使用应用连接器保护非Google Cloud应用

本页介绍了如何设置和使用 Chrome Enterprise Premium 应用连接器来保护非Google Cloud 应用。

概览

您可以使用 Chrome Enterprise 进阶版应用连接器,为在非Google Cloud环境中运行的 HTTPS 应用提供身份和情境感知访问权限。Chrome 企业进阶版应用连接器是 Chrome 企业进阶版强制执行层与在其他云端和本地环境中运行的应用之间的安全身份验证接口。

使用 Chrome 企业进阶版应用连接器的好处在于,您无需打开防火墙或设置站点到站点的 Cloud VPN 连接。

架构

以下是 Chrome Enterprise Premium 应用连接器的主要组件示意图。

Chrome 企业进阶版应用连接器组件

Chrome 企业进阶版应用连接器组件由三个主要 API 资源管理:应用连接器、应用关联和应用网关。

应用连接器
连接器资源用于定义唯一的应用连接器远程代理。应用连接器远程代理部署在远程企业环境中,例如其他云环境和本地环境。远程代理会发起并维护到 Google Cloud的隧道会话,接收来自Google Cloud的流量,并将流量转发到同一环境中的远程应用端点。
应用连接
连接资源用于定义从Google Cloud 到使用 IP 地址:端口或 FQDN:端口 标识的特定应用端点之间的逻辑连接。连接资源会协调为给定应用端点分配的一组托管式应用连接器网关。网关在Google Cloud 中进行管理,并会在不再需要时终止远程代理的隧道会话。
应用网关

应用网关是 Google 提供的托管式服务。应用连接器远程代理会连接到一个或多个网关,以允许应用连接和应用连接器将流量从最终用户中继到远程代理。托管在同一应用网关上的应用连接的流量会通过通用虚拟基础架构进行路由。

当您使用应用连接器连接应用时,系统会为您隐式创建和管理应用网关。如果您想将应用连接资源整理成组,还可以创建其他应用网关。应用网关可灵活地对应用连接进行分组或分隔,以实现应用隔离。

每个应用网关最多支持 1 Gbps 的总吞吐量,最多可处理 20 万个并发连接。我们建议您为需要高性能的关键应用创建专用网关。每个网关最多可分配 10 个应用。

为了支持最多 20 万个并发连接和最多 1 Gbps 的总吞吐量,我们建议您使用 8 核和 8 GB 内存的专用虚拟机来运行应用连接器远程代理。例如,您可以在高可用性集群中专门分配 2 个应用连接器远程代理(每个代理具有 8 个核心和 8 GB 内存),以便通过专用应用网关 (app_gateway1) 支持高性能 Web 应用 (app1.examplecompany.com)。再创建一个由 2 个虚拟机组成的集群,每个虚拟机具有 8 个核心和 8 GB 内存,以支持 10 个低使用率应用与另一个专用应用网关 (app_gateway2) 的组合。

应用连接器、应用连接和应用网关资源是区域级资源。您只能在地区性上下文中使用这些字符。例如,您无法将区域 A 中的应用连接器分配给在区域 B 中创建的应用连接或应用网关。

准备工作

您只能将 Chrome Enterprise 进阶版应用连接器与 HTTPS 应用搭配使用。此外,HTTPS 负载平衡器不会使用服务器名称指示 (SNI) 扩展程序来连接到后端。如需了解详情,请参阅从负载平衡器到后端的加密

如需使用 Chrome 企业进阶版应用连接器,您必须拥有以下条件:

每个 Chrome 企业进阶版应用连接器代理都需要运行 Docker 的 Linux 虚拟机。我们建议使用以下 Linux 发行版:

  • Debian 10.7 (buster)
  • Red Hat Enterprise Linux Server 7.8 (Maipo) x86_64
  • Ubuntu 16.04 或更高版本

对于 Linux VM 硬件,我们建议至少配备 2 个 CPU 和 2GB RAM。

您可以使用 gcloud 和 API 或 Google Cloud 控制台设置和启用应用连接器。如需使用 gcloud 和 API,请完成以下步骤。如需使用 Google Cloud 控制台,请参阅使用 Google Cloud 控制台设置应用连接器

设置 Google Cloud 项目

若要设置 Google Cloud 要与 Chrome 企业进阶版应用连接器搭配使用的项目,您必须启用 Chrome 企业进阶版 API。请完成以下步骤以启用该 API:

gcloud CLI

在完成以下步骤之前,请确保您已安装 gcloud CLI SDK。

  1. 运行以下命令,设置所需的环境变量: 

    PROJECT_ID=my-project

    my-project 替换为 Google Cloud 项目 ID。

  2. 运行以下命令来启用该 API: 

    gcloud config set project $PROJECT_ID
gcloud services enable beyondcorp.googleapis.com

API

  1. 运行以下命令获取访问令牌并设置所需的环境变量和别名: 

    PROJECT_NUMBER=my-project-number
ACCESS_TOKEN=my-access-token

    my-project 替换为 Google Cloud 项目 ID。

  2. 设置方便的别名以使用访问令牌: 

    alias gcurl="curl -H 'Authorization: Bearer ${ACCESS_TOKEN}' -H 'Content-Type: application/json'"

  3. 运行以下命令来启用该 API: 

    gcurl https://serviceusage.googleapis.com/v1/projects/${PROJECT_NUMBER}/services/beyondcorp.googleapis.com:enable -d "{}"

安装应用连接器远程代理

对于托管您要使用 Chrome Enterprise Premium 保护的应用的每个网络环境,您都必须部署一个应用连接器远程代理虚拟机。您必须为创建的每个远程代理准备一台专用虚拟机,或安装了 Docker 的任何裸金属服务器。

如需创建远程代理,请完成以下步骤:

  1. 在应用环境中创建一个虚拟机实例。
    1. 确保远程代理虚拟机网络防火墙允许在端口 443 上针对 IAP-TCP IP 范围 35.235.240.0/20 发起的所有出站流量。如需了解远程代理虚拟机防火墙应允许出站流量传入哪些其他网域,请参阅验证防火墙配置

  2. 安装远程代理:

    1. 验证您的 DNS 是否配置正确,以及您是否可以使用 curl 访问应用。
    2. 安装 Docker Engine
      1. 可选:如果您使用的是代理,请验证 Docker 守护程序是否配置正确
    3. 可选:如果您使用了代理,请验证是否已设置 HTTP 和 HTTPS 代理环境变量,并确认它们是否使用了 http:// 架构。
    4. 在远程代理虚拟机上运行以下命令以安装远程代理: 
      curl https://raw.githubusercontent.com/GoogleCloudPlatform/beyondcorp-applink/main/bash-scripts/install-beyondcorp-runtime -o ./install-beyondcorp-runtime && chmod +x ./install-beyondcorp-runtime && ./install-beyondcorp-runtime
    5. 如需将 bce-connctl 别名添加到 shell,请运行以下命令: 
       source ~/.bce_alias

    6. 运行以下命令,设置所需的环境变量: 

      PROJECT_ID=my-project
REGION=us-central1
CONNECTOR_NAME=my-connector
      替换以下内容:

      • my-project: Google Cloud 项目 ID。
      • us-central1:要部署连接和网关的区域。
      • my-connector:连接器的名称。

    7. 使用以下任一凭据类型注册连接器:

    服务账号

    1. bce-connctl CLI 中运行以下命令,注册连接器: 

      bce-connctl init --project=$PROJECT_ID --region=$REGION --connector=$CONNECTOR_NAME

    2. 按照屏幕上的说明,使用 Cloud Shell 或 gcloud CLI 将注册脚本复制并粘贴到您的项目中,然后完成连接器注册。 Google Cloud 如需运行注册脚本,您必须拥有项目的 Owner 权限。

      注册脚本运行完毕后,运行时会自动同步连接器配置。

    联合身份

    1. 按照工作负载身份联合指南中的说明,使用服务账号模拟功能向您的外部身份授予对 Google Cloud的访问权限。
    2. 下载客户端库配置,并将该文件放在远程代理虚拟机上的 /var/beyondcorp/credentials/credentials.json 中。
      1. 如果将 AWS EC2 实例用作远程代理虚拟机,请执行以下任一操作:
        1. 在 EC2 实例上将 IMDSv2 设为可选。
        2. 将以下代码行添加到客户端库配置文件中的 credential_source 对象: 
          "imdsv2_session_token_url": "http://169.254.169.254/latest/api/token"
    3. 在远程代理虚拟机上,在 bce-connctl CLI 中运行以下命令: 
      bce-connctl config set project $PROJECT_ID
bce-connctl config set region $REGION
bce-connctl config set connector $CONNECTOR_NAME
    4. 运行以下命令以重启代理并让其获取凭据: 
      sudo systemctl restart beyondcorp
    5. 在 Cloud Shell 或 gcloud CLI 端点上,运行以下命令以设置所需的环境变量: 
      SERVICE_ACCOUNT=my-service-account
      替换以下内容:
      • my-service-account:与外部身份关联的 Google Cloud 服务账号。

    6. 运行以下命令,向服务账号授予 BeyondCorp Connection Agent 角色: Google Cloud 

      gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member="serviceAccount:$SERVICE_ACCOUNT" \
    --role="roles/beyondcorp.connectionAgent"

    7. 运行以下命令以创建应用连接器资源。 Google Cloud 

      gcloud alpha beyondcorp app connectors create $CONNECTOR_NAME \
    --project=$PROJECT_ID \
    --location=$REGION \
    --member="serviceAccount:$SERVICE_ACCOUNT" \
    --display-name=$CONNECTOR_NAME

      创建应用连接器资源后,远程代理运行时会自动同步连接器配置。

  3. 验证远程代理安装:

    1. 运行以下命令以确保服务正在运行: 
      sudo systemctl status beyondcorp
    2. 远程代理由三个 Docker 容器组成:bce-control-runtimebce-logagentbce-connector。通过运行以下命令验证所有三个容器是否正在运行: 
      docker ps --filter name=bce
    3. 可选:您可以通过运行以下命令来检查 Docker 容器日志文件: 
      docker logs -f CONTAINER_NAME
      CONTAINER_NAME 替换为 Docker 容器名称。

将远程应用连接到 VPC

gcloud CLI

在完成以下步骤之前,请确保您已安装 gcloud CLI SDK,并且您登录的账号具有 beyondcorp.admin 角色。

  1. 运行以下命令,设置所需的环境变量:

    CONNECTOR_NAME=my-connector
CONNECTION_NAME=my-connection
PROJECT_ID=my-project
REGION=us-central1
APP_ENDPOINT=APP_HOST:APP_PORT

    替换以下内容:

    • my-connector:连接器的名称,在上一步中定义。
    • my-connection:连接的唯一名称。
    • my-project: Google Cloud 项目 ID。
    • us-central1:要部署连接和网关的区域。
    • APP_HOST:托管应用的本地 IP 地址或 FQDN。
    • APP_PORT:用于连接到应用的端口号。

  2. 如需在应用与 VPC 之间创建连接,请运行以下命令:

    gcloud alpha beyondcorp app connections create $CONNECTION_NAME \
    --project=$PROJECT_ID \
    --location=$REGION \
    --application-endpoint=$APP_ENDPOINT \
    --type=tcp \
    --connectors=$CONNECTOR_NAME \
    --display-name=$CONNECTION_NAME

    请注意,此步骤可能需要几分钟才能完成。

  3. 创建连接后,请运行以下命令以检索网关 URI: 

    GATEWAY_URI="$(gcloud alpha beyondcorp app connections describe $CONNECTION_NAME --project=$PROJECT_ID --location=$REGION --format='get(gateway.uri)')"
GATEWAY_URI_L7="${GATEWAY_URI/bce-psc/bce-ps7}"

    GATEWAY_URI_L7 用于创建转发规则。Chrome Enterprise Premium 应用连接器使用 Private Service Connect 将使用方项目与 Google 管理的项目中的受管资源相关联。

API

  1. 运行以下命令,设置所需的环境变量:

    CONNECTOR_NAME=my-connector
CONNECTION_NAME=my-connection
PROJECT_ID=my-project
REGION=us-central1
APP_HOST=my-app-host
APP_PORT=my-app-port

    替换以下内容:

    • my-connector:连接器的名称,在上一步中定义。
    • my-connection:连接的唯一名称。
    • my-project: Google Cloud 项目 ID。
    • us-central1:要部署连接和网关的区域。
    • my-app-host:托管应用的本地 IP 地址或 FQDN。
    • my-app-port:用于连接到应用的端口号。

  2. 如需在应用与 VPC 之间创建连接,请运行以下命令:

    gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_NUMBER}/locations/${REGION}/appConnections?app_connection_id=${CONNECTION_NAME} \
-d "{ \
    'application_endpoint': \
    { \
        'host': '${APP_HOST}', \
        'port': '${APP_PORT}' \
    }, \
    'type': 'TCP_PROXY', \
    'display_name': '${CONNECTION_NAME}' \
}"

    请注意,此步骤可能需要几分钟才能完成。

  3. 创建连接后,请运行以下命令以检索网关 URI: 

    GATEWAY_URI=$(gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_NUMBER}/locations/${REGION}/appConnections/${CONNECTION_NAME} | jq -r '.gateway.uri')
GATEWAY_URI_L7="${GATEWAY_URI/bce-psc/'bce-ps7'}"

    GATEWAY_URI_L7 用于创建转发规则。Chrome Enterprise Premium 应用连接器使用 Private Service Connect 将使用方项目与 Google 管理的项目中的受管资源相关联。

配置外部应用负载平衡器

您只能将 HTTPS 应用连接到外部应用负载平衡器。不支持 HTTP 应用。

gcloud CLI

在完成以下步骤之前,请确保您已安装 gcloud CLI SDK,并且您登录的账号具有 beyondcorp.admin 角色。

  1. 运行以下命令,设置所需的环境变量: 

    LB_PREFIX=web-app
PROJECT_ID=my-project
REGION=us-central1
DOMAIN_NAME=app.example.com
    替换以下内容:

    • web-app:附加到所有负载平衡器资源名称的前缀。
    • my-project: Google Cloud 项目 ID。
    • us-central1:连接和网关将部署到的区域。
    • app.example.com:应用的域名。

  2. 使用以下命令创建网络端点组 (NEG)

    gcloud beta compute network-endpoint-groups create $LB_PREFIX-neg \
    --region=$REGION \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=$GATEWAY_URI_L7

    可选标志:

    • 设置 --network 标志,以指定 NEG 中网络端点的网络名称。如果未指定,则使用默认项目网络。
    • 设置 --subnet 标志,以指定 NEG 中网络端点的子网名称。如果未指定,网络端点可以属于创建网络端点组的区域中的任何子网。

  3. 运行以下命令,创建基于 NEG 的后端服务并将其连接到 Private Service Connect 服务附件:

    gcloud beta compute backend-services create $LB_PREFIX-backend-service \
    --global \
    --protocol=HTTPS \
    --load-balancing-scheme=EXTERNAL_MANAGED

gcloud beta compute backend-services add-backend $LB_PREFIX-backend-service \
    --global \
    --network-endpoint-group=$LB_PREFIX-neg \
    --network-endpoint-group-region=$REGION

  4. 运行以下命令,为您的网域创建 Google 管理的证书:

    gcloud compute addresses create $LB_PREFIX-static-ip \
    --ip-version=IPV4 \
    --global
gcloud compute ssl-certificates create $LB_PREFIX-ssl-cert \
    --domains=$DOMAIN_NAME \
    --global

LB_IP="$(gcloud compute addresses describe $LB_PREFIX-static-ip --global --format='value(address)')"

  5. 运行以下命令,根据上一步中的后端创建外部应用负载平衡器:

    gcloud compute url-maps create $LB_PREFIX-map-https \
    --default-service=$LB_PREFIX-backend-service

gcloud compute target-https-proxies create $LB_PREFIX-https-lb-proxy \
    --url-map=$LB_PREFIX-map-https \
    --ssl-certificates=$LB_PREFIX-ssl-cert

gcloud beta compute forwarding-rules create "$LB_PREFIX-https-lb-forwarding-rule" \
    --global \
    --target-https-proxy=$LB_PREFIX-https-lb-proxy \
    --address=$LB_IP \
    --ports=443 \
    --load-balancing-scheme=EXTERNAL_MANAGED

    外部应用负载平衡器创建后,您可以通过该 IP 地址通过互联网访问您的应用。

  6. 创建外部应用负载平衡器后,您必须将其 IP 地址与域名相关联,以便 Google Cloud 可以预配 SSL 证书。请参阅 DNS 提供商的说明,了解如何将 IP 地址与 DNS 名称相关联。运行以下命令可查看配置状态:

    1. 显示要在 DNS 提供程序中设置的 IP 地址: 
      echo "Load Balancer ip address - $LB_IP"
    2. 设置 DNS 后,请运行以下命令,检查域名是否解析为 IP 地址: 
      dig $DOMAIN_NAME
    3. 通过运行以下命令获取预配状态:
    gcloud compute ssl-certificates describe $LB_PREFIX-ssl-cert \
    --global \
    --format="get(name,managed.status, managed.domainStatus)"

    SSL 证书预配完成后,您应该能够使用 DNS 名称访问应用。

API

  1. 运行以下命令,设置所需的环境变量: 

    LB_PREFIX=web-app
PROJECT_ID=my-project
REGION=us-central1
DOMAIN_NAME=app.example.com
    替换以下内容:

    • web-app:附加到所有负载平衡器资源名称的前缀。
    • my-project: Google Cloud 项目 ID。
    • us-central1:连接和网关将部署到的区域。
    • app.example.com:应用的域名。

  2. 使用以下命令创建网络端点组 (NEG)

    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/regions/${REGION}/networkEndpointGroups \
-d "{ \
    'name': '${LB_PREFIX}-neg', \
    'network_endpoint_type': 'private-service-connect', \
    'psc_target_service': '${GATEWAY_URI_L7}' \
}"

    可选字段:

    • 设置 network 字段,以指定 NEG 中网络端点的网络网址。如果未指定,则使用默认项目网络。
    • 设置 subnetwork 字段,以指定 NEG 中网络端点的子网网址。如果未指定,网络端点可以属于创建网络端点组的区域中的任何子网。

  3. 运行以下命令,创建基于 NEG 的后端服务并将其连接到 Private Service Connect 服务附件:

    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/backendServices \
-d "{ \
    'name': '${LB_PREFIX}-backend-service', \
    'service_protocol': 'HTTPS', \
    'port_name': 'https', \
    'load_balancing_scheme': 'EXTERNAL_MANAGED' \
}"

gcurl -X PATCH https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/backendServices/${LB_PREFIX}-backend-service \
-d "{ \
    'backends': \
    [{ \
        'group': 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/regions/${REGION}/networkEndpointGroups/${LB_PREFIX}-neg' \
    }] \
}"

  4. 运行以下命令,为您的网域创建 Google 管理的证书:

    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/addresses \
-d "{ \
    'name': '${LB_PREFIX}-static-ip', \
    'ip_version': 'IPV4' \
}"

gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/sslCertificates \
-d "{ \
    'name': '${LB_PREFIX}-ssl-cert', \
    'managed': \
    { \
        'domains': '${DOMAIN_NAME}' \
    }, \
    'type': 'MANAGED' \
}"

LB_IP=$(gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/addresses/${LB_PREFIX}-static-ip | jq -r '.address')

  5. 运行以下命令,根据上一步中的后端创建外部应用负载平衡器:

    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/urlMaps \
-d "{ \
    'name': '${LB_PREFIX}-map-https', \
    'default_service': 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/backendServices/${LB_PREFIX}-backend-service' \
}"

gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/targetHttpsProxies \
-d "{ \
    'name': '${LB_PREFIX}-https-lb-proxy', \
    'url_map': 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/urlMaps/${LB_PREFIX}-map-https', \
    'ssl_certificate': 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/sslCertificates/${LB_PREFIX}-ssl-cert' \
}"

gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/forwardingRules \
-d "{ \
    'name': '${LB_PREFIX}-https-lb-forwarding-rule', \
    target: 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/targetHttpsProxies/${LB_PREFIX}-https-lb-proxy', \
    'ip_address': '${LB_IP}', \
    'port_range': '443-443', \
    'load_balancing_scheme': 'EXTERNAL_MANAGED' \
}"

    外部应用负载平衡器创建后,您可以通过该 IP 地址通过互联网访问您的应用。

  6. 创建外部应用负载平衡器后,您必须将其 IP 地址与域名相关联,以便 Google Cloud 可以预配 SSL 证书。请参阅 DNS 提供商的说明,了解如何将 IP 地址与 DNS 名称相关联。运行以下命令可查看配置状态:

    1. 显示要在 DNS 提供程序中设置的 IP 地址: 
      echo "Load Balancer ip address - $LB_IP"
    2. 设置 DNS 后,请运行以下命令,检查域名是否解析为 IP 地址: 
      dig $DOMAIN_NAME
    3. 通过运行以下命令获取预配状态:
    echo $(gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/sslCertificates/${LB_PREFIX}-ssl-cert \
| jq -r '.name + " " + .managed.status + " " + (.managed.domainStatus | keys[]) + "=" + .managed.domainStatus[]')

    SSL 证书预配完成后,您应该能够使用 DNS 名称访问应用。

启用 Identity-Aware Proxy

请按照 Identity-Aware Proxy (IAP) 文档中的说明设置 Identity-Aware Proxy。设置 IAP 后,请完成以下步骤,为后端服务启用 IAP:

  1. 前往 IAP 页面:
    IAP

  2. HTTPS 资源下,找到 $LB_PREFIX-backend-service。如需为此资源启用 IAP,请点击“IAP”列中的切换开关。在随即显示的开启 IAP 窗口中,选中相应的复选框以确认此资源的配置要求,然后点击开启以确认您希望使用 IAP 保护资源。

  3. 如需允许用户访问您的应用,您必须完成以下步骤,为用户授予项目的 IAP-secured Web App User 角色:

    1. 选中 $LB_PREFIX-backend-service 复选框。
    2. 信息面板中,选择添加主账号,然后输入应有权访问您的应用的群组或个人的电子邮件地址。
    3. 选择角色下拉列表中,依次选择 Cloud IAP > IAP-secured Web App User,然后点击保存

您的本地应用现在应该已发布到互联网并受 Chrome Enterprise 进阶版保护。

使用 Google Cloud 控制台设置应用连接器

完成本部分中的过程,即可使用 Google Cloud 控制台部署 Chrome 企业版 Premium 应用连接器。

输入您的应用详细信息

请完成以下步骤,添加应用的详细信息:

  1. 在 Google Cloud 控制台中,前往 IAP 页面。
    前往 IAP

  2. 点击 CONNECT NEW APPLICATION 按钮,然后选择 Connect via App Connector

  3. 应用名称中,输入您要保护的应用的名称。

  4. 面向外部的应用网址中,输入一个可供用户访问的公开网址。

  5. 点击下一步

设置连接到 Google Cloud

完成以下步骤,在 Google Cloud 与您的非Google Cloud 环境之间建立连接。

  1. 点击 CREATE APP CONNECTOR(创建应用连接器)按钮,然后输入以下信息:

    • 应用连接器名称:连接器的名称。
    • 区域:部署连接网关和连接器所在的区域。

  2. 点击创建按钮。

  3. 按照预配虚拟机窗格中的说明在虚拟机上部署远程代理。

  4. 点击 TEST CONNECTION STATUS 按钮以测试连接。

  5. Google Cloud 在哪里可以找到您的应用?中输入以下信息,以配置您在上一步中创建的连接器:

    • 内部主机名:托管应用的本地 IP 地址或 FQDN。
    • 端口:用于连接到应用的端口号。

授予对您的应用的访问权限(可选)

  1. 对于新的主账号,请输入以下一项或多项:

    • Google 账号电子邮件地址:<用户名>@gmail.com
    • Google 群组:<管理员>@googlegroups.com
    • 服务账号:server@example.gserviceaccount.com
    • Google Workspace 网域:example.com
    • 任何人:输入 allUsers 可为所有用户授予访问权限
    • 所有 Google 账号allAuthenticatedUsers,可向任何已登录 Google 账号的用户授予访问权限

  2. 选择一个或多个访问权限级别,然后点击下一步

发布您的应用

  1. 如需发布应用,请点击安全地发布应用按钮。

  2. 发布应用并收到已安全发布应用确认后,您必须创建 DNS 记录,将面向外部的应用网址指向代理的 IP 地址。请完成以下步骤:

    • 第 2 步 - 更新 DNS 部分,复制 IP 地址字段中的 IP 地址。按照 DNS 提供商的说明,使用该地址创建 DNS 记录,了解如何将 IP 地址与 DNS 名称相关联。

  3. 创建 DNS 记录后,点击测试按钮对其进行测试。您应该会收到DNS 测试已通过的确认消息。

  4. 点击完成

启用 IAP

  1. 前往 IAP 页面。
    前往 IAP

  2. 在资源列表中找到您的应用,然后选择“IAP”列中的按钮。

  3. 在随即显示的开启 IAP 对话框中,选中我已阅读配置要求,并根据文档配置了我的后端服务复选框,然后点击开启

您的本地应用现在应该已发布到互联网并受 Chrome Enterprise 进阶版保护。

创建应用网关(可选)

当您使用应用连接器连接应用时,系统会隐式创建和管理应用网关。您还可以创建自己的应用网关,以便将应用连接资源整理到群组中。托管在不同应用网关中的应用连接的流量会通过单独的虚拟基础架构进行路由。

如需创建和指定应用网关,请完成以下步骤。

gcloud CLI

  1. 运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=CONNECTOR_NAME
CONNECTION_NAME=CONNECTION_NAME
GATEWAY_NAME=GATEWAY_NAME
PROJECT_ID=PROJECT_ID
REGION=REGION
APP_ENDPOINT=APP_HOST:APP_PORT

    替换以下内容:

    • CONNECTOR_NAME:连接器的名称,在上一步中定义。
    • CONNECTION_NAME:连接的唯一名称。
    • GATEWAY_NAME:应用网关的名称。
    • PROJECT_ID: Google Cloud 项目 ID。
    • REGION:要部署应用网关的区域,例如 us-central1
    • APP_HOST:托管应用的本地 IP 地址或 FQDN。
    • APP_PORT:用于连接到应用的端口号。

  2. 运行以下命令创建应用网关:

    gcloud beta beyondcorp app gateways create $GATEWAY_NAME \
--project=$PROJECT_ID --location=$REGION --display-name=$GATEWAY_NAME

  3. 通过运行以下命令,在创建连接调用中指定应用网关:

    gcloud beta beyondcorp app connections create $CONNECTION_NAME \
--project=$PROJECT_ID \
--location=$REGION \
--application-endpoint=$APP_ENDPOINT \
--type=tcp \
--connectors=$CONNECTOR_NAME \
--display-name=$CONNECTION_NAME \
--app-gateway=$GATEWAY_NAME

API

  1. 运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=CONNECTOR_NAME
CONNECTION_NAME=CONNECTION_NAME
GATEWAY_NAME=GATEWAY_NAME
PROJECT_ID=PROJECT_ID
REGION=REGION
APP_ENDPOINT=APP_HOST:APP_PORT

    替换以下内容:

    • CONNECTOR_NAME:连接器的名称,在上一步中定义。
    • CONNECTION_NAME:连接的唯一名称。
    • GATEWAY_NAME:应用网关的名称。
    • PROJECT_ID: Google Cloud 项目 ID。
    • REGION:要部署应用网关的区域,例如 us-central1
    • APP_HOST:托管应用的本地 IP 地址或 FQDN。
    • APP_PORT:用于连接到应用的端口号。

  2. 运行以下命令创建应用网关:

    gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/appGateways?app_gateway_id=${GATEWAY_NAME} \
-d "{ \
'type': 'TCP_PROXY', \
'display_name': '${CONNECTION_NAME}' \
}"

  3. 通过运行以下命令,在创建连接调用中指定应用网关:

    gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/appConnections?app_connection_id=${CONNECTION_NAME} \
-d "{ \
'application_endpoint': \
{ \
'host': '${APP_HOST}', \
'port': '${APP_PORT}' \
}, \
'gateway': { 'app_gateway' : 'projects/${PROJECT_ID}/locations/${REGION}/appGateways/${GATEWAY_NAME}'}, \
'connectors':['projects/${PROJECT_ID}/locations/${REGION}/appConnectors/${CONNECTOR_NAME}'], \
'type': 'TCP_PROXY', \
'display_name': '${CONNECTION_NAME}' \

后续步骤

问题排查

找不到之前创建的资源

使用 gcloud CLI 392.0.0 或更高版本时,请使用新的应用连接器默认资源 AppConnectorAppConnection。例如,gcloud alpha beyondcorp app connectorsgcloud alpha beyondcorp app connections 都引用新资源。

如需访问使用低于 392.0.0 版 gcloud CLI 创建的旧版资源,请使用关键字 legacy。例如,gcloud alpha beyondcorp app legacy connectorsgcloud alpha beyondcorp app legacy connections 都引用旧版资源。

使用旧版资源的配置目前仍可正常运行,但将来会被弃用。

  • 请按照本指南中的步骤配置新资源。
  • 如果您的配置使用旧版资源,请使用关键字 legacy 找到这些资源并将其移除。按照本文档中的步骤重新创建资源。
  • 如果您有使用旧版资源的不完整配置,请使用关键字 legacy 找到这些资源并将其移除。按照本文档中的步骤重新创建资源。

TLS/SSL 错误

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

浏览器显示错误 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 或类似的 TLS/SSL 错误,并且不会重定向到登录页面。

  • 在 Google Cloud 负载平衡器详情页面上验证证书的状态。

    注意:预配 Google 管理的证书最多可能需要 60 分钟。

TLS error

重定向到登录页面后,浏览器会显示错误 upstream connect error or disconnect/reset before headers. retried and the latest reset reason: connection failure, transport failure reason: TLS error 或类似的 TLS/SSL 错误。

  • 验证关联中使用的应用端点是否为 HTTPS。

  • 使用 curl 验证是否可以从远程代理虚拟机访问应用端点:

    curl https://$APP_ENDPOINT

    如果您的应用证书是自签名证书,您可能需要使用 -k 标志。

验证防火墙配置

确保远程代理与互联网之间的防火墙允许与以下网域建立出站连接:

连接类型 网域 Port(端口)
TCP raw.githubusercontent.com 443
TCP gcr.io 443
TCP *.googleapis.com 443
TCP tunnel.cloudproxy.app 443
TCP *.tunnel.cloudproxy.app 443
TCP accounts.google.com 443
TCP oauth2.googleapis.com 443

更改与连接关联的连接器

gcloud

  1. 运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=my-connector
CONNECTION_NAME=my-connection
REGION=us-central1
PROJECT_ID=my-project

    替换以下内容:

    • my-connector:连接器的名称。这也可以是逗号分隔的列表,例如 connector1,connector2
    • my-connection:要更新的连接的名称。
    • us-central1:连接的部署区域。
    • my-project: Google Cloud 项目 ID。

  2. 如需更改与连接关联的连接器,请运行以下命令:

    gcloud alpha beyondcorp app connections update $CONNECTION_NAME \
    --project=$PROJECT_ID \
    --location=$REGION \
    --connectors=$CONNECTOR_NAME

API

  1. 运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=my-connector
CONNECTION_NAME=my-connection
REGION=us-central1
PROJECT_ID=my-project

    替换以下内容:

    • my-connector:连接器的名称。
    • my-connection:要更新的连接的名称。
    • us-central1:连接的部署区域。
    • my-project: Google Cloud 项目 ID。

  2. 如需更改与连接关联的连接器,请运行以下命令:

    gcurl -X PATCH \
https://beyondcorp.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/appConnections/${CONNECTION_NAME}?update_mask=connectors \
-d "{ \
    'connectors': ['projects/${PROJECT_ID}/locations/${REGION}/appConnectors/${CONNECTOR_NAME}'], \
}"

    您可以通过运行以下命令并检查输出的 connectors 字段来验证更新:

    gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/appConnections/${CONNECTION_NAME}

代理

我们于 2024 年初引入了对代理的支持,这需要更改 BeyondCorp systemd 文件。如果您在此之前安装了远程代理,并且想使用代理,请重新安装远程代理

  • 验证 Docker 守护程序是否已正确配置,以便与代理搭配使用。

  • 验证是否已设置 HTTP 和 HTTPS 代理环境变量,以及这两个变量是否都使用 http:// 架构。不支持 https:// 架构和其他架构。

  • 运行 env 命令,验证代理环境变量是否已导出到子进程。

  • 仅支持 HTTP_PROXYHTTPS_PROXYNO_PROXY 及其对应的小写形式。

  • 如果您需要在安装后更新代理设置,请更新 /var/beyondcorp/env/PROXY 中的环境变量(如果使用默认的 beyondcorp 用户)。如果使用自定义用户,请按照配置 Docker 客户端中的说明更新 /home/$USER/.docker/config.json。如需应用代理更改,请使用以下命令重启远程代理: 

    sudo systemctl restart beyondcorp

诊断工具

run-post-install-checks

run-post-install-checks 是安装在 /var/beyondcorp/scripts/ 中的脚本,用于验证远程代理是否已正确安装、注册且运行状况良好。成功创建 app connection 并将其分配给远程代理(连接器)后,前往远程代理虚拟机,然后使用以下命令运行 run-post-install-checks

sudo /var/beyondcorp/scripts/run-post-install-checks

如果一切顺利,脚本会输出一条成功消息。

run-diagnostics

run-diagnostics 是安装在 /var/beyondcorp/scripts/ 中的脚本,用于诊断远程代理虚拟机上的常见问题,并输出可与 Chrome 企业进阶版支持团队共享的报告。如需运行此诊断脚本,请运行以下命令:

sudo /var/beyondcorp/scripts/run-diagnostics

诊断报告会写入控制台和 ./diagnostics-report.txt

远程代理 CLI

bce-connctl 是远程代理管理命令行界面 (CLI),用于在本地与远程代理进行交互。此 CLI 支持各种命令,例如注册远程代理、检查状态和设置配置值。

init 命令

您可以使用 Init 命令初始化远程代理,并生成用于注册代理的脚本。

示例:

bce-connctl init --project=$PROJECT_ID --region=$REGION --connector=$CONNECTOR_NAME

状态命令

您可以使用“Status”命令来管理远程代理的状态。

  • 列出:使用此命令可列出远程代理的整体状态,以及此代理支持的所有连接的状态。示例:bce-connctl status list

配置命令

您可以使用 Config 命令管理远程代理的配置值。

  • 列出:使用此命令可列出远程代理的配置值。示例:bce-connctl config list
  • set:使用此命令可设置远程代理的配置值。示例:bce-connctl config set <key> <value>

注册命令

您可以使用注册命令来管理远程代理的注册。

  • 说明:使用此命令可获取远程代理的注册状态。示例:bce-connctl enrollment describe

    当来自 bce-connctl init 的注册脚本成功完成且公钥成功上传后,状态为 ENROLLED

帮助

您可以将 -h--help 标志附加到任何 bce-connctl 命令,以输出使用信息。

bce-connctl init -h