnels SSH vers l'API MDE et l'interface Web MDE peuvent s'exécuter en parallèle.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy" \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8081:ui.mde.cloud.google.com:80
```
Après avoir exécuté la commande, l'interface Web MDE est accessible sous http://localhost:8081.

Configurer l'accès à l'équilibreur de charge HTTP externe de l'interface Web

Dans cette section, vous allez configurer l'accès à l'équilibreur de charge HTTP externe de l'interface Web MDE à l'aide d'IAP.

Si vous avez activé l'équilibreur de charge HTTP externe pour l'interface Web MDE, vous devez utiliser IAP pour limiter l'accès à l'application aux utilisateurs autorisés uniquement.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Vous avez déployé MDE avec l'interface Web MDE.
Vous avez déployé l'interface Web MDE avec un équilibreur de charge HTTP externe.
Vous avez suivi les étapes de configuration générale d'IAP.

Étapes

Dans la console Google Cloud , accédez à IAP.
Cliquez sur Applications.
Sélectionnez le service mde/mde-ui-ext-service.

Remarque : Vous pouvez vous attendre à voir un message d'erreur à côté de la ressource mde/mde-ui-ext-service. Ce comportement est normal et ne pose pas de problème. L'IAP a accès à mde/mde-ui-ext-service.
Cliquez sur le bouton Activer.
Lisez et acceptez les exigences de configuration.
Cliquez sur Activer. Cette opération peut prendre plusieurs minutes.
Accordez aux utilisateurs autorisés à utiliser IAP l'accès à l'interface Web MDE :
1. Cliquez sur Ajouter des comptes principaux dans le panneau latéral de droite.
2. Saisissez l'adresse e-mail du compte principal auquel vous souhaitez accorder l'accès.
3. Sélectionnez le rôle IAP-secured Web App User.

Configurer le DNS pour l'interface Web MDE

Si vous avez activé l'équilibreur de charge HTTP externe pour l'interface Web MDE, vous devez définir l'enregistrement A du nom de domaine que vous avez attribué à la variable MDE_UI_DOMAIN_NAME dans input.tfvars sur l'adresse IP de l'équilibreur de charge HTTP externe déployé pour terminer le provisionnement du certificat SSL géré par Google.

Vous pouvez rechercher l'adresse IP de l'équilibreur de charge HTTP externe à l'aide de la commande suivante :

gcloud compute addresses list --filter="name~'.*mde-ui.*'" --format="value(address)" --global

Pour savoir comment créer un enregistrement A, contactez votre hôte DNS.