Überblick
BeyondCorp Enterprise ist die Zero-Trust-Lösung von Google Cloud, die sicheren Zugriff auf private Anwendungen mit integriertem Bedrohungs- und Datenschutz bietet. BeyondCorp Enterprise verwendet Chrome, um sicheren Zugriff für alle webbasierten Anwendungen (HTTPS) zu ermöglichen.
Der BeyondCorp Enterprise-Client-Connector dehnt die Unterstützung auf Anwendungen aus, die keine Webanwendungen sind. Er erstellt eine sichere Verbindung zu Anwendungen, die sowohl in Google Cloud- als auch in anderen Umgebungen ausgeführt werden, mit vollständigem kontext- und identitätssensitivem Zugriff.
Funktionsweise
Das folgende Diagramm bietet einen allgemeinen Überblick über die Architektur des Client-Connectors.
Im Folgenden sind die Hauptkomponenten eines Client-Connectors aufgeführt:
Endpunktprüfung und Client-Agent: Der Client-Connector lässt sich in die Endpunktprüfung einbinden. Dies ist eine Chrome-Erweiterung mit einem nativen, einfachen Agent, der auf Laptops oder Desktops von Nutzern ausgeführt wird und Geräteinformationen meldet. Die Endpunktprüfung fungiert auch als Steuerungsebene für den Endnutzer, um Verbindungen zu Clientgateways zu starten und zu beenden.
Clientgateways: Regionale, serverseitige Komponenten, zu denen Clients eine Verbindung herstellen können. Clientgateways werden von Administratoren bereitgestellt. Die Gateways kommunizieren mit dem BeyondCorp Enterprise-Erzwingungssystem, um kontextsensitive Prüfungen zu erzwingen. Das BeyondCorp Enterprise-Erzwingungssystem verwendet Identity-Aware Proxy und Access Context Manager, eine flexible Zero-Trust-Richtlinien-Engine für BeyondCorp Enterprise.
Der Client-Connector sendet Traffic von Endnutzern, Clients und Geräten über einen sicheren Kanal oder ein Gateway an Ihre geschützten Anwendungen. Sie können eine Verbindung zu Web- und Nicht-Webanwendungen herstellen, die in Google Cloud oder außerhalb von Google Cloud ausgeführt werden. Sie können Cloud VPN oder Cloud Interconnect verwenden, um eine Verbindung zu Anwendungen herzustellen, die sich nicht in Google Cloud befinden.
Hinweise
Bevor Sie den BeyondCorp Enterprise-Client-Connector aktivieren, benötigen Sie Folgendes:
Eine Google Cloud-Organisationsdomain.
Ein Google Cloud-Projekt mit zugewiesener billing.
Google Workspace Cloud Identity-Nutzerkonten. Informationen zum Erstellen von Cloud Identity-Konten finden Sie unter Cloud Identity-Nutzerkonten erstellen.
Eine Nicht-Webressource, die Sie schützen möchten. Die Ressource kann in Google Cloud nativ, lokal oder in einer anderen öffentlichen Cloud sein. Sie können eine benutzerdefinierte VPC erstellen oder Ihr vorhandenes Netzwerk mit einer Anwendung in Google Cloud verwenden. Sie können auch Anwendungen, die nicht zu Google Cloud gehören, über Cloud VPN oder Cloud Interconnect verbinden.
Folgende APIs sind aktiviert:
- Compute Engine-APIs:
compute.googleapis.com - BeyondCorp Enterprise API-APIs:
beyondcorp.googleapis.com - Service Networking
APIs:
servicenetworking.googleapis.com - Access Context Manager-APIs:
accesscontextmanager.googleapis.com
- Compute Engine-APIs:
Die folgenden IAM-Rollen:
Projektebene: Compute-Netzwerkadministrator (
roles/compute.networkAdmin), Administrator von BeyondCorp Client Connector (roles/beyondcorp.clientConnectorAdmin)Organisationsebene: Access Context Manager-Administrator (
roles/accesscontextmanager.policyAdmin)
Eine der empfohlenen Hardwarekonfigurationen für den Client:
- Apple® Mac® OS 10.11 und höher mit mindestens zwei Kernen und 2 GB Arbeitsspeicher.
- Microsoft® Windows® 10 und höher mit mindestens vier Kernen und 2 GB Arbeitsspeicher.
BeyondCorp Enterprise-Client-Connector aktivieren
Zugriff auf private Dienste einrichten
Der Client-Connector verwendet den Zugriff auf private Dienste, um eine Verbindung zwischen dem von Google verwalteten VPC-Netzwerk und dem VPC-Netzwerk des Nutzers herzustellen. Dadurch wird der Traffic von Nutzern an das VPC-Netzwerk des Nutzers weitergeleitet.
Console
Für den Zugriff auf private Dienste müssen Sie einen IP-Adressbereich reservieren, damit es keine IP-Adresskollisionen zwischen Ihrem VPC-Netzwerk und dem von Google verwalteten VPC-Netzwerk gibt. Führen Sie die folgenden Schritte aus, um einen IP-Bereich zuzuweisen:
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Zur Seite "VPC-Netzwerke"Wählen Sie das VPC-Netzwerk aus, das mit Ihrer Anwendung verbunden ist.
Wählen Sie den Tab Private Dienstverbindung aus.
Wählen Sie auf dem Tab Private Dienstverbindung den Tab Diensten zugewiesene IP-Bereiche aus.
Klicken Sie auf IP-Bereich zuweisen.
Geben Sie einen Namen und eine Beschreibung für den zuzuweisenden IP-Bereich ein.
Geben Sie einen IP-Bereich für die Zuweisung an:
- Wenn Sie einen IP-Adressbereich festlegen möchten, wählen Sie Benutzerdefiniert aus und geben einen CIDR-Block ein, z. B.
192.168.0.0/16. - Wenn Sie eine Präfixlänge festlegen möchten und die Auswahl eines verfügbaren Bereichs durch Google erfolgen soll, wählen Sie Automatisch aus und geben eine Präfixlänge ein, beispielsweise
16.
Geben Sie ein Netzwerk von mindestens
/24an.- Wenn Sie einen IP-Adressbereich festlegen möchten, wählen Sie Benutzerdefiniert aus und geben einen CIDR-Block ein, z. B.
Klicken Sie auf Zuweisen, um den zugewiesenen Bereich zu erstellen.
Erstellen Sie mit den folgenden Schritten eine VPC-Netzwerk-Peering-Verbindung:
- Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Zur Seite "VPC-Netzwerke" - Wählen Sie das VPC-Netzwerk aus, das mit Ihrer Anwendung verbunden ist.
- Wählen Sie den Tab Private Dienstverbindung aus.
- Wählen Sie auf dem Tab Private Dienstverbindung den Tab Private Verbindungen zu Diensten aus.
- Klicken Sie auf Verbindung erstellen, um eine private Verbindung zwischen Ihrem Netzwerk und dem Client-Connector-Dienst herzustellen.
- Übernehmen Sie im angezeigten Fenster die Standardeinstellung für Connected Service Producer. Wählen Sie unter Zugewiesene Bereiche den zugewiesenen Bereich aus, den Sie im vorherigen Schritt erstellt haben.
- Klicken Sie auf Verbinden, um die Verbindung zu erstellen.
- Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Erstellen Sie eine Firewallregel.
- Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Zur Seite "Firewall" - Klicken Sie auf Firewallregel erstellen.
- Geben Sie einen Namen für die Firewallregel ein.
Dieser Name muss für das Projekt eindeutig sein. - Optional: So aktivieren Sie das Logging von Firewallregeln:
- Klicken Sie auf Logs > Ein.
- Wenn Sie Metadaten ausschließen möchten, maximieren Sie Logdetails und deaktivieren Sie dann Metadaten einschließen.
- Geben Sie das Netzwerk an, mit dem Ihre Anwendung verbunden ist.
- Legen Sie die Priorität der Regel fest. Je niedriger die Zahl, desto höher die Priorität.
- Wählen Sie für Traffic-Richtung die Option Eingehend aus.
- Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.
- Wählen Sie für Ziele die Option Alle Instanzen im Netzwerk aus.
- Wählen Sie für Quellfilter die Option IPv4-Bereiche aus und geben Sie dann die Werte für
addressundprefixLengthaus Schritt 1 ein, um den zugewiesenen IP-Bereich im CIDR-Format darzustellen. Verwenden Sie für jede IPv4-Quelle das Format0.0.0.0/0. - Wählen Sie unter Protokolle und Ports die Option Alle zulassen aus, damit die Regel auf alle Protokolle und Zielports angewendet wird.
- Klicken Sie auf ERSTELLEN.
- Rufen Sie in der Google Cloud Console die Seite Firewall auf.
gcloud
Für den Zugriff auf private Dienste müssen Sie einen IP-Adressbereich reservieren, damit es keine IP-Adresskollisionen zwischen Ihrem VPC-Netzwerk und dem von Google verwalteten VPC-Netzwerk gibt. Führen Sie den folgenden Befehl aus, um einen IP-Bereich zuzuweisen:
gcloud compute addresses create RESERVED_RANGE \ --network=CONSUMER_NETWORK \ --project=CONSUMER_PROJECT \ --prefix-length=16 \ --purpose=VPC_PEERING \ --globalErsetzen Sie Folgendes:
- RESERVED_RANGE: Der Name des IP-Adressbereichs, der für VPC-Peering reserviert werden soll. Der Name darf nur Kleinbuchstaben, Ziffern und Bindestriche enthalten.
- CONSUMER_NETWORK: Der Name Ihres VPC-Netzwerk, das mit der Anwendung verbunden ist.
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet.
Erstellen Sie die VPC-Peering-Verbindung.
gcloud services vpc-peerings connect \ --network=CONSUMER_NETWORK \ --project=CONSUMER_PROJECT \ --ranges=RESERVED_RANGE \ --service="servicenetworking.googleapis.com"Ersetzen Sie Folgendes:
- CONSUMER_NETWORK: Der Name Ihres VPC-Netzwerk, das mit der Anwendung verbunden ist.
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - RESERVED_RANGE: Der Name Ihres reservierten Bereichs für VPC-Peering.
Rufen Sie die Details zum zugewiesenen IP-Bereich ab.
gcloud compute addresses describe RESERVED_RANGE \ --global \ --project=CONSUMER_PROJECTErsetzen Sie Folgendes:
- RESERVED_RANGE: Der Name Ihres reservierten Bereichs für VPC-Peering.
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet.
Verwenden Sie die Werte
addressundprefixLengthaus der Ausgabe des vorherigen Schritts, um den zugewiesenen IP-Bereich im CIDR-Format darzustellen. Erstellen Sie dann eine Firewallregel.gcloud compute firewall-rules create "allow-peered-ingress" \ --network=CONSUMER_NETWORK \ --project=CONSUMER_PROJECT \ --direction ingress \ --action allow \ --source-ranges={Allocated IP range in CIDR format i.e. address/prefixLength} \ --rules=allErsetzen Sie Folgendes:
- CONSUMER_NETWORK: Der Name Ihres VPC-Netzwerk, das mit der Anwendung verbunden ist.
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet.
Informationen zum Konfigurieren von Firewallregeln finden Sie unter VPC-Firewallregeln verwenden.
Ressourcen für Client-Connectors einrichten
Es gibt zwei Arten von Ressourcen, die Sie einrichten müssen:
- Client-Connector-Dienst: Definiert eine gemeinsame Konfiguration für eine Gruppe von Clientgateways.
- Clientgateway: Bezieht sich auf den Client-Connector-Dienst und steuert die Regionen, in denen Sie den Nutzertraffic verwalten möchten.
Es ist nur ein Client-Connector-Dienst pro Domain und ein Clientgateway pro Region und Client-Connector-Dienst zulässig. Darüber hinaus können Sie nur die folgenden Regionen zum Hosten Ihres Client-Connector-Dienstes und der Gateway-Ressourcen verwenden: asia-east1, europe-west1, us-east1 und us-central1.
Client-Connector-Dienst erstellen
Console
Rufen Sie die IAP-Administratorseite auf.
Klicken Sie auf CONNECTORS > CLIENT-CONNECTOR AKTIVIEREN.
Geben Sie das VPC-Netzwerk an, das Traffic von verwalteten Clients erhalten soll.
Wählen Sie die Regionen aus, zu denen Ihre Clients eine Verbindung herstellen können. Beachten Sie, dass die Clientgateways in diesem Schritt erstellt werden. Sie müssen die Gateways also nicht im Verfahren Clientgateways erstellen, überprüfen oder entfernen erstellen.
Geben Sie den IP-Adressbereich für die Anwendungen ein, die der Client-Connector erreichen soll.
Klicken Sie auf CLIENT CONNECTOR AKTIVIEREN. Das Erstellen des Connectors kann einige Minuten dauern.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud beta beyondcorp client-connector services create CLIENT_CONNECTOR_SERVICE_NAME \ --project=CONSUMER_PROJECT \ --location=SERVICE_LOCATION \ --config-from-file=/path/to/file/config.json
Dabei steht config.json für:
{
"ingress": {
"config": {
"transportProtocol": "TCP",
"destinationRoutes": [{
"address": "DESTINATION_ADDRESS",
"netmask": "DESTINATION_MASK"
}]
}
},
"egress": {
"peeredVpc": {
"networkVpc": "projects/CONSUMER_PROJECT/global/networks/CONSUMER_NETWORK"
}
}
}
Ersetzen Sie Folgendes:
- CLIENT_CONNECTOR_SERVICE_NAME: Der Name Ihres Client-Connector-Dienstes.
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - SERVICE_LOCATION: Die Region, in der der Client-Connector-Dienst erstellt werden soll. Sie können eine der folgenden unterstützten Regionen angeben:
asia-east1,europe-west1,us-east1undus-central1. - DESTINATION_ADDRESS: Die Hostadresse des Zielsubnetzes, in dem die Anwendung gehostet wird. Wenn Ihre Anwendung beispielsweise
10.0.0.0/28verwendet, lautet die Adresse10.0.0.0. - DESTINATION_MASK: Die Netzwerkmaske des Zielsubnetzes, das die Anwendung hostet. Wenn Ihre Anwendung beispielsweise
10.0.0.0/28verwendet, lautet die Maske255.255.255.240. - CONSUMER_NETWORK: Der Name Ihres VPC-Netzwerk, das mit der Anwendung verbunden ist.
API
Führen Sie dazu diesen Befehl aus:
curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d @config.json \ https://beyondcorp.googleapis.com/v1/projects/CONSUMER_PROJECT/locations/SERVICE_LOCATION/clientConnectorServices?client_connector_service_id=CLIENT_CONNECTOR_SERVICE_NAME
Dabei steht config.json für:
{
"ingress": {
"config": {
"transportProtocol": "TCP",
"destinationRoutes": [{
"address": "DESTINATION_ADDRESS",
"netmask": "DESTINATION_MASK"
}]
}
},
"egress": {
"peeredVpc": {
"networkVpc": "projects/CONSUMER_PROJECT/global/networks/CONSUMER_NETWORK"
}
}
}
Ersetzen Sie Folgendes:
- DESTINATION_ADDRESS: Die Hostadresse des Zielsubnetzes, in dem die Anwendung gehostet wird. Wenn Ihre Anwendung beispielsweise
10.0.0.0/28verwendet, lautet die Adresse10.0.0.0. - DESTINATION_MASK: Die Netzwerkmaske des Zielsubnetzes, das die Anwendung hostet. Wenn Ihre Anwendung beispielsweise
10.0.0.0/28verwendet, lautet die Maske255.255.255.240. - CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - CONSUMER_NETWORK: Der Name Ihres VPC-Netzwerk, das mit der Anwendung verbunden ist.
- SERVICE_LOCATION: Die Region, in der der Client-Connector-Dienst erstellt werden soll.
- CLIENT_CONNECTOR_SERVICE_NAME: Der Name Ihres Client-Connector-Dienstes.
Überprüfen Sie, ob der Client-Connector-Dienst erstellt wurde, indem Sie den Dienst auflisten
Console
Rufen Sie die IAP-Administratorseite auf.
Klicken Sie auf CONNECTORS. Der Connector sollte im Abschnitt Client-Connector aufgeführt sein und für den Status ein grünes Häkchen aufweisen.
gcloud
Führen Sie den folgenden Befehl aus:
gcloud beta beyondcorp client-connector services list \ --project=CONSUMER_PROJECT \ --location=SERVICE_LOCATION
Ersetzen Sie Folgendes:
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - SERVICE_LOCATION: Die Region, in der der Client-Connector-Dienst erstellt werden soll.
API
Führen Sie dazu diesen Befehl aus:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://beyondcorp.googleapis.com/v1/projects/CONSUMER_PROJECT/locations/SERVICE_LOCATION/clientConnectorServices
Ersetzen Sie Folgendes:
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - SERVICE_LOCATION: Die Region, in der sich der Client-Connector-Dienst befindet.
Optional: Client-Connector-Dienst aktualisieren
Console
Aktualisieren Sie die Zielrouten, indem Sie die folgenden Schritte ausführen:
Rufen Sie die IAP-Administratorseite auf.
Klicken Sie auf CONNECTORS.
Klicken Sie im Bereich Client-Connector auf das Stiftsymbol neben dem Client-Connector, den Sie aktualisieren möchten.
Geben Sie die neuen Hostadressen und Netzwerkmasken der Zielsubnetze ein, auf denen die Anwendungen gehostet werden, und klicken Sie dann auf CLIENT-CONNECTOR AKTUALISIEREN.
gcloud
Aktualisieren Sie die Zielrouten mit dem folgenden Befehl:
gcloud beta beyondcorp client-connector services update CLIENT_CONNECTOR_SERVICE_NAME \ --project=CONSUMER_PROJECT \ --location=SERVICE_LOCATION \ --config-from-file=/path/to/file/config.json
Dabei steht config.json für:
{
"ingress":{
"config":{
"destinationRoutes":[
{
"address":"NEW_DESTINATION_ADDRESS1",
"netmask":"NEW_DESTINATION_MASK1"
},
{
"address":"NEW_DESTINATION_ADDRESS2",
"netmask":"NEW_DESTINATION_MASK2"
}
]
}
}
}
Ersetzen Sie Folgendes:
- CLIENT_CONNECTOR_SERVICE_NAME: Der Name Ihres Client-Connector-Dienstes.
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - SERVICE_LOCATION: Die Region, in der sich der Client-Connector-Dienst befindet.
- NEW_DESTINATION_ADDRESS1, NEW_DESTINATION_ADDRESS2: die neuen Hostadressen der Zielsubnetze, in denen die Anwendungen gehostet werden.
- NEW_DESTINATION_MASK1, NEW_DESTINATION_MASK2: Die neuen Netzwerkmasken für die Zielsubnetze.
API
Führen Sie den folgenden Befehl aus, um die Zielrouten zu aktualisieren:
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d @update.json \ https://beyondcorp.googleapis.com/v1/projects/CONSUMER_PROJECT/locations/SERVICE_LOCATION/clientConnectorServices/CLIENT_CONNECTOR_SERVICE_NAME?update_mask=ingress.config.destinationRoutes
Wo update.json Folgendes ist:
{
"ingress":{
"config":{
"destinationRoutes":[
{
"address":"NEW_DESTINATION_ADDRESS1",
"netmask":"NEW_DESTINATION_MASK1"
},
{
"address":"NEW_DESTINATION_ADDRESS2",
"netmask":"NEW_DESTINATION_MASK2"
}
]
}
}
}
Ersetzen Sie Folgendes:
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - SERVICE_LOCATION: Die Region, in der sich der Client-Connector-Dienst befindet.
- CLIENT_CONNECTOR_SERVICE_NAME: Der Name Ihres Client-Connector-Dienstes.
- NEW_DESTINATION_ADDRESS1, NEW_DESTINATION_ADDRESS2: die neuen Hostadressen der Zielsubnetze, in denen die Anwendungen gehostet werden.
- NEW_DESTINATION_MASK1, NEW_DESTINATION_MASK2: Die neuen Netzwerkmasken für die Zielsubnetze.
Optional: Client-Connector-Dienst entfernen
Console
Rufen Sie die IAP-Administratorseite auf.
Klicken Sie auf CONNECTORS.
Klicken Sie im Bereich Client-Connector auf das Papierkorbsymbol, um den Client-Connector-Dienst und die Gateways zu entfernen. Dieser Vorgang kann einige Minuten dauern.
gcloud
Führen Sie den folgenden Befehl aus:
gcloud beta beyondcorp client-connector services delete CLIENT_CONNECTOR_SERVICE_NAME \ --project CONSUMER_PROJECT \ --location SERVICE_LOCATION
Ersetzen Sie Folgendes:
- CLIENT_CONNECTOR_SERVICE_NAME: Der Name Ihres Client-Connector-Dienstes.
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - SERVICE_LOCATION: Die Region, in der sich der Client-Connector-Dienst befindet.
API
Führen Sie den folgenden Befehl aus:
curl -X DELETE \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://beyondcorp.googleapis.com/v1/projects/CONSUMER_PROJECT/locations/SERVICE_LOCATION/clientConnectorServices/CLIENT_CONNECTOR_SERVICE_NAME
Ersetzen Sie Folgendes:
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - SERVICE_LOCATION: Die Region, in der sich der Client-Connector-Dienst befindet.
- CLIENT_CONNECTOR_SERVICE_NAME: Der Name Ihres Client-Connector-Dienstes.
Clientgateways erstellen, verifizieren oder entfernen
Console
Wenn Sie den Client-Connector mit der Console einrichten, werden die Client-Gateways beim Erstellen des Client-Connector-Dienstes in einem vorherigen Schritt erstellt.
So prüfen Sie, ob die Clientgateways ausgeführt werden:
- Rufen Sie die IAP-Administratorseite auf.
- Klicken Sie auf CONNECTORS. Der Connector und die zugehörigen Gateways sollten im Abschnitt Client-Connector aufgeführt sein und für den Status sollte ein grünes Häkchen angezeigt werden.
Optional: Führen Sie die folgenden Schritte aus, um ein Clientgateway zu entfernen.
Rufen Sie die IAP-Administratorseite auf.
Klicken Sie auf CONNECTORS.
Klicken Sie im Bereich Client-Connector auf das Stiftsymbol neben dem Client-Connector, bei dem Sie ein Gateway entfernen möchten.
Entfernen Sie eine Region aus dem Connector-Dienst, indem Sie das Kästchen für die Region in der Drop-down-Liste Gateway-Regionen deaktivieren und dann auf UPDATE CLIENT CONNECTOR klicken.
gcloud
Erstellen Sie ein Clientgateway.
gcloud beta beyondcorp client-connector gateways create CLIENT_GATEWAY_NAME \ --project CONSUMER_PROJECT \ --location GATEWAY_LOCATION \ --client-connector-service \ projects/CONSUMER_PROJECT/locations/SERVICE_LOCATION/clientConnectorServices/CLIENT_CONNECTOR_SERVICE_NAME
Ersetzen Sie Folgendes:
- CLIENT_GATEWAY_NAME: Der Name Ihres Clientgateways.
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - GATEWAY_LOCATION: Die Region, in der das Clientgateway erstellt werden soll.
- SERVICE_LOCATION: Die Region, in der sich der Client-Connector-Dienst befindet.
- CLIENT_CONNECTOR_SERVICE_NAME: Der Name Ihres Client-Connector-Dienstes.
Prüfen Sie, ob die Clientgateways ausgeführt werden.
gcloud beta beyondcorp client-connector gateways list \ --project CONSUMER_PROJECT \ --location GATEWAY_LOCATION
Ersetzen Sie Folgendes:
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - GATEWAY_LOCATION: Die Region, in der sich das Clientgateway befindet.
- CONSUMER_PROJECT: Die ID des Projekts, das
Optional: Entfernen Sie ein Clientgateway.
gcloud beta beyondcorp client-connector gateways delete CLIENT_GATEWAY_NAME \ --project CONSUMER_PROJECT \ --location GATEWAY_LOCATION
Ersetzen Sie Folgendes:
- CLIENT_GATEWAY_NAME: Der Name Ihres Clientgateways.
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - GATEWAY_LOCATION: Die Region, in der sich das Clientgateway befindet.
API
Führen Sie den folgenden Befehl aus:
curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d "{client_connector_service: \"projects/CONSUMER_PROJECT/locations/SERVICE_LOCATION/clientConnectorServices/CLIENT_CONNECTOR_SERVICE_NAME\"}" \ https://beyondcorp.googleapis.com/v1/projects/CONSUMER_PROJECT/locations/GATEWAY_LOCATION/clientGateways?client_gateway_id=CLIENT_GATEWAY_NAMEErsetzen Sie Folgendes:
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - SERVICE_LOCATION: Die Region, in der sich der Client-Connector-Dienst befindet.
- CLIENT_CONNECTOR_SERVICE_NAME: Der Name Ihres Client-Connector-Dienstes.
- GATEWAY_LOCATION: Die Region, in der das Clientgateway erstellt werden soll.
- CLIENT_GATEWAY_NAME: Der Name Ihres Clientgateways.
Dieser Schritt kann mehrere Minuten dauern.
- CONSUMER_PROJECT: Die ID des Projekts, das
Prüfen Sie, ob die Clientgateways ausgeführt werden.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://beyondcorp.googleapis.com/v1/projects/CONSUMER_PROJECT/locations/GATEWAY_LOCATION/clientGateways
Ersetzen Sie Folgendes:
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - GATEWAY_LOCATION: Die Region, in der sich das Clientgateway befindet.
- CONSUMER_PROJECT: Die ID des Projekts, das
Optional: Entfernen Sie ein Clientgateway.
curl -X DELETE \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://beyondcorp.googleapis.com/v1/projects/CONSUMER_PROJECT/locations/GATEWAY_LOCATION/clientGateways/CLIENT_GATEWAY_NAME
Ersetzen Sie Folgendes:
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - GATEWAY_LOCATION: Die Region, in der sich das Client-Connector-Gateway befindet.
- CLIENT_GATEWAY_NAME: Der Name Ihres Clientgateways.
- CONSUMER_PROJECT: Die ID des Projekts, das
Richtlinien für den kontextsensitiven Zugriff einrichten
Bestimmen Sie die Hauptkonten oder erstellen Sie eine Nutzergruppe. Ermitteln Sie die Nutzer, die Zugriff auf die geschützten Anwendungen benötigen, die keine Webanwendungen sind. Alternativ können Sie eine Nutzergruppe erstellen, um die Konfiguration und Verwaltung zu vereinfachen.
Optional: Erstellen Sie eine Zugriffsebene in Access Context Manager, um eine kontextsensitive Regel zu definieren, mit der Sie den Zugriff auf Ihre Anwendung einschränken können.
Konfigurieren Sie eine IAM-Richtlinie für die Client-Connector-Dienstressource und gewähren Sie dem Hauptkonto oder der Nutzergruppe die Rolle „Nutzer des Cloud BeyondCorp Client Connector-Dienstes“ (
roles/beyondcorp.clientConnectorServiceUser), die für den Zugriff auf Nicht-Webanwendungen erforderlich ist. Optional können Sie eine IAM-Bedingung angeben, damit die Rolle nur dann bereitgestellt wird, wenn eine Zugriffsebene erfüllt ist. Zum Aktualisieren der IAM-Richtlinie für eine Ressource können Sie die Console oder die API verwenden.Führen Sie in der Console die folgenden Schritte aus:
- Rufen Sie die IAP-Administratorseite auf.
- Klicken Sie auf ANWENDUNGEN.
- Wenn Sie noch keinen OAuth-Zustimmungsbildschirm konfiguriert haben, müssen Sie dies tun, um diesen Schritt auszuführen. Wählen Sie im Abschnitt NEUE ANWENDUNG VERBINDEN unter Nicht-Webanwendungen den Connector aus.
- Klicken Sie im Fenster, das geöffnet wird, auf HAUPTKONTO HINZUFÜGEN.
- Weisen Sie dem Hauptkonto oder der Nutzergruppe die Rolle
Cloud BeyondCorp Client Connector Service User(roles/beyondcorp.clientConnectorServiceUser) zu, die für den Zugriff auf Nicht-Webanwendungen erforderlich ist. Optional können Sie eine Zugriffsebene angeben, um die Rolle nur dann bereitzustellen, wenn die Zugriffsebene erfüllt ist. Um eine Zugriffsebene anzugeben, müssen Sie Organisationsadministrator sein oder die Berechtigungenviewundeditfür die Zugriffsebenen der Organisation haben. - Klicken Sie auf SPEICHERN.
IAM-Richtlinie aktualisieren
Console
- Rufen Sie die IAP-Administratorseite auf.
- Klicken Sie auf den Tab ANWENDUNGEN und maximieren Sie in der Liste Ressource die Option Nicht-Webanwendungen.
- Wählen Sie Ihren Client-Connector aus. Ein Bereich mit den IAM-Berechtigungen, die Ihrem Connector zugeordnet sind, wird geöffnet.
- Im angezeigten Abschnitt können Sie die IAM-Richtlinien aktualisieren, die mit Ihrem Client-Connector verknüpft sind.
gcloud
Lesen Sie die vorhandene Richtlinie. Mit der Methode
getIamPolicy()wird die vorhandene IAM-Richtlinie für die Client-Connector-Dienstressource inpolicy.jsongelesen.gcloud beta beyondcorp client-connector services get-iam-policy CLIENT_CONNECTOR_SERVICE_NAME \ --project=CONSUMER_PROJECT \ --location=SERVICE_LOCATION > policy.json
Ersetzen Sie Folgendes:
- CLIENT_CONNECTOR_SERVICE_NAME: Der Name Ihres Client-Connector-Dienstes.
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - SERVICE_LOCATION: Die Region, in der sich der Client-Connector-Dienst befindet.
Bearbeiten Sie die Rückgaberichtlinie. Aktualisieren Sie die Bindungen in
policy.json, um die neue IAM-Rollenzuweisung aufzunehmen. Sie können dies in einem Texteditor oder programmatisch tun. Beispiel:{ "bindings": [ { "role": "roles/beyondcorp.clientConnectorServiceUser", "members": [ "user:EXAMPLE_USER@EXAMPLE.COM", "group:EXAMPLE_GROUP@EXAMPLE.COM", ], "condition": { "expression": "'accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME' in request.auth.access_levels", "title": "CONDITION_NAME" } } ] }Ersetzen Sie Folgendes:
- POLICY_NAME: Der numerische Name Ihrer Zugriffsrichtlinie für Access Context Manager
- LEVEL_NAME: Der Name Ihrer Access Context Manager-Zugriffsebene.
- CONDITION_NAME: Der Titeltext für die IAM-Bedingung.
Schreiben Sie die aktualisierte Richtlinie. Mit der Methode
setIamPolicy()können Sie die aktualisierte IAM-Richtlinie schreiben. Beispiel:gcloud beta beyondcorp client-connector services set-iam-policy CLIENT_CONNECTOR_SERVICE_NAME policy.json \ --project=CONSUMER_PROJECT \ --location=SERVICE_LOCATION
Ersetzen Sie Folgendes:
- CLIENT_CONNECTOR_SERVICE_NAME: Der Name Ihres Client-Connector-Dienstes.
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - SERVICE_LOCATION: Die Region, in der sich der Client-Connector-Dienst befindet.
API
Lesen Sie die vorhandene Richtlinie. Mit der Methode
getIamPolicy()wird die vorhandene IAM-Richtlinie für die Client-Connector-Dienstressource inpolicy.jsongelesen.curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://beyondcorp.googleapis.com/v1/projects/CONSUMER_PROJECT/locations/SERVICE_LOCATION/clientConnectorServices/CLIENT_CONNECTOR_SERVICE_NAME:getIamPolicy > policy.json
Ersetzen Sie Folgendes:
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - SERVICE_LOCATION: Die Region, in der sich der Client-Connector-Dienst befindet.
- CLIENT_CONNECTOR_SERVICE_NAME: Der Name Ihres Client-Connector-Dienstes.
- CONSUMER_PROJECT: Die ID des Projekts, das
Bearbeiten Sie die Rückgaberichtlinie. Aktualisieren Sie die Bindungen in
policy.json, um die neue IAM-Rollenzuweisung aufzunehmen. Sie können dies in einem Texteditor oder programmatisch tun. Beispiel:{ "policy": { "bindings": [ { "role": "roles/beyondcorp.clientConnectorServiceUser", "members": [ "user:EXAMPLE_USER@EXAMPLE.COM", "group:EXAMPLE_GROUP@EXAMPLE.COM", ], "condition": { "expression": "'accessPolicies/POLICY_NAME/accessLevels/LEVEL_NAME' in request.auth.access_levels", "title": "CONDITION_NAME" } } ] } }Ersetzen Sie Folgendes:
- POLICY_NAME: Der numerische Name Ihrer Zugriffsrichtlinie für Access Context Manager
- LEVEL_NAME: Der Name Ihrer Access Context Manager-Zugriffsebene.
- CONDITION_NAME: Der Titeltext für die IAM-Bedingung.
Schreiben Sie die aktualisierte Richtlinie. Mit der Methode
setIamPolicy()können Sie die aktualisierte IAM-Richtlinie schreiben. Beispiel:curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d @policy.json \ https://beyondcorp.googleapis.com/v1/projects/CONSUMER_PROJECT/locations/SERVICE_LOCATION/clientConnectorServices/CLIENT_CONNECTOR_SERVICE_NAME:setIamPolicy
Ersetzen Sie Folgendes:
- CONSUMER_PROJECT: Die ID des Projekts, das
CONSUMER_NETWORKhostet. - SERVICE_LOCATION: Die Region, in der sich der Client-Connector-Dienst befindet.
- CLIENT_CONNECTOR_SERVICE_NAME: Der Name Ihres Client-Connector-Dienstes.
- CONSUMER_PROJECT: Die ID des Projekts, das
Client-Connector-Agent auf Endgeräten installieren (Windows oder macOS)
Aktivieren Sie die Erweiterung „Endpunktprüfung“. Folgen Sie dazu der Anleitung unter Endpunktprüfung auf Ihren Geräten einrichten.
Wenn die Endpunktprüfung eingerichtet und ausgeführt wird, wird in der Erweiterung zur Endpunktprüfung für den aktualisierten Nutzer die Schaltfläche VERBINDUNG STARTEN angezeigt. Für den Zugriff auf die geschützte Nicht-Webanwendung können Nutzer auf die Schaltfläche VERBINDUNG STARTEN klicken.
Wenn ein Nutzer zum ersten Mal eine Verbindung initiiert, wird er von der Endpunktprüfung aufgefordert, die Binärdateien des Client-Connectors herunterzuladen und zu installieren. Alternativ können Sie die Binärdateien für den Client-Connector unter den folgenden URLs herunterladen:
Nachdem eine Verbindung hergestellt wurde, kann ein Nutzer auf die geschützte Ressource zugreifen. Nutzer können die Verbindung beenden, indem sie auf die Schaltfläche VERBINDUNG BEENDEN klicken.
Fehlerbehebung
Wenn bei der Verwendung des Client-Connectors Probleme auftreten, finden Sie im Folgenden Informationen zur Fehlerbehebung.
Sie können nicht auf Ihre Anwendung zugreifen
Das Client-Connector-Gateway wird ausgeführt und die Verbindung wurde hergestellt. Sie können Ihre Anwendung aber immer noch nicht erreichen.
Im Folgenden sind die häufigsten Gründe und mögliche Lösungen für dieses Problem aufgeführt:
Sie haben den zugewiesenen IP-Bereich nicht in Cloud VPN angeboten. Wenn Sie Cloud VPN verwenden, um eine Verbindung zur Nicht-Google Cloud-Anwendung herzustellen, müssen Sie auch den zugewiesenen IP-Bereich für den privaten Dienstzugriff auf den Peer-Router über das Border Gateway Protocol (BGP) anbieten. Weitere Informationen dazu finden Sie unter Advertising auf einem Cloud Router angeben.
Sie haben eine falsche Adresse und Maske in den Zielrouten angegeben. Achten Sie beim Angeben der Adresse darauf, dass die maskierten Bits null sind. Beispielsweise ist
10.0.10.1keine gültige Adresse, um eine255.255.255.0 (/24)-Netzwerkmaske bereitzustellen. Die richtige Adresse lautet10.0.10.0.Mögliche IP-Konflikte zwischen dem zugewiesenen IP-Bereich für den privaten Dienstzugriff und den IP-Subnetzen, die vom Netzwerk verwendet werden, in dem die Anwendung gehostet wird. Achten Sie darauf, dass sich diese Bereiche gegenseitig ausschließen. Dieses Problem tritt meistens auf, wenn die Anwendung nicht in einem Google Cloud-Netzwerk gehostet wird.
Sie erhalten die Nachricht Unable to connect to the network
Wenn Sie die Meldung Unable to connect to the network. Check your network
connection and try again. erhalten, ist die Internetverbindung auf Ihrem Gerät nicht aktiv.
Lösung: Überprüfen Sie, ob Ihre Internetverbindung aktiv ist, und versuchen Sie dann erneut, eine Verbindung herzustellen.
Audit-Logs
Als Administrator können Sie BeyondCorp Enterprise-Audit-Logs, einschließlich der Audit-Logs des Client-Connectors, auf der Seite Logging der Google Cloud Console ansehen. Weitere Informationen finden Sie unter Audit-Logging für BeyondCorp Enterprise-Dienste.
Wenn Sie Endnutzer sind, können Sie mit den folgenden Schritten auf die Verbindungsprotokolle zugreifen:
- Klicken Sie im Browser mit der rechten Maustaste auf die Erweiterung „Endpunktprüfung“.
- Klicke auf Optionen.
- Wählen Sie den Detaillierungsgrad für die Logebene aus. Standardmäßig ist der Detaillierungsgrad auf Info eingestellt.
- Klicken Sie auf Protokoll anzeigen.
Nächste Schritte
- BeyondCorp Enterprise-API
- gcloud beta BeyondCorp
- Anwendungen, die nicht von Google Cloud stammen, mit dem Anwendungs-Connector sichern