Passaggio 3: configura l'accesso

Questa sezione fornisce indicazioni sui passaggi post-deployment necessari per completare l'installazione di MDE.

Abilita il driver Filestore del cluster GKE

A partire dalla versione 1.4.0, il cluster GKE MDE utilizza un'istanza Filestore per archiviare i dump dell'heap JVM, il che consente al team tecnico di risolvere i problemi dei clienti in modo più efficace. A causa delle limitazioni di Terraform, questo componente aggiuntivo potrebbe non essere abilitato per i cluster Autopilot delle versioni precedenti. Se riscontri che i pod non si avviano e si trovano nello stato ContainerCreating, devi attivare il driver CSI per Filestore utilizzando il seguente comando:

gcloud container clusters update CLUSTER_NAME \
   --update-addons=GcpFilestoreCsiDriver=ENABLED --region REGION_NAME

Configurare Identity-Aware Proxy

Identity-Aware Proxy (IAP) ti consente di connetterti in modo sicuro agli IP interni dell'API e dell'interfaccia web MDE, nonché di limitare l'accesso esterno all'interfaccia web MDE solo agli utenti autorizzati se l'hai implementata con l'opzione Bilanciatore del carico esterno.

Per utilizzare IAP, devi prima configurare la schermata OAuth e abilitare l'API del servizio IAP:

Nella console Google Cloud , vai a IAP e fai clic su Abilita API. L'operazione potrebbe richiedere diversi minuti.
Configura la schermata per il consenso OAuth per IAP:
1. Nella console Google Cloud , vai alla pagina Sicurezza > Identity-Aware Proxy e seleziona il progetto di deployment MDE.
2. Se non hai configurato la schermata per il consenso OAuth del progetto, ti verrà chiesto di farlo:
  1. Fai clic su Configura schermata di consenso.
  2. Seleziona il tipo di utente Esterno e fai clic su Crea.
  3. Inserisci il nome dell'applicazione che vuoi visualizzare, ad esempio MDE.
  4. In Email dell'assistenza utente, seleziona l'indirizzo email da visualizzare come contatto pubblico. L'indirizzo email deve appartenere all'account utente con cui hai eseguito l'accesso o a un gruppo Google di cui l'utente con cui hai eseguito l'accesso è un amministratore o un proprietario.
  5. Vai a Dati di contatto dello sviluppatore, inserisci gli indirizzi email che vuoi che Google utilizzi per informarti di eventuali modifiche al tuo progetto.
  6. Aggiungi eventuali dettagli facoltativi.
  7. Fai clic su Salva.
Per modificare in un secondo momento le informazioni nella schermata di consenso OAuth, ad esempio il nome del prodotto o l'indirizzo email, ripeti i passaggi precedenti per configurare la schermata di consenso.

Tunneling SSH tramite IAP

Per connetterti agli IP privati dei servizi MDE, puoi incapsularli tramite il proxy su SSH, il che ti consente di utilizzare strumenti locali come Postman per interagire con le API MDE.

Prima di iniziare

Assicurati di aver completato i passaggi di IAP-app.

Il deployment MDE standard crea una VM proxy denominata mde-proxy. Questa macchina può fungere da proxy per le richieste in entrata al gateway API MDE o all'interfaccia web MDE. Questa VM ha solo un IP privato, ma IAP ti consente di creare un tunnel SSH sicuro a questa macchina utilizzando Identity-Aware Proxy (IAP) per l'inoltro TCP. Il resto di questa sezione spiega come configurare IAP per il tunneling del traffico verso mde-proxy e come creare un tunnel verso questo host dalla tua workstation:

Nella console Google Cloud , vai a IAP e fai clic su RISORSE SSH E TCP.
Concedi agli utenti autorizzati a utilizzare IAP di connettersi a mde-proxy tramite IAP:

Prima che gli utenti possano utilizzare IAP per connettersi a mde-proxy, concedi loro il roles/iap.tunnelResourceAccessor ruolo seguendo queste istruzioni:
1. Seleziona mde-proxy dall'elenco.
  
  Nota: accanto alla risorsa mde-proxy verrà visualizzato un messaggio di avviso. Questo è previsto e non rappresenta un problema. IAP ha accesso a mde-proxy tramite una regola firewall che utilizza tag di rete.
2. Fai clic su Aggiungi entità nel riquadro a destra.
3. Digita l'email dell'entità a cui vuoi concedere l'accesso.
4. Seleziona il ruolo IAP-secured Tunnel User.
Crea un tunnel all'API MDE utilizzando il seguente comando:

Nota: il tunneling SSH in Cloud Shell richiede un flag -4 aggiuntivo con il comando gcloud compute ssh per forzarne l'utilizzo di IPv4.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy"  \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8080:api.mde.cloud.google.com:80
```
Dopo aver eseguito il comando, le API MDE sono accessibili in http://localhost:8080.
Crea un tunnel all'interfaccia web MDE.

Se hai creato un tunnel all'API MDE nel passaggio 3, puoi aprire un nuovo terminale per eseguire i comandi in un secondo momento. I tunnel SSH all'API MDE e all'interfaccia web MDE possono essere eseguiti in parallelo.
```
export MDE_PROXY_ZONE=$(gcloud compute instances list --filter="mde-proxy" \
--format="value(zone)")

gcloud compute ssh mde-proxy \
--zone "$MDE_PROXY_ZONE" --tunnel-through-iap  \
-- -N -L 8081:ui.mde.cloud.google.com:80
```
Dopo aver eseguito il comando, l'interfaccia web MDE è accessibile in http://localhost:8081.

Configura l'accesso all'interfaccia web del bilanciatore del carico HTTP esterno

In questa sezione configurerai l'accesso al bilanciatore del carico HTTP esterno dell'interfaccia web MDE utilizzando IAP.

Se hai abilitato il bilanciatore del carico HTTP esterno per l'interfaccia web MDE, devi utilizzare IAP per limitare l'accesso all'applicazione solo agli utenti autorizzati.

Prima di iniziare

Assicurati di completare i seguenti prerequisiti:

Hai eseguito il deployment di MDE con l'interfaccia web MDE.
Hai eseguito il deployment dell'interfaccia web MDE con un bilanciatore del carico HTTP esterno.
Hai completato i passaggi della configurazione IAP-app.

Passaggi

Nella console Google Cloud , vai a IAP.
Fai clic su Applicazioni.
Seleziona il servizio mde/mde-ui-ext-service.

Nota: potresti visualizzare un messaggio di errore accanto alla risorsa mde/mde-ui-ext-service. Si tratta di un comportamento previsto e non di un problema. IAP ha accesso a mde/mde-ui-ext-service.
Fai clic sul pulsante di attivazione/disattivazione Attiva.
Leggi e accetta i requisiti di configurazione.
Fai clic su Attiva. Questa operazione potrebbe richiedere diversi minuti.
Concedi agli utenti autorizzati a utilizzare IAP l'accesso all'interfaccia web MDE:
1. Fai clic su Aggiungi entità nel riquadro a destra.
2. Digita l'email dell'entità a cui vuoi concedere l'accesso.
3. Seleziona il ruolo IAP-secured Web App User.

Configura il DNS per l'interfaccia web di MDE

Se hai abilitato il bilanciatore del carico HTTP esterno per l'interfaccia web MDE, devi impostare il record A del nome di dominio che hai assegnato alla variabile MDE_UI_DOMAIN_NAME in input.tfvars sull'indirizzo IP del bilanciatore del carico HTTP esterno di cui è stato eseguito il deployment per completare il provisioning del certificato SSL gestito da Google.

Puoi cercare l'indirizzo IP del bilanciatore del carico HTTP esterno con il seguente comando:

gcloud compute addresses list --filter="name~'.*mde-ui.*'" --format="value(address)" --global

Consulta l'host DNS per informazioni dettagliate su come creare un record A.