Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שלב 3: הגדרת הגישה

בקטע הזה מוסבר על השלבים הנדרשים אחרי הפריסה כדי להשלים את ההתקנה של MDE.

הפעלת דרייבר של GKE cluster filestore

החל מגרסה 1.4.0, אשכול MDE GKE משתמש במופע של Filestore כדי לאחסן תמונות מצב של ערימת ה-JVM, וכך מאפשר לצוות ההנדסה לפתור בעיות של לקוחות בצורה יעילה יותר. בגלל הגבלות של Terraform, יכול להיות שהתוסף הזה לא יופעל באשכולות של טייס אוטומטי בגרסאות קודמות. אם אתם נתקלים במצב שבו הפודים לא מופעלים והם במצב ContainerCreating, אתם צריכים להפעיל את מנהל ההתקן של CSI עבור Filestore באמצעות הפקודה הבאה:

gcloud container clusters update CLUSTER_NAME \
   --update-addons=GcpFilestoreCsiDriver=ENABLED --region REGION_NAME

הגדרת שרת proxy לאימות זהויות (IAP)

שרת proxy לאימות זהויות (IAP) מאפשר להתחבר בצורה מאובטחת לכתובות ה-IP הפנימיות של MDE API וממשק האינטרנט, וגם להגביל את הגישה החיצונית לממשק האינטרנט של MDE רק למשתמשים מורשים, אם פרסתם אותו עם האפשרות 'מאזן עומסים חיצוני'.

כדי להשתמש ב-IAP, קודם צריך להגדיר את מסך OAuth ולהפעיל את IAP service API:

במסוף Google Cloud , נכנסים אל IAP ולוחצים על Enable API. השלמת הפעולה עשויה להימשך כמה דקות.
הגדרת מסך ההסכמה ל-OAuth עבור IAP:
1. במסוף Google Cloud , עוברים לדף Security > שרת proxy לאימות זהויות (IAP) ובוחרים את פרויקט הפריסה של MDE.
2. אם לא הגדרתם את מסך ההסכמה ל-OAuth בפרויקט, תופיע בקשה לעשות זאת:
  1. לוחצים על הגדרת מסך ההסכמה.
  2. בוחרים בסוג המשתמש External ולוחצים על Create.
  3. מזינים את שם האפליקציה שרוצים להציג, למשל MDE.
  4. בקטע User support email, בוחרים את כתובת האימייל שרוצים להציג כאיש קשר ציבורי. כתובת האימייל צריכה להיות שייכת לחשבון המשתמש שאליו מחוברים או לקבוצת Google שבה המשתמש המחובר הוא מנהל או בעלים.
  5. עוברים אל פרטי הקשר של המפתח ומזינים את כתובות האימייל שבהן רוצים ש-Google תשתמש כדי לשלוח התראות על שינויים בפרויקט.
  6. מוסיפים פרטים אופציונליים.
  7. לוחצים על Save.
כדי לשנות בהמשך מידע במסך ההסכמה של OAuth, כמו שם המוצר או כתובת האימייל, חוזרים על השלבים הקודמים להגדרת מסך ההסכמה.

מנהור SSH באמצעות IAP

כדי להתחבר לכתובות ה-IP הפרטיות של שירותי MDE, אפשר ליצור מנהור דרך ה-proxy באמצעות SSH, וכך להשתמש בכלים מקומיים כמו Postman כדי ליצור אינטראקציה עם ממשקי ה-API של MDE.

לפני שמתחילים

מוודאים שהשלמתם את השלבים של ההגדרה הכללית של רכישות מתוך האפליקציה.

פריסת MDE רגילה יוצרת מכונת VM של proxy בשם mde-proxy. המחשב הזה יכול להעביר בקשות נכנסות דרך שרת proxy אל שער ה-API של MDE או אל ממשק האינטרנט של MDE. למכונה הווירטואלית הזו יש רק כתובת IP פרטית, אבל IAP מאפשר ליצור מנהרת SSH מאובטחת למכונה הזו באמצעות שרת Proxy לאימות זהויות (IAP) להעברת TCP. בהמשך הקטע הזה מוסבר איך להגדיר IAP כדי ליצור מנהור של תעבורה אל mde-proxy, ואיך ליצור מנהור אל mde-proxy מתחנת העבודה:

במסוף Google Cloud , עוברים אל IAP ולוחצים על SSH AND TCP RESOURCES.
נותנים למשתמשים שמורשים להשתמש ב-IAP הרשאה להתחבר אל mde-proxy דרך IAP:

כדי שמשתמשים יוכלו להשתמש ב-IAP כדי להתחבר אל mde-proxy, צריך להקצות להם את roles/iap.tunnelResourceAccessor התפקיד לפי ההוראות הבאות:
1. בוחרים באפשרות mde-proxy מהרשימה.
  
  הערה: צפויה להופיע הודעת אזהרה לצד משאב mde-proxy. זה צפוי ולא מהווה בעיה. ל-IAP יש גישה ל-mde-proxy דרך כלל חומת אש שמשתמש בתגי רשת.
2. בחלונית הצדדית שמשמאל, לוחצים על Add Principal.
3. מקלידים את כתובת האימייל של חשבון המשתמש שרוצים להעניק לו גישה.
4. בוחרים את התפקיד IAP-secured Tunnel User.
יוצרים מנהרה ל-MDE API באמצעות הפקודה הבאה:

הערה: כדי להשתמש ב-SSH tunneling ב-Cloud Shell, צריך להוסיף את הדגל -4 לפקודה gcloud compute ssh כדי לאלץ שימוש ב-IPv4.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy"  \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8080:api.mde.cloud.google.com:80
```
אחרי שמריצים את הפקודה, אפשר לגשת לממשקי ה-API של MDE בכתובת http://localhost:8080.
יוצרים מנהרה לממשק האינטרנט של MDE.

אם יצרתם מנהרת נתונים ל-MDE API בשלב 3, תוכלו לפתוח טרמינל חדש כדי להריץ את הפקודות מאוחר יותר. מנהרות SSH ל-MDE API ולממשק האינטרנט של MDE יכולות לפעול במקביל.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy" \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8081:ui.mde.cloud.google.com:80
```
אחרי שמריצים את הפקודה, אפשר לגשת לממשק האינטרנט של MDE בכתובת http://localhost:8081.

הגדרת גישה לממשק האינטרנט של מאזן עומסים חיצוני מסוג HTTP

בקטע הזה נסביר איך להגדיר גישה לממשק האינטרנט של MDE באמצעות מאזן עומסים חיצוני מסוג HTTP של IAP.

אם הפעלתם את מאזן העומסים החיצוני של HTTP לממשק האינטרנט של MDE, אתם צריכים להשתמש ב-IAP כדי להגביל את הגישה לאפליקציה רק למשתמשים מורשים.

לפני שמתחילים

חשוב לוודא שאתם עומדים בדרישות המוקדמות הבאות:

הפריסה של MDE בוצעה באמצעות ממשק האינטרנט של MDE.
פרסתם את ממשק האינטרנט של MDE עם מאזן עומסים חיצוני מסוג HTTP.
השלמתם את השלבים של ההגדרה הכללית של רכישות מתוך האפליקציה.

שלבים

במסוף Google Cloud , נכנסים אל IAP.
לוחצים על Applications (אפליקציות).
בוחרים את השירות mde/mde-ui-ext-service.

הערה: יכול להיות שתופיע הודעת שגיאה לצד המשאב mde/mde-ui-ext-service. זו התנהגות צפויה ולא בעיה. ל-IAP יש גישה אל mde/mde-ui-ext-service.
לוחצים על המתג הפעלה.
קוראים את דרישות ההגדרה ומאשרים אותן.
לוחצים על הפעלה. הפעולה הזו עשויה להימשך כמה דקות.
הענקת גישה לממשק האינטרנט של MDE למשתמשים שמורשים להשתמש ב-IAP:
1. בחלונית הצדדית שמופיעה בצד שמאל, לוחצים על הוספת גורמים ראשיים.
2. מקלידים את כתובת האימייל של חשבון המשתמש שרוצים להעניק לו גישה.
3. בוחרים את התפקיד IAP-secured Web App User.

הגדרת DNS לממשק האינטרנט של MDE

אם הפעלתם את מאזן העומסים החיצוני של HTTP לממשק האינטרנט של MDE, אתם צריכים להגדיר את רשומת A של שם הדומיין שהקציתם למשתנה MDE_UI_DOMAIN_NAME ב-input.tfvars לכתובת ה-IP של מאזן העומסים החיצוני של HTTP שנפרס כדי להשלים את הקצאת אישור ה-SSL שמנוהל על ידי Google.

אפשר לחפש את כתובת ה-IP של מאזן העומסים החיצוני מסוג HTTP באמצעות הפקודה הבאה:

gcloud compute addresses list --filter="name~'.*mde-ui.*'" --format="value(address)" --global

כדי לקבל פרטים על יצירת רשומת A, צריך לעיין בתיעוד של מארח ה-DNS.