使用应用连接器保护非 Google Cloud 应用

本页面介绍了如何设置和使用 Chrome Enterprise Premium 应用连接器, 安全的非 Google Cloud 应用。

概览

您可以使用 Chrome Enterprise Premium 应用连接器来提供身份和 对非 Google Cloud 中运行的 HTTPS 应用进行情境感知访问权限 环境Chrome Enterprise Premium 应用连接器经过身份验证,安全可靠 Chrome Enterprise Premium 强制执行平面与应用之间的接口 其他云环境和本地环境中运行的工作负载。

使用 Chrome Enterprise Premium 应用连接器的好处在于,您无需打开防火墙或设置站点到站点的 Cloud VPN 连接。

架构

以下是概要架构图,描述了主要组件 Chrome Enterprise Premium 应用连接器。

Chrome Enterprise Premium 应用连接器组件

Chrome Enterprise Premium 应用连接器组件使用三个主要 API 进行管理 资源:应用连接器、应用连接和应用网关。

应用连接器
连接器资源定义了唯一的应用连接器远程代理。应用连接器远程代理部署在远程企业环境中,例如其他云环境和本地环境。远程代理启动和维护隧道 从 Google Cloud 接收流量 Google Cloud,并将流量中继到远程应用端点 环境。
应用连接
连接资源定义来源的逻辑连接 Google Cloud 到特定应用端点的 使用“IP address:Port”或“FQDN:Port”进行标识连接资源会协调为给定应用端点分配的一组托管式应用连接器网关。网关是在 从远程访问 Google Cloud 时, 。
应用网关

应用网关是 Google 提供的一项代管式服务产品。应用连接器遥控器 连接到一个或多个网关,以允许应用连接和应用 用于将最终用户的流量中继到远程代理。应用流量 托管在同一应用网关上的连接会通过 虚拟基础架构。

使用应用连接器连接应用时,应用网关 由系统为您隐式创建和管理。如果您想将应用连接资源整理成组,还可以创建其他应用网关。应用广告系列 网关可让您灵活地将应用连接分组或隔离, 允许应用隔离。

对于 最多 20 万个并发连接。我们建议您针对 为需要高性能的关键应用提供服务。您可以 最多可为每个网关分配 10 个应用。

支持高达 20 万个并发连接,总共最高 1 Gbps 吞吐量,我们建议您使用 8 个核心和 8 GB 的 内存来运行应用连接器远程代理。例如,您可以专门输入 2 应用连接器远程代理位于具有 8 个核心和 8 GB 内存的高可用性集群中 每个设备均支持高性能 Web 应用 (app1.examplecompany.com) 具有专用应用网关 (app_gateway1)。再创建一个由 2 个虚拟机组成的集群,每个虚拟机具有 8 个核心和 8 GB 内存,以支持 10 个低使用率应用与另一个专用应用网关 (app_gateway2) 的组合。

应用连接器、应用连接和应用网关资源是区域级资源。您 只能在区域环境中使用例如,您不能将 区域 A 中的应用连接器连接到在该区域中创建的应用连接或应用网关 B.

准备工作

您只能将 Chrome Enterprise 进阶版应用连接器与 HTTPS 应用搭配使用。此外,HTTPS 负载平衡器不使用服务器名称 用于后端连接的指示 (SNI) 扩展。如需了解详情,请参阅从负载均衡器到后端的加密

如需使用 Chrome Enterprise Premium 应用连接器,您必须拥有以下项:

每个 Chrome Enterprise Premium 应用连接器代理都需要运行 Docker 的 Linux VM。我们建议采用 以下 Linux 发行版:

  • Debian 10.7 (buster)
  • Red Hat Enterprise Linux Server 7.8 (Maipo) x86_64
  • Ubuntu 16.04 或更高版本

对于 Linux 虚拟机硬件,我们建议使用至少 2 个 CPU 和 2GB RAM。

您可以使用 gcloud 和 API 或使用 Google Cloud 控制台来设置和启用应用连接器。如需使用 gcloud 和 API,请完成以下步骤。如需使用 Google Cloud 控制台,请参阅使用 Google Cloud 控制台设置应用连接器

设置 Google Cloud 项目

设置 Google Cloud 项目以与 Chrome Enterprise Premium 应用搭配使用 则必须启用 Chrome Enterprise Premium API。启用此 API 的方式 完成以下步骤:

gcloud CLI

在完成以下步骤之前,请确保您已安装 gcloud CLI SDK。

  1. 通过运行以下命令设置所需的环境变量:

    PROJECT_ID=my-project
    

    my-project 替换为 Google Cloud 项目 ID。

  2. 运行以下命令来启用该 API:

    gcloud config set project $PROJECT_ID
    gcloud services enable beyondcorp.googleapis.com
    

API

  1. 运行以下命令获取访问令牌并设置所需的环境变量和别名:

    PROJECT_NUMBER=my-project-number
    ACCESS_TOKEN=my-access-token
    

    my-project 替换为 Google Cloud 项目 ID。

  2. 设置一个便捷的别名,以便使用您的访问令牌:

    alias gcurl="curl -H 'Authorization: Bearer ${ACCESS_TOKEN}' -H 'Content-Type: application/json'"
    

  3. 通过运行以下命令启用 API:

    gcurl https://serviceusage.googleapis.com/v1/projects/${PROJECT_NUMBER}/services/beyondcorp.googleapis.com:enable -d "{}"
    

安装应用连接器远程代理

您必须为需要部署应用连接器的远程代理虚拟机 托管您要使用 Chrome Enterprise Premium 保护的应用。您必须为您创建的每个远程代理准备一台专用虚拟机,或安装了 Docker 的任何裸金属服务器。

如需创建远程代理,请完成以下步骤:

  1. 在应用环境中创建虚拟机实例。
    1. 确保远程代理虚拟机网络防火墙允许在端口 443 上针对 IAP-TCP IP 范围 35.235.240.0/20 发起的所有出站流量。请参阅验证防火墙配置 对于远程代理虚拟机防火墙应允许出站的其他域 流量。
  2. 安装远程代理:

    1. 检查 DNS 是否配置正确,以及是否可以访问 curl 对应用进行访问。
    2. 安装 Docker Engine
      1. 可选:如果您使用的是代理,请验证 Docker 守护程序是否配置正确
    3. 可选:如果您使用的是代理,请验证 HTTP 和 HTTPS 代理环境变量是否均已设置并使用 http:// 架构。
    4. 在远程代理虚拟机上运行以下命令以安装远程代理:
      curl https://raw.githubusercontent.com/GoogleCloudPlatform/beyondcorp-applink/main/bash-scripts/install-beyondcorp-runtime -o ./install-beyondcorp-runtime && chmod +x ./install-beyondcorp-runtime && ./install-beyondcorp-runtime
      
    5. 如需向 shell 添加 bce-connctl 别名,请运行以下命令:
       source ~/.bce_alias
       
    6. 通过运行以下命令设置所需的环境变量:

      PROJECT_ID=my-project
      REGION=us-central1
      CONNECTOR_NAME=my-connector
      
      替换以下内容:

      • my-project:Google Cloud 项目 ID。
      • us-central1:要在其中部署连接和网关的区域。
      • my-connector:连接器的名称。
    7. 使用以下凭据类型之一注册连接器:

    服务账号

    1. bce-connctl CLI 中运行以下命令,注册连接器:

      bce-connctl init --project=$PROJECT_ID --region=$REGION --connector=$CONNECTOR_NAME
      

    2. 按照屏幕上的说明复制并粘贴注册信息 使用 Cloud Shell 或 gcloud CLI 并完成连接器的注册。要运行 注册脚本,您必须拥有项目的 Owner 权限。

      注册脚本运行完毕后,运行时会自动同步连接器配置。

    联合身份

    1. 按照工作负载身份联合指南向您的外部身份授予对 Google Cloud 的访问权限 使用服务账号模拟
    2. 下载客户端库配置 并将该文件放在远程代理虚拟机上的 /var/beyondcorp/credentials/credentials.json
      1. 如果使用 AWS EC2 实例作为远程代理虚拟机,请执行以下操作之一:
        1. 在 EC2 实例上将 IMDSv2 设置为可选。
        2. 将以下代码行添加到客户端库配置文件中的 credential_source 对象中:
          "imdsv2_session_token_url": "http://169.254.169.254/latest/api/token"
          
    3. 在远程代理虚拟机上,在 bce-connctl CLI 中运行以下命令:
      bce-connctl config set project $PROJECT_ID
      bce-connctl config set region $REGION
      bce-connctl config set connector $CONNECTOR_NAME
      
    4. 运行以下命令以重启代理并让其获取凭据:
      sudo systemctl restart beyondcorp
      
    5. 在您的 Cloud Shell 或 gcloud CLI 端点上,通过运行以下命令设置所需的环境变量:
      SERVICE_ACCOUNT=my-service-account
      
      替换以下内容:
      • my-service-account:与外部身份关联的 Google Cloud 服务账号。
    6. 运行以下命令,向 Google Cloud 服务账号授予 BeyondCorp Connection Agent 角色:

      gcloud projects add-iam-policy-binding $PROJECT_ID \
          --member="serviceAccount:$SERVICE_ACCOUNT" \
          --role="roles/beyondcorp.connectionAgent"
      
    7. 运行以下命令以创建 Google Cloud 应用连接器资源。

      gcloud alpha beyondcorp app connectors create $CONNECTOR_NAME \
          --project=$PROJECT_ID \
          --location=$REGION \
          --member="serviceAccount:$SERVICE_ACCOUNT" \
          --display-name=$CONNECTOR_NAME
      

      创建应用连接器资源后,远程代理运行时会自动同步连接器配置。

  3. 验证远程代理安装:

    1. 运行以下命令以确保服务正在运行:
      sudo systemctl status beyondcorp
      
    2. 远程代理包含三个 Docker 容器:bce-control-runtimebce-logagentbce-connector。验证这三个 容器正在运行:
      docker ps --filter name=bce
      
    3. 可选:您可以通过运行 以下命令:
      docker logs -f CONTAINER_NAME
      
      CONTAINER_NAME 替换为 Docker 容器名称。

将远程应用连接到 VPC

gcloud CLI

在完成以下步骤之前,请确保您已安装 gcloud CLI SDK,并且使用具有 beyondcorp.admin 角色的账号登录。

  1. 通过运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=my-connector
    CONNECTION_NAME=my-connection
    PROJECT_ID=my-project
    REGION=us-central1
    APP_ENDPOINT=APP_HOST:APP_PORT
    

    替换以下内容:

    • my-connector:在先前步骤中定义的连接器的名称。
    • my-connection:连接的唯一名称。
    • my-project:Google Cloud 项目 ID。
    • us-central1:要在其中部署连接和网关的区域。
    • APP_HOST:托管应用的本地 IP 地址或 FQDN。
    • APP_PORT:用于连接到应用的端口号。
  2. 如需在您的应用与 VPC 之间创建连接,请运行以下命令:

    gcloud alpha beyondcorp app connections create $CONNECTION_NAME \
        --project=$PROJECT_ID \
        --location=$REGION \
        --application-endpoint=$APP_ENDPOINT \
        --type=tcp \
        --connectors=$CONNECTOR_NAME \
        --display-name=$CONNECTION_NAME
    

    请注意,此步骤可能需要几分钟才能完成。

  3. 创建连接后,请运行以下命令以检索网关 URI:

    GATEWAY_URI="$(gcloud alpha beyondcorp app connections describe $CONNECTION_NAME --project=$PROJECT_ID --location=$REGION --format='get(gateway.uri)')"
    GATEWAY_URI_L7="${GATEWAY_URI/bce-psc/bce-ps7}"
    

    GATEWAY_URI_L7 用于创建转发规则。Chrome Enterprise Premium 应用连接器使用 Private Service Connect 将使用方项目与 Google 托管项目中的托管资源相关联。

API

  1. 通过运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=my-connector
    CONNECTION_NAME=my-connection
    PROJECT_ID=my-project
    REGION=us-central1
    APP_HOST=my-app-host
    APP_PORT=my-app-port
    

    替换以下内容:

    • my-connector:在先前步骤中定义的连接器的名称。
    • my-connection:连接的唯一名称。
    • my-project:Google Cloud 项目 ID。
    • us-central1:要部署连接和网关的区域。
    • my-app-host:本地 IP 地址或 FQDN, 托管您的应用
    • my-app-port:要连接到应用的端口号。
  2. 如需在您的应用与 VPC 之间创建连接,请运行以下命令:

    gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_NUMBER}/locations/${REGION}/appConnections?app_connection_id=${CONNECTION_NAME} \
    -d "{ \
        'application_endpoint': \
        { \
            'host': '${APP_HOST}', \
            'port': '${APP_PORT}' \
        }, \
        'type': 'TCP_PROXY', \
        'display_name': '${CONNECTION_NAME}' \
    }"
    

    请注意,此步骤可能需要几分钟才能完成。

  3. 创建连接后,请运行以下命令以检索网关 URI:

    GATEWAY_URI=$(gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_NUMBER}/locations/${REGION}/appConnections/${CONNECTION_NAME} | jq -r '.gateway.uri')
    GATEWAY_URI_L7="${GATEWAY_URI/bce-psc/'bce-ps7'}"
    

    GATEWAY_URI_L7 用于创建转发规则。Chrome Enterprise Premium 应用连接器使用 Private Service Connect 将使用方项目与 Google 托管项目中的托管资源相关联。

配置外部应用负载平衡器

您只能将 HTTPS 应用连接到外部应用负载平衡器。不支持 HTTP 应用。

gcloud CLI

在完成以下步骤之前,请确保您已安装 gcloud CLI SDK,并且使用具有 beyondcorp.admin 角色的账号登录。

  1. 运行以下命令,设置所需的环境变量:

    LB_PREFIX=web-app
    PROJECT_ID=my-project
    REGION=us-central1
    DOMAIN_NAME=app.example.com
    
    替换以下内容:

    • web-app:附加到所有负载均衡器资源名称的前缀。
    • my-project:Google Cloud 项目 ID。
    • us-central1:连接和网关将部署到的区域。
    • app.example.com:您的应用的域名。
  2. 使用以下命令创建网络端点组 (NEG)

    gcloud beta compute network-endpoint-groups create $LB_PREFIX-neg \
        --region=$REGION \
        --network-endpoint-type=private-service-connect \
        --psc-target-service=$GATEWAY_URI_L7
    

    可选标志:

    • 设置 --network 标志以指定 NEG 中的网络端点的网络名称。如果未指定,则使用默认项目网络。
    • 设置 --subnet 标志以指定 NEG 中网络端点的子网名称。如果未指定,则网络端点可以属于 创建网络端点组的区域。
  3. 通过运行以下命令创建基于 NEG 的后端服务,并将其连接到 Private Service Connect 服务连接:

    gcloud beta compute backend-services create $LB_PREFIX-backend-service \
        --global \
        --protocol=HTTPS \
        --load-balancing-scheme=EXTERNAL_MANAGED
    
    gcloud beta compute backend-services add-backend $LB_PREFIX-backend-service \
        --global \
        --network-endpoint-group=$LB_PREFIX-neg \
        --network-endpoint-group-region=$REGION
    
  4. 运行以下命令,为您的网域创建 Google 管理的证书 命令:

    gcloud compute addresses create $LB_PREFIX-static-ip \
        --ip-version=IPV4 \
        --global
    gcloud compute ssl-certificates create $LB_PREFIX-ssl-cert \
        --domains=$DOMAIN_NAME \
        --global
    
    LB_IP="$(gcloud compute addresses describe $LB_PREFIX-static-ip --global --format='value(address)')"
    
  5. 运行以下命令,根据上一步中的后端创建外部应用负载均衡器:

    gcloud compute url-maps create $LB_PREFIX-map-https \
        --default-service=$LB_PREFIX-backend-service
    
    gcloud compute target-https-proxies create $LB_PREFIX-https-lb-proxy \
        --url-map=$LB_PREFIX-map-https \
        --ssl-certificates=$LB_PREFIX-ssl-cert
    
    gcloud beta compute forwarding-rules create "$LB_PREFIX-https-lb-forwarding-rule" \
        --global \
        --target-https-proxy=$LB_PREFIX-https-lb-proxy \
        --address=$LB_IP \
        --ports=443 \
        --load-balancing-scheme=EXTERNAL_MANAGED
    

    创建外部应用负载平衡器后,即可通过 通过该 IP 地址访问互联网

  6. 创建外部应用负载平衡器后,您必须关联其 IP 地址 替换为域名,以便 Google Cloud 可以预配 SSL 证书。请参阅 DNS 提供商的说明,了解如何将 IP 地址与 DNS 名称相关联。运行以下命令以检查预配 状态:

    1. 显示要在 DNS 提供商中设置的 IP 地址:
      echo "Load Balancer ip address - $LB_IP"
      
    2. 设置 DNS 后,请检查域名是否解析 发送到 IP 地址:
      dig $DOMAIN_NAME
      
    3. 通过运行以下命令获取预配状态:
    gcloud compute ssl-certificates describe $LB_PREFIX-ssl-cert \
        --global \
        --format="get(name,managed.status, managed.domainStatus)"
    

    预配 SSL 证书后,您应该能够使用 DNS 名称访问应用。

API

  1. 通过运行以下命令设置所需的环境变量:

    LB_PREFIX=web-app
    PROJECT_ID=my-project
    REGION=us-central1
    DOMAIN_NAME=app.example.com
    
    替换以下内容:

    • web-app:附加到所有负载均衡器资源名称的前缀。
    • my-project:Google Cloud 项目 ID。
    • us-central1:连接和网关将部署到的区域。
    • app.example.com:应用的域名。
  2. 使用以下命令创建网络端点组 (NEG)

    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/regions/${REGION}/networkEndpointGroups \
    -d "{ \
        'name': '${LB_PREFIX}-neg', \
        'network_endpoint_type': 'private-service-connect', \
        'psc_target_service': '${GATEWAY_URI_L7}' \
    }"
    

    可选字段:

    • 设置 network 字段以指定 NEG 中的网络端点的网络网址。如果未指定,则默认项目网络为 。
    • 设置 subnetwork 字段,以指定 NEG 中网络端点的子网网址。如果未指定,则网络端点可以属于任何 创建网络端点组的区域中的子网。
  3. 通过运行以下命令创建基于 NEG 的后端服务,并将其连接到 Private Service Connect 服务连接:

    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/backendServices \
    -d "{ \
        'name': '${LB_PREFIX}-backend-service', \
        'service_protocol': 'HTTPS', \
        'port_name': 'https', \
        'load_balancing_scheme': 'EXTERNAL_MANAGED' \
    }"
    
    gcurl -X PATCH https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/backendServices/${LB_PREFIX}-backend-service \
    -d "{ \
        'backends': \
        [{ \
            'group': 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/regions/${REGION}/networkEndpointGroups/${LB_PREFIX}-neg' \
        }] \
    }"
    
  4. 运行以下命令,为您的网域创建 Google 管理的证书 命令:

    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/addresses \
    -d "{ \
        'name': '${LB_PREFIX}-static-ip', \
        'ip_version': 'IPV4' \
    }"
    
    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/sslCertificates \
    -d "{ \
        'name': '${LB_PREFIX}-ssl-cert', \
        'managed': \
        { \
            'domains': '${DOMAIN_NAME}' \
        }, \
        'type': 'MANAGED' \
    }"
    
    LB_IP=$(gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/addresses/${LB_PREFIX}-static-ip | jq -r '.address')
    
  5. 运行以下命令,根据上一步中的后端创建外部应用负载均衡器:

    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/urlMaps \
    -d "{ \
        'name': '${LB_PREFIX}-map-https', \
        'default_service': 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/backendServices/${LB_PREFIX}-backend-service' \
    }"
    
    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/targetHttpsProxies \
    -d "{ \
        'name': '${LB_PREFIX}-https-lb-proxy', \
        'url_map': 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/urlMaps/${LB_PREFIX}-map-https', \
        'ssl_certificate': 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/sslCertificates/${LB_PREFIX}-ssl-cert' \
    }"
    
    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/forwardingRules \
    -d "{ \
        'name': '${LB_PREFIX}-https-lb-forwarding-rule', \
        target: 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/targetHttpsProxies/${LB_PREFIX}-https-lb-proxy', \
        'ip_address': '${LB_IP}', \
        'port_range': '443-443', \
        'load_balancing_scheme': 'EXTERNAL_MANAGED' \
    }"
    

    创建外部应用负载平衡器后,即可通过 通过该 IP 地址访问互联网

  6. 创建外部应用负载平衡器后,您必须关联其 IP 地址 替换为域名,以便 Google Cloud 可以预配 SSL 证书。请参阅 DNS 提供商的说明,了解如何将 IP 地址与 DNS 名称相关联。运行以下命令以检查预配 状态:

    1. 显示要在 DNS 提供商中设置的 IP 地址:
      echo "Load Balancer ip address - $LB_IP"
      
    2. 设置 DNS 后,请检查域名是否解析 发送到 IP 地址:
      dig $DOMAIN_NAME
      
    3. 通过运行以下命令获取预配状态:
    echo $(gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/sslCertificates/${LB_PREFIX}-ssl-cert \
    | jq -r '.name + " " + .managed.status + " " + (.managed.domainStatus | keys[]) + "=" + .managed.domainStatus[]')
    

    预配 SSL 证书后,您应该能够使用 DNS 名称访问应用。

启用 Identity-Aware Proxy

请按照 Identity-Aware Proxy (IAP) 文档中的说明设置 Identity-Aware Proxy。设置 IAP 后,请完成以下步骤为后端服务启用 IAP:

  1. 前往 IAP 页面:
    IAP

  2. HTTPS 资源下,找到 $LB_PREFIX-backend-service。要为此资源启用 IAP,请点击“IAP”列中的切换开关。在随即显示的开启 IAP 窗口中,选中复选框以确认此资源的配置要求,然后点击开启以确认您希望通过 IAP 保护资源。

  3. 如需允许用户访问您的应用,您必须完成以下步骤,为用户授予项目的 IAP-secured Web App User 角色:

    1. 选中 $LB_PREFIX-backend-service 复选框。
    2. 信息面板上,选择添加主账号,然后输入应该有权访问您应用的群组或个人的电子邮件地址。
    3. 选择角色下拉列表中,依次选择 Cloud IAP > IAP-secured Web App User,然后点击保存

现在,您的本地应用应该已发布到互联网,并受 Chrome Enterprise Premium 保护。

使用 Google Cloud 控制台设置应用连接器

完成本部分中的步骤,使用 Google Cloud 控制台部署 Chrome Enterprise Premium 应用连接器。

输入您的申请详情

通过完成以下步骤添加应用的详细信息:

  1. 在 Google Cloud 控制台中,前往 IAP 页面。
    前往 IAP

  2. 点击关联新应用按钮,然后选择通过以下方式连接 应用连接器

  3. 应用名称部分,输入 安全。

  4. 面向外部的应用网址部分,为以下各项输入一个可公开访问的网址: 访问您的应用程序

  5. 点击下一步

设置与 Google Cloud 的连接

请完成以下步骤,在 Google Cloud 与您的非 Google Cloud 环境之间建立连接。

  1. 点击 CREATE APP CONNECTOR 按钮,然后输入以下信息:

    • 应用连接器名称:连接器的名称。
    • 区域:要在其中部署连接网关和连接器的区域。
  2. 点击创建按钮。

  3. 按照预配虚拟机窗格中的说明在虚拟机上部署远程代理。

  4. 点击测试连接状态按钮以测试连接。

  5. 输入您在上一步中创建的连接器, 以下信息:Google Cloud 在哪里可以找到您的应用?

    • 内部主机名:托管应用的本地 IP 地址或 FQDN。
    • 端口:连接到应用的端口号。

授予对您的应用的访问权限(可选)

  1. 新的主账号中,输入以下一项或多项信息:

    • Google 账号电子邮件地址:<用户名>@gmail.com
    • Google 群组:<管理员>@googlegroups.com
    • 服务账号:server@example.gserviceaccount.com
    • Google Workspace 网域:example.com
    • 任何人:输入 allUsers 可授予所有用户访问权限
    • 所有 Google 账号:allAuthenticatedUsers,可向任何已登录 Google 账号的用户授予访问权限
  2. 选择一个或多个访问权限级别,然后点击下一步

发布您的应用

  1. 如需发布应用,请点击安全发布应用按钮。

  2. 发布应用并收到已安全发布应用确认后,您必须创建 DNS 记录,将面向外部的应用网址指向代理的 IP 地址。请完成以下步骤:

    • 第 2 步 - 更新 DNS 部分,从 IP 地址字段复制 IP 地址。按照 DNS 提供商的说明,使用该地址创建 DNS 记录,了解如何将 IP 地址与 DNS 名称相关联。
  3. 创建 DNS 记录后,请点击TEST按钮对其进行测试。您应该会收到 DNS 测试通过确认消息。

  4. 点击完成

启用 IAP

  1. 前往 IAP 页面。
    前往 IAP

  2. 从资源列表中找到您的应用,然后选择“IAP”列中的按钮。

  3. 在随即显示的开启 IAP 对话框中,选中我已阅读配置要求,并根据文档配置了我的后端服务复选框,然后点击开启

您的本地应用现在应该已发布到互联网并受 Chrome Enterprise 进阶版保护。

创建应用网关(可选)

连接应用时,系统会隐式创建和管理应用网关 使用应用连接器。您还可以创建自己的应用网关 将应用连接资源分组。托管的应用连接的流量 则通过单独的虚拟基础架构进行路由。

如需创建并指定应用网关,请完成以下步骤。

gcloud CLI

  1. 通过运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=CONNECTOR_NAME
    CONNECTION_NAME=CONNECTION_NAME
    GATEWAY_NAME=GATEWAY_NAME
    PROJECT_ID=PROJECT_ID
    REGION=REGION
    APP_ENDPOINT=APP_HOST:APP_PORT
    

    替换以下内容:

    • CONNECTOR_NAME:在先前步骤中定义的连接器的名称。
    • CONNECTION_NAME:连接的唯一名称。
    • GATEWAY_NAME:应用网关的名称。
    • PROJECT_ID:Google Cloud 项目 ID。
    • REGION:要在其中部署应用网关的区域,例如 us-central1
    • APP_HOST:托管应用的本地 IP 地址或 FQDN。
    • APP_PORT:用于连接到应用的端口号。
  2. 运行以下命令创建应用网关:

    gcloud beta beyondcorp app gateways create $GATEWAY_NAME \
    --project=$PROJECT_ID --location=$REGION --display-name=$GATEWAY_NAME
    
  3. 通过运行以下命令,在创建连接调用中指定应用网关:

    gcloud beta beyondcorp app connections create $CONNECTION_NAME \
    --project=$PROJECT_ID \
    --location=$REGION \
    --application-endpoint=$APP_ENDPOINT \
    --type=tcp \
    --connectors=$CONNECTOR_NAME \
    --display-name=$CONNECTION_NAME \
    --app-gateway=$GATEWAY_NAME
    

API

  1. 通过运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=CONNECTOR_NAME
    CONNECTION_NAME=CONNECTION_NAME
    GATEWAY_NAME=GATEWAY_NAME
    PROJECT_ID=PROJECT_ID
    REGION=REGION
    APP_ENDPOINT=APP_HOST:APP_PORT
    

    替换以下内容:

    • CONNECTOR_NAME:在先前步骤中定义的连接器的名称。
    • CONNECTION_NAME:连接的唯一名称。
    • GATEWAY_NAME:应用网关的名称。
    • PROJECT_ID:Google Cloud 项目 ID。
    • REGION:要在其中部署应用网关的区域,例如 us-central1
    • APP_HOST:托管应用的本地 IP 地址或 FQDN。
    • APP_PORT:用于连接到应用的端口号。
  2. 运行以下命令创建应用网关:

    gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/appGateways?app_gateway_id=${GATEWAY_NAME} \
    -d "{ \
    'type': 'TCP_PROXY', \
    'display_name': '${CONNECTION_NAME}' \
    }"
    
  3. 通过运行以下命令,在创建连接调用中指定应用网关 命令:

    gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/appConnections?app_connection_id=${CONNECTION_NAME} \
    -d "{ \
    'application_endpoint': \
    { \
    'host': '${APP_HOST}', \
    'port': '${APP_PORT}' \
    }, \
    'gateway': { 'app_gateway' : 'projects/${PROJECT_ID}/locations/${REGION}/appGateways/${GATEWAY_NAME}'}, \
    'connectors':['projects/${PROJECT_ID}/locations/${REGION}/appConnectors/${CONNECTOR_NAME}'], \
    'type': 'TCP_PROXY', \
    'display_name': '${CONNECTION_NAME}' \
    

后续步骤

问题排查

找不到之前创建的资源

使用 gcloud CLI 392.0.0 或更高版本时,请使用新的应用连接器默认资源 AppConnectorAppConnection。例如,gcloud alpha beyondcorp app connectorsgcloud alpha beyondcorp app connections 都会引用新资源。

如需访问使用 392.0.0 之前的 gcloud CLI 版本创建的旧版资源,请使用关键字 legacy。例如,gcloud alpha beyondcorp app legacy connectorsgcloud alpha beyondcorp app legacy connections 都引用旧版资源。

使用旧版资源的配置目前仍然有效,但将来会被弃用。

  • 请按照本指南中的步骤配置新资源。
  • 如果您的配置使用旧版资源,请使用关键字 legacy 找到这些资源并将其移除。请按照本文档中的步骤重新创建资源。
  • 如果您有使用旧版资源的不完整配置,请使用关键字 legacy 找到这些资源并将其移除。请按照本文档中的步骤重新创建资源。

TLS/SSL 错误

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

浏览器显示错误 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 或类似 TLS/SSL 错误,并且不会重定向到登录页面。

  • 在 Google Cloud 负载均衡器详情页面上验证证书的状态。

    注意:预配 Google 管理的证书最多可能需要 60 分钟时间。

TLS error

在重定向到登录页面后,浏览器显示错误 upstream connect error or disconnect/reset before headers. retried and the latest reset reason: connection failure, transport failure reason: TLS error 或类似 TLS/SSL 错误。

  • 验证连接中使用的应用端点是否为 HTTPS。
  • 验证是否可以使用 curl 从远程代理虚拟机访问应用端点:

    curl https://$APP_ENDPOINT
    

    如果您的应用证书是自签名证书,您可能需要使用 -k 标志。

验证防火墙配置

确保远程代理和互联网之间的防火墙允许与以下网域的出站连接:

连接类型 网域 Port(端口)
TCP raw.githubusercontent.com 443
TCP gcr.io 443
TCP *.googleapis.com 443
TCP tunnel.cloudproxy.app 443
TCP *.tunnel.cloudproxy.app 443
TCP accounts.google.com 443
TCP oauth2.googleapis.com 443

更改与连接关联的连接器

gcloud

  1. 通过运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=my-connector
    CONNECTION_NAME=my-connection
    REGION=us-central1
    PROJECT_ID=my-project
    

    替换以下内容:

    • my-connector:连接器的名称。该值也可以是以英文逗号分隔的列表,例如 connector1,connector2
    • my-connection:要更新的连接的名称。
    • us-central1:部署连接的区域。
    • my-project:Google Cloud 项目 ID。
  2. 如需更改与连接关联的连接器,请运行以下命令:

    gcloud alpha beyondcorp app connections update $CONNECTION_NAME \
        --project=$PROJECT_ID \
        --location=$REGION \
        --connectors=$CONNECTOR_NAME
    

API

  1. 通过运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=my-connector
    CONNECTION_NAME=my-connection
    REGION=us-central1
    PROJECT_ID=my-project
    

    替换以下内容:

    • my-connector:连接器的名称。
    • my-connection:要更新的连接的名称。
    • us-central1:部署连接的区域。
    • my-project:Google Cloud 项目 ID。
  2. 如需更改与连接关联的连接器,请运行以下命令:

    gcurl -X PATCH \
    https://beyondcorp.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/appConnections/${CONNECTION_NAME}?update_mask=connectors \
    -d "{ \
        'connectors': ['projects/${PROJECT_ID}/locations/${REGION}/appConnectors/${CONNECTOR_NAME}'], \
    }"
    

    您可以通过运行以下命令并检查输出的 connectors 字段来验证更新:

    gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/appConnections/${CONNECTION_NAME}
    

代理

对代理的支持已于 2024 年初引入,此后 BeyondCorp systemd 文件。如果远程代理的安装时间早于 如果您想使用代理,请重新安装远程代理

  • 验证 Docker 守护程序是否已正确配置,以便与代理搭配使用。

  • 验证是否已设置 HTTP 和 HTTPS 代理环境变量,以及这两个变量是否都使用 http:// 架构。不支持 https:// 架构和其他架构。

  • 运行 env 命令,验证代理环境变量是否已导出到子进程。

  • 仅支持 HTTP_PROXYHTTPS_PROXYNO_PROXY 及对应的小写形式。

  • 如果您需要在安装后更新代理设置,请在使用默认 beyondcorp 用户的情况下更新 /var/beyondcorp/env/PROXY 中的环境变量。如果使用自定义用户,请按照配置 Docker 客户端中的说明更新 /home/$USER/.docker/config.json。如需应用代理更改,请使用以下命令重启远程代理:

    sudo systemctl restart beyondcorp
    

诊断工具

run-post-install-checks

run-post-install-checks/var/beyondcorp/scripts/ 中安装的脚本,用于验证您的远程代理是否已正确安装、注册且状况良好。成功创建 app connection 并将其分配给远程代理(连接器)后,请转到远程代理虚拟机,然后使用以下命令运行 run-post-install-checks

sudo /var/beyondcorp/scripts/run-post-install-checks

如果一切正常,该脚本将输出一条成功消息。

run-diagnostics

run-diagnostics/var/beyondcorp/scripts/ 中安装的脚本,用于诊断远程代理虚拟机中的常见问题并输出可分享给 Chrome Enterprise Premium 支持团队的报告。如需运行此诊断脚本,请运行以下命令:

sudo /var/beyondcorp/scripts/run-diagnostics

系统会将诊断报告写入控制台以及 ./diagnostics-report.txt

远程代理 CLI

bce-connctl 是用于与远程代理在本地进行交互的远程代理管理员命令行界面 (CLI)。此 CLI 支持各种命令,例如用于注册远程代理、检查状态和设置配置值的命令。

Init 命令

您可以使用 Init 命令初始化远程代理,并生成用于注册代理的脚本。

示例:

bce-connctl init --project=$PROJECT_ID --region=$REGION --connector=$CONNECTOR_NAME

状态命令

您可以使用 Status 命令来管理远程代理的状态。

  • 列表:使用此命令列出远程代理的整体状态,以及此代理支持的任何连接的状态。示例:bce-connctl status list

配置命令

您可以使用 Config 命令来管理远程代理的配置值。

  • 列出:使用此命令可列出远程代理的配置值。示例:bce-connctl config list
  • 设置:使用此命令设置远程代理的配置值。示例:bce-connctl config set <key> <value>

注册命令

您可以使用注册命令来管理远程代理的注册。

  • 描述:使用此命令可获取远程代理的注册状态。示例:bce-connctl enrollment describe

    如果 bce-connctl init 中的注册脚本成功完成,且公钥上传成功,则状态为 ENROLLED

帮助

您可以将 -h--help 标志附加到任何 bce-connctl 命令来输出使用情况信息。

bce-connctl init -h