使用应用连接器保护非 Google Cloud 应用

本页面介绍了如何设置和使用 Chrome Enterprise Premium 应用连接器来保护非 Google Cloud 应用。

概览

您可以使用 Chrome Enterprise Premium 应用连接器为非 Google Cloud 环境中运行的 HTTPS 应用提供身份感知访问权限和情境感知访问权限。Chrome Enterprise Premium 应用连接器是 Chrome Enterprise Premium 强制执行平面与在其他云和本地环境中运行的应用之间的安全且经过身份验证的接口。

使用 Chrome Enterprise Premium 应用连接器的一个好处是,您无需打开防火墙或设置站点到站点 Cloud VPN 连接。

架构

下图为 Chrome Enterprise Premium 应用连接器主要组件的概要架构图。

Chrome Enterprise Premium 应用连接器组件

Chrome Enterprise Premium 应用连接器组件使用三种主要的 API 资源进行管理:应用连接器、应用连接和应用网关。

应用连接器
连接器资源定义了唯一的应用连接器远程代理。应用连接器远程代理部署在远程企业环境(例如其他云平台和本地环境)中。远程代理启动和维护与 Google Cloud 的隧道会话,接收来自 Google Cloud 的流量,并将流量中继到同一环境中的远程应用端点。
应用连接
连接资源定义了从 Google Cloud 到特定应用端点的逻辑连接,使用“IP 地址:端口”或“FQDN:端口”来标识。连接资源编排一组分配给给定应用端点的代管式应用连接器网关。网关在 Google Cloud 中管理,并会在不再需要时终止远程代理的隧道会话。
应用网关

应用网关是 Google 提供的一项代管式服务产品。应用连接器远程代理连接到一个或多个网关,这些网关允许应用连接和应用连接器将来自最终用户的流量中继到远程代理。托管在同一应用网关上的应用连接的流量通过通用虚拟基础架构进行路由。

使用应用连接器连接应用时,系统会为您隐式创建和管理应用网关。如果要将应用连接资源分组整理,还可以创建其他应用网关。应用网关可让您灵活地对应用连接进行分组或隔离,以实现应用隔离。

对于最多 20 万个并发连接,每个应用网关支持的总吞吐量上限为 1 Gbps。我们建议您为需要高性能的关键应用创建专用网关。每个网关最多可以分配 10 个应用。

如需支持高达 20 万个并发连接和高达 1 Gbps 的总吞吐量,我们建议您使用 8 核和 8 GB 内存的专用虚拟机来运行应用连接器远程代理。例如,您可以在具有 8 个核心和 8 GB 内存的高可用性集群中专门提供 2 个应用连接器远程代理,以支持具有专用应用网关 (app_gateway1) 的高性能 Web 应用 (app1.examplecompany.com)。创建另一个包含 2 个虚拟机的集群,每个虚拟机具有 8 个核心和 8 GB 内存,以支持 10 个低使用率应用与另一个专用应用网关 (app_gateway2) 的组合。

应用连接器、应用连接和应用网关资源是区域级资源。您只能在区域上下文中使用它们。例如,您不能将区域 A 中的应用连接器分配给在区域 B 中创建的应用连接或应用网关。

准备工作

您只能将 Chrome Enterprise Premium 应用连接器用于 HTTPS 应用。此外,HTTPS 负载平衡器不会使用服务器名称指示 (SNI) 扩展来连接到后端。如需了解详情,请参阅从负载均衡器到后端的加密

如需使用 Chrome Enterprise Premium 应用连接器,您必须拥有以下项:

每个 Chrome Enterprise Premium 应用连接器代理都需要一个运行 Docker 的 Linux 虚拟机。我们建议使用以下 Linux 发行版:

  • Debian 10.7 (buster)
  • Red Hat Enterprise Linux Server 7.8 (Maipo) x86_64
  • Ubuntu 16.04 或更高版本

对于 Linux 虚拟机硬件,我们建议使用至少 2 个 CPU 和 2GB RAM。

您可以使用 gcloud 和 API 或使用 Google Cloud 控制台来设置和启用应用连接器。如需使用 gcloud 和 API,请完成以下步骤。如需使用 Google Cloud 控制台,请参阅使用 Google Cloud 控制台设置应用连接器

设置 Google Cloud 项目

如需设置 Google Cloud 项目以与 Chrome Enterprise Premium 应用连接器搭配使用,您必须启用 Chrome Enterprise Premium API。完成以下步骤以启用 API:

gcloud CLI

在完成以下步骤之前,请确保您已安装 gcloud CLI SDK。

  1. 通过运行以下命令设置所需的环境变量:

    PROJECT_ID=my-project

    my-project 替换为 Google Cloud 项目 ID。

  2. 运行以下命令以启用 API:

    gcloud config set project $PROJECT_ID
gcloud services enable beyondcorp.googleapis.com

API

  1. 通过运行以下命令获取访问令牌并设置所需的环境变量和别名:

    PROJECT_NUMBER=my-project-number
ACCESS_TOKEN=my-access-token

    my-project 替换为 Google Cloud 项目 ID。

  2. 设置便捷的别名以使用您的访问令牌: 

    alias gcurl="curl -H 'Authorization: Bearer ${ACCESS_TOKEN}' -H 'Content-Type: application/json'"

  3. 运行以下命令以启用 API:

    gcurl https://serviceusage.googleapis.com/v1/projects/${PROJECT_NUMBER}/services/beyondcorp.googleapis.com:enable -d "{}"

安装应用连接器远程代理

对于托管您想要通过 Chrome Enterprise Premium 保护的应用的每个网络环境,您必须为每个网络环境部署一个应用连接器远程代理虚拟机。您创建的每个远程代理都必须有一个专用虚拟机或安装了 Docker 的任何 Bare Metal 服务器。

如需创建远程代理,请完成以下步骤:

  1. 在应用环境中创建虚拟机实例。
    1. 确保远程代理虚拟机网络防火墙允许 IAP-TCP IP 范围 35.235.240.0/20 的端口 443 发起的所有出站流量。如需了解远程代理虚拟机防火墙应允许出站流量传入的其他网域,请参阅验证防火墙配置

  2. 安装远程代理:

    1. 验证您的 DNS 是否配置正确,以及您是否可以使用 curl 访问该应用。
    2. 安装 Docker Engine
      1. 可选:如果您使用的是代理,请验证 Docker 守护程序是否已正确配置
    3. 可选:如果您使用的是代理,请验证是否已设置 HTTP 和 HTTPS 代理环境变量,并使用 http:// 架构。
    4. 在远程代理虚拟机上运行以下命令以安装远程代理: 
      curl https://raw.githubusercontent.com/GoogleCloudPlatform/beyondcorp-applink/main/bash-scripts/install-beyondcorp-runtime -o ./install-beyondcorp-runtime && chmod +x ./install-beyondcorp-runtime && ./install-beyondcorp-runtime
    5. 如需将 bce-connctl 别名添加到 shell,请运行以下命令: 
       source ~/.bce_alias

    6. 通过运行以下命令设置所需的环境变量: 

      PROJECT_ID=my-project
REGION=us-central1
CONNECTOR_NAME=my-connector
      替换以下内容:

      • my-project:Google Cloud 项目 ID。
      • us-central1:要在其中部署连接和网关的区域。
      • my-connector:连接器的名称。

    7. 使用以下凭据类型之一注册连接器:

    服务账号

    1. bce-connctl CLI 中运行以下命令来注册连接器:

      bce-connctl init --project=$PROJECT_ID --region=$REGION --connector=$CONNECTOR_NAME

    2. 按照屏幕上的说明,使用 Cloud Shell 或 gcloud CLI 将注册脚本复制并粘贴到您的 Google Cloud 项目中,然后完成连接器的注册。如需运行注册脚本,您必须拥有项目的 Owner 权限。

      注册脚本运行完毕后,运行时会自动同步连接器配置。

    联合身份

    1. 按照工作负载身份联合指南,使用服务帐号模拟向您的外部身份授予对 Google Cloud 的访问权限。
    2. 下载客户端库配置,并将文件放在远程代理虚拟机上的 /var/beyondcorp/credentials/credentials.json 下。
      1. 如果使用 AWS EC2 实例作为远程代理虚拟机,请执行以下操作之一:
        1. 在 EC2 实例上将 IMDSv2 设置为可选。
        2. 将以下代码行添加到客户端库配置文件中的 credential_source 对象中:
          "imdsv2_session_token_url": "http://169.254.169.254/latest/api/token"
    3. 在远程代理虚拟机上,通过 bce-connctl CLI 运行以下命令: 
      bce-connctl config set project $PROJECT_ID
bce-connctl config set region $REGION
bce-connctl config set connector $CONNECTOR_NAME
    4. 运行以下命令以重启代理并让其获取凭据: 
      sudo systemctl restart beyondcorp
    5. 在您的 Cloud Shell 或 gcloud CLI 端点上,运行以下命令设置所需的环境变量: 
      SERVICE_ACCOUNT=my-service-account
      替换以下内容:
      • my-service-account:与外部身份关联的 Google Cloud 服务帐号。

    6. 运行以下命令,向 Google Cloud 服务帐号授予 BeyondCorp Connection Agent 角色:

      gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member="serviceAccount:$SERVICE_ACCOUNT" \
    --role="roles/beyondcorp.connectionAgent"

    7. 运行以下命令以创建 Google Cloud 应用连接器资源。

      gcloud alpha beyondcorp app connectors create $CONNECTOR_NAME \
    --project=$PROJECT_ID \
    --location=$REGION \
    --member="serviceAccount:$SERVICE_ACCOUNT" \
    --display-name=$CONNECTOR_NAME

      创建应用连接器资源后,远程代理运行时会自动同步连接器配置。

  3. 验证远程代理安装:

    1. 运行以下命令以确保服务正在运行: 
      sudo systemctl status beyondcorp
    2. 远程代理包含三个 Docker 容器:bce-control-runtimebce-logagentbce-connector。运行以下命令,验证所有三个容器是否都在运行:
      docker ps --filter name=bce
    3. 可选:您可以通过运行以下命令来检查 Docker 容器的日志文件: 
      docker logs -f CONTAINER_NAME
      CONTAINER_NAME 替换为 Docker 容器名称。

将远程应用连接到 VPC

gcloud CLI

在完成以下步骤之前,请确保您已安装 gcloud CLI SDK,并且使用具有 beyondcorp.admin 角色的帐号登录。

  1. 通过运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=my-connector
CONNECTION_NAME=my-connection
PROJECT_ID=my-project
REGION=us-central1
APP_ENDPOINT=APP_HOST:APP_PORT

    请替换以下内容:

    • my-connector:在先前步骤中定义的连接器的名称。
    • my-connection:连接的唯一名称。
    • my-project:Google Cloud 项目 ID。
    • us-central1:要在其中部署连接和网关的区域。
    • APP_HOST:托管应用的本地 IP 地址或 FQDN。
    • APP_PORT:要连接到应用的端口号。

  2. 如需在您的应用与 VPC 之间创建连接,请运行以下命令:

    gcloud alpha beyondcorp app connections create $CONNECTION_NAME \
    --project=$PROJECT_ID \
    --location=$REGION \
    --application-endpoint=$APP_ENDPOINT \
    --type=tcp \
    --connectors=$CONNECTOR_NAME \
    --display-name=$CONNECTION_NAME

    请注意,此步骤可能需要几分钟才能完成。

  3. 创建连接后,请运行以下命令以检索网关 URI:

    GATEWAY_URI="$(gcloud alpha beyondcorp app connections describe $CONNECTION_NAME --project=$PROJECT_ID --location=$REGION --format='get(gateway.uri)')"
GATEWAY_URI_L7="${GATEWAY_URI/bce-psc/bce-ps7}"

    GATEWAY_URI_L7 用于创建转发规则。Chrome Enterprise Premium 应用连接器使用 Private Service Connect 将使用方项目与 Google 托管项目中的托管资源相关联。

API

  1. 通过运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=my-connector
CONNECTION_NAME=my-connection
PROJECT_ID=my-project
REGION=us-central1
APP_HOST=my-app-host
APP_PORT=my-app-port

    请替换以下内容:

    • my-connector:在先前步骤中定义的连接器的名称。
    • my-connection:连接的唯一名称。
    • my-project:Google Cloud 项目 ID。
    • us-central1:要在其中部署连接和网关的区域。
    • my-app-host:托管应用的本地 IP 地址或 FQDN。
    • my-app-port:要连接到应用的端口号。

  2. 如需在您的应用与 VPC 之间创建连接,请运行以下命令:

    gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_NUMBER}/locations/${REGION}/appConnections?app_connection_id=${CONNECTION_NAME} \
-d "{ \
    'application_endpoint': \
    { \
        'host': '${APP_HOST}', \
        'port': '${APP_PORT}' \
    }, \
    'type': 'TCP_PROXY', \
    'display_name': '${CONNECTION_NAME}' \
}"

    请注意,此步骤可能需要几分钟才能完成。

  3. 创建连接后,请运行以下命令以检索网关 URI:

    GATEWAY_URI=$(gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_NUMBER}/locations/${REGION}/appConnections/${CONNECTION_NAME} | jq -r '.gateway.uri')
GATEWAY_URI_L7="${GATEWAY_URI/bce-psc/'bce-ps7'}"

    GATEWAY_URI_L7 用于创建转发规则。Chrome Enterprise Premium 应用连接器使用 Private Service Connect 将使用方项目与 Google 托管项目中的托管资源相关联。

配置外部应用负载平衡器

您只能将 HTTPS 应用连接到外部应用负载平衡器。不支持 HTTP 应用。

gcloud CLI

在完成以下步骤之前,请确保您已安装 gcloud CLI SDK,并且使用具有 beyondcorp.admin 角色的帐号登录。

  1. 通过运行以下命令设置所需的环境变量: 

    LB_PREFIX=web-app
PROJECT_ID=my-project
REGION=us-central1
DOMAIN_NAME=app.example.com
    替换以下内容:

    • web-app:附加到所有负载均衡器资源名称的前缀。
    • my-project:Google Cloud 项目 ID。
    • us-central1:将在其中部署连接和网关的区域。
    • app.example.com:您的应用的域名。

  2. 使用以下命令创建网络端点组 (NEG)

    gcloud beta compute network-endpoint-groups create $LB_PREFIX-neg \
    --region=$REGION \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=$GATEWAY_URI_L7

    可选标志:

    • 设置 --network 标志以指定 NEG 中的网络端点的网络名称。如果未指定,系统会使用默认项目网络。
    • 设置 --subnet 标志以指定 NEG 中网络端点的子网名称。如果未指定,则网络端点可以属于创建网络端点组的区域中的任何子网。

  3. 通过运行以下命令创建基于 NEG 的后端服务,并将其连接到 Private Service Connect 服务连接:

    gcloud beta compute backend-services create $LB_PREFIX-backend-service \
    --global \
    --protocol=HTTPS \
    --load-balancing-scheme=EXTERNAL_MANAGED

gcloud beta compute backend-services add-backend $LB_PREFIX-backend-service \
    --global \
    --network-endpoint-group=$LB_PREFIX-neg \
    --network-endpoint-group-region=$REGION

  4. 运行以下命令,为您的网域创建 Google 管理的证书:

    gcloud compute addresses create $LB_PREFIX-static-ip \
    --ip-version=IPV4 \
    --global
gcloud compute ssl-certificates create $LB_PREFIX-ssl-cert \
    --domains=$DOMAIN_NAME \
    --global

LB_IP="$(gcloud compute addresses describe $LB_PREFIX-static-ip --global --format='value(address)')"

  5. 基于上一步中的后端,通过运行以下命令创建外部应用负载平衡器:

    gcloud compute url-maps create $LB_PREFIX-map-https \
    --default-service=$LB_PREFIX-backend-service

gcloud compute target-https-proxies create $LB_PREFIX-https-lb-proxy \
    --url-map=$LB_PREFIX-map-https \
    --ssl-certificates=$LB_PREFIX-ssl-cert

gcloud beta compute forwarding-rules create "$LB_PREFIX-https-lb-forwarding-rule" \
    --global \
    --target-https-proxy=$LB_PREFIX-https-lb-proxy \
    --address=$LB_IP \
    --ports=443 \
    --load-balancing-scheme=EXTERNAL_MANAGED

    创建外部应用负载平衡器后,您便可使用该 IP 地址通过互联网访问您的应用。

  6. 创建外部应用负载平衡器后,您必须将其 IP 地址与域名相关联,以便 Google Cloud 可以预配 SSL 证书。如需了解如何将 IP 地址与 DNS 名称相关联,请参阅 DNS 提供商说明。运行以下命令以检查预配状态:

    1. 显示要在 DNS 提供商中设置的 IP 地址:
      echo "Load Balancer ip address - $LB_IP"
    2. 设置 DNS 后,运行以下命令来检查域名是否解析为 IP 地址:
      dig $DOMAIN_NAME
    3. 通过运行以下命令获取预配状态:
    gcloud compute ssl-certificates describe $LB_PREFIX-ssl-cert \
    --global \
    --format="get(name,managed.status, managed.domainStatus)"

    预配 SSL 证书后,您应该能够使用 DNS 名称访问应用。

API

  1. 通过运行以下命令设置所需的环境变量: 

    LB_PREFIX=web-app
PROJECT_ID=my-project
REGION=us-central1
DOMAIN_NAME=app.example.com
    替换以下内容:

    • web-app:附加到所有负载均衡器资源名称的前缀。
    • my-project:Google Cloud 项目 ID。
    • us-central1:将在其中部署连接和网关的区域。
    • app.example.com:您的应用的域名。

  2. 使用以下命令创建网络端点组 (NEG)

    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/regions/${REGION}/networkEndpointGroups \
-d "{ \
    'name': '${LB_PREFIX}-neg', \
    'network_endpoint_type': 'private-service-connect', \
    'psc_target_service': '${GATEWAY_URI_L7}' \
}"

    可选字段:

    • 设置 network 字段以指定 NEG 中的网络端点的网络网址。如果未指定,系统会使用默认项目网络。
    • 设置 subnetwork 字段以指定 NEG 中的网络端点的子网网址。如果未指定,则网络端点可以属于创建网络端点组的区域中的任何子网。

  3. 通过运行以下命令创建基于 NEG 的后端服务,并将其连接到 Private Service Connect 服务连接:

    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/backendServices \
-d "{ \
    'name': '${LB_PREFIX}-backend-service', \
    'service_protocol': 'HTTPS', \
    'port_name': 'https', \
    'load_balancing_scheme': 'EXTERNAL_MANAGED' \
}"

gcurl -X PATCH https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/backendServices/${LB_PREFIX}-backend-service \
-d "{ \
    'backends': \
    [{ \
        'group': 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/regions/${REGION}/networkEndpointGroups/${LB_PREFIX}-neg' \
    }] \
}"

  4. 运行以下命令,为您的网域创建 Google 管理的证书:

    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/addresses \
-d "{ \
    'name': '${LB_PREFIX}-static-ip', \
    'ip_version': 'IPV4' \
}"

gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/sslCertificates \
-d "{ \
    'name': '${LB_PREFIX}-ssl-cert', \
    'managed': \
    { \
        'domains': '${DOMAIN_NAME}' \
    }, \
    'type': 'MANAGED' \
}"

LB_IP=$(gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/addresses/${LB_PREFIX}-static-ip | jq -r '.address')

  5. 基于上一步中的后端,通过运行以下命令创建外部应用负载平衡器:

    gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/urlMaps \
-d "{ \
    'name': '${LB_PREFIX}-map-https', \
    'default_service': 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/backendServices/${LB_PREFIX}-backend-service' \
}"

gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/targetHttpsProxies \
-d "{ \
    'name': '${LB_PREFIX}-https-lb-proxy', \
    'url_map': 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/urlMaps/${LB_PREFIX}-map-https', \
    'ssl_certificate': 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/sslCertificates/${LB_PREFIX}-ssl-cert' \
}"

gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/forwardingRules \
-d "{ \
    'name': '${LB_PREFIX}-https-lb-forwarding-rule', \
    target: 'https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/targetHttpsProxies/${LB_PREFIX}-https-lb-proxy', \
    'ip_address': '${LB_IP}', \
    'port_range': '443-443', \
    'load_balancing_scheme': 'EXTERNAL_MANAGED' \
}"

    创建外部应用负载平衡器后,您便可使用该 IP 地址通过互联网访问您的应用。

  6. 创建外部应用负载平衡器后,您必须将其 IP 地址与域名相关联,以便 Google Cloud 可以预配 SSL 证书。如需了解如何将 IP 地址与 DNS 名称相关联,请参阅 DNS 提供商说明。运行以下命令以检查预配状态:

    1. 显示要在 DNS 提供商中设置的 IP 地址:
      echo "Load Balancer ip address - $LB_IP"
    2. 设置 DNS 后,运行以下命令来检查域名是否解析为 IP 地址:
      dig $DOMAIN_NAME
    3. 通过运行以下命令获取预配状态:
    echo $(gcurl https://www.googleapis.com/compute/v1/projects/${PROJECT_NUMBER}/global/sslCertificates/${LB_PREFIX}-ssl-cert \
| jq -r '.name + " " + .managed.status + " " + (.managed.domainStatus | keys[]) + "=" + .managed.domainStatus[]')

    预配 SSL 证书后,您应该能够使用 DNS 名称访问应用。

启用 Identity-Aware Proxy

按照 Identity-Aware Proxy (IAP) 文档中的说明设置 Identity-Aware Proxy。设置 IAP 后,请完成以下步骤为后端服务启用 IAP:

  1. 转到“IAP”页面:
    IAP

  2. HTTPS 资源下,找到 $LB_PREFIX-backend-service。要为此资源启用 IAP,请点击“IAP”列中的切换开关。在随即显示的开启 IAP 窗口中,选中复选框以确认此资源的配置要求,然后点击开启以确认您希望通过 IAP 保护资源。

  3. 要允许用户访问您的应用,您必须按照以下步骤向他们授予项目的 IAP-secured Web App User 角色:

    1. 选中 $LB_PREFIX-backend-service 复选框。
    2. 信息面板上,选择添加主账号,然后输入应该有权访问您应用的群组或个人的电子邮件地址。
    3. 选择角色下拉列表中,选择 Cloud IAP > IAP-secured Web App User,然后点击保存

现在,您的本地应用应该已发布到互联网,并受 Chrome Enterprise Premium 保护。

使用 Google Cloud 控制台设置应用连接器

完成本部分中的步骤,使用 Google Cloud 控制台部署 Chrome Enterprise Premium 应用连接器。

输入您的申请详情

通过完成以下步骤添加应用的详细信息:

  1. 在 Google Cloud 控制台中,转到 IAP 页面。
    前往 IAP

  2. 点击连接新应用按钮,然后选择通过应用连接器连接

  3. 对于应用名称,输入要保护的应用的名称。

  4. 面向外部的应用网址部分,输入可供用户访问应用的可公开访问的网址。

  5. 点击下一步

设置与 Google Cloud 的连接

完成以下步骤,在 Google Cloud 与非 Google Cloud 环境之间建立连接。

  1. 点击 CREATE APP CONNECTOR 按钮,然后输入以下信息:

    • 应用连接器名称:连接器的名称。
    • 区域:要在其中部署连接网关和连接器的区域。

  2. 点击创建按钮。

  3. 按照预配虚拟机窗格中的说明在虚拟机上部署远程代理。

  4. 点击测试连接状态按钮以测试连接。

  5. Google Cloud 在哪里可以找到您的应用?中输入以下信息,配置您在上一步中创建的连接器:

    • 内部主机名:托管应用的本地 IP 地址或 FQDN。
    • 端口:连接到应用的端口号。

授予对您的应用的访问权限(可选)

  1. 新的主账号中,输入以下一项或多项信息:

    • Google 账号电子邮件地址:<用户名>@gmail.com
    • Google 群组:<管理员>@googlegroups.com
    • 服务账号:<服务器>@<示例>.gserviceaccount.com
    • Google Workspace 网域:example.com
    • 任何人:输入 allUsers 可授予所有用户访问权限
    • 所有 Google 账号:allAuthenticatedUsers,可向任何已登录 Google 账号的用户授予访问权限

  2. 选择一个或多个访问权限级别,然后点击下一步

发布应用

  1. 如需发布应用,请点击安全发布应用按钮。

  2. 在发布应用并收到以安全方式发布的应用确认消息后,您必须创建 DNS 记录,将您的面向外部的应用网址指向代理的 IP 地址。请完成以下步骤:

    • 第 2 步 - 更新 DNS 部分,从 IP 地址字段复制 IP 地址。按照 DNS 提供商的说明,使用该地址创建 DNS 记录,了解如何将 IP 地址与 DNS 名称相关联。

  3. 创建 DNS 记录后,请点击测试按钮对其进行测试。您应该会收到 DNS 测试通过确认消息。

  4. 点击完成

启用 IAP

  1. 转到 IAP 页面。
    前往 IAP

  2. 从资源列表中找到您的应用,然后选择“IAP”列中的按钮。

  3. 在随即显示的开启 IAP 对话框中,选中我已阅读配置要求,并按照文档配置了我的后端服务复选框,然后点击开启

现在,您的本地应用应该已发布到互联网,并受 Chrome Enterprise Premium 保护。

创建应用网关(可选)

使用应用连接器连接应用时,系统会隐式创建和管理应用网关。您还可以自行创建应用网关,以将应用连接资源整理为群组。在不同应用网关中托管的应用连接的流量通过单独的虚拟基础架构进行路由。

如需创建并指定应用网关,请完成以下步骤。

gcloud CLI

  1. 通过运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=CONNECTOR_NAME
CONNECTION_NAME=CONNECTION_NAME
GATEWAY_NAME=GATEWAY_NAME
PROJECT_ID=PROJECT_ID
REGION=REGION
APP_ENDPOINT=APP_HOST:APP_PORT

    请替换以下内容:

    • CONNECTOR_NAME:在先前步骤中定义的连接器的名称。
    • CONNECTION_NAME:连接的唯一名称。
    • GATEWAY_NAME:应用网关的名称。
    • PROJECT_ID:Google Cloud 项目 ID。
    • REGION:要在其中部署应用网关的区域,例如 us-central1
    • APP_HOST:托管应用的本地 IP 地址或 FQDN。
    • APP_PORT:要连接到应用的端口号。

  2. 通过运行以下命令创建应用网关:

    gcloud beta beyondcorp app gateways create $GATEWAY_NAME \
--project=$PROJECT_ID --location=$REGION --display-name=$GATEWAY_NAME

  3. 通过运行以下命令,在创建连接调用中指定应用网关:

    gcloud beta beyondcorp app connections create $CONNECTION_NAME \
--project=$PROJECT_ID \
--location=$REGION \
--application-endpoint=$APP_ENDPOINT \
--type=tcp \
--connectors=$CONNECTOR_NAME \
--display-name=$CONNECTION_NAME \
--app-gateway=$GATEWAY_NAME

API

  1. 通过运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=CONNECTOR_NAME
CONNECTION_NAME=CONNECTION_NAME
GATEWAY_NAME=GATEWAY_NAME
PROJECT_ID=PROJECT_ID
REGION=REGION
APP_ENDPOINT=APP_HOST:APP_PORT

    请替换以下内容:

    • CONNECTOR_NAME:在先前步骤中定义的连接器的名称。
    • CONNECTION_NAME:连接的唯一名称。
    • GATEWAY_NAME:应用网关的名称。
    • PROJECT_ID:Google Cloud 项目 ID。
    • REGION:要在其中部署应用网关的区域,例如 us-central1
    • APP_HOST:托管应用的本地 IP 地址或 FQDN。
    • APP_PORT:要连接到应用的端口号。

  2. 通过运行以下命令创建应用网关:

    gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/appGateways?app_gateway_id=${GATEWAY_NAME} \
-d "{ \
'type': 'TCP_PROXY', \
'display_name': '${CONNECTION_NAME}' \
}"

  3. 通过运行以下命令,在创建连接调用中指定应用网关:

    gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/appConnections?app_connection_id=${CONNECTION_NAME} \
-d "{ \
'application_endpoint': \
{ \
'host': '${APP_HOST}', \
'port': '${APP_PORT}' \
}, \
'gateway': { 'app_gateway' : 'projects/${PROJECT_ID}/locations/${REGION}/appGateways/${GATEWAY_NAME}'}, \
'connectors':['projects/${PROJECT_ID}/locations/${REGION}/appConnectors/${CONNECTOR_NAME}'], \
'type': 'TCP_PROXY', \
'display_name': '${CONNECTION_NAME}' \

后续步骤

问题排查

找不到之前创建的资源

使用 gcloud CLI 392.0.0 或更高版本时,请使用新的应用连接器默认资源 AppConnectorAppConnection。例如,gcloud alpha beyondcorp app connectorsgcloud alpha beyondcorp app connections 都会引用新资源。

如需访问使用 392.0.0 之前的 gcloud CLI 版本创建的旧版资源,请使用关键字 legacy。例如,gcloud alpha beyondcorp app legacy connectorsgcloud alpha beyondcorp app legacy connections 都引用旧版资源。

使用旧版资源的配置目前仍然有效,但将来会被弃用。

  • 请按照本指南中的步骤配置新资源。
  • 如果您的配置使用旧版资源,请使用关键字 legacy 找到这些资源并将其移除。请按照本文档中的步骤重新创建资源。
  • 如果您有使用旧版资源的不完整配置,请使用关键字 legacy 找到这些资源并将其移除。请按照本文档中的步骤重新创建资源。

TLS/SSL 错误

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

浏览器显示错误 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 或类似 TLS/SSL 错误,并且不会重定向到登录页面。

  • 在 Google Cloud 负载均衡器详情页面上验证证书的状态。

    注意:预配 Google 管理的证书最多可能需要 60 分钟时间。

TLS error

在重定向到登录页面后,浏览器显示错误 upstream connect error or disconnect/reset before headers. retried and the latest reset reason: connection failure, transport failure reason: TLS error 或类似 TLS/SSL 错误。

  • 验证连接中使用的应用端点是否为 HTTPS。

  • 验证是否可以使用 curl 从远程代理虚拟机访问应用端点:

    curl https://$APP_ENDPOINT

    如果您的应用证书是自签名证书,您可能需要使用 -k 标志。

验证防火墙配置

确保远程代理和互联网之间的防火墙允许与以下网域的出站连接:

连接类型 网域 Port(端口)
TCP raw.githubusercontent.com 443
TCP gcr.io 443
TCP *.googleapis.com 443
TCP tunnel.cloudproxy.app 443
TCP *.tunnel.cloudproxy.app 443
TCP accounts.google.com 443
TCP oauth2.googleapis.com 443

更改与连接关联的连接器

gcloud

  1. 通过运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=my-connector
CONNECTION_NAME=my-connection
REGION=us-central1
PROJECT_ID=my-project

    请替换以下内容:

    • my-connector:连接器的名称。该值也可以是以英文逗号分隔的列表,例如 connector1,connector2
    • my-connection:要更新的连接的名称。
    • us-central1:部署连接的区域。
    • my-project:Google Cloud 项目 ID。

  2. 如需更改与连接关联的连接器,请运行以下命令:

    gcloud alpha beyondcorp app connections update $CONNECTION_NAME \
    --project=$PROJECT_ID \
    --location=$REGION \
    --connectors=$CONNECTOR_NAME

API

  1. 通过运行以下命令设置所需的环境变量:

    CONNECTOR_NAME=my-connector
CONNECTION_NAME=my-connection
REGION=us-central1
PROJECT_ID=my-project

    请替换以下内容:

    • my-connector:连接器的名称。
    • my-connection:要更新的连接的名称。
    • us-central1:部署连接的区域。
    • my-project:Google Cloud 项目 ID。

  2. 如需更改与连接关联的连接器,请运行以下命令:

    gcurl -X PATCH \
https://beyondcorp.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/appConnections/${CONNECTION_NAME}?update_mask=connectors \
-d "{ \
    'connectors': ['projects/${PROJECT_ID}/locations/${REGION}/appConnectors/${CONNECTOR_NAME}'], \
}"

    您可以通过运行以下命令并检查输出的 connectors 字段来验证更新:

    gcurl https://beyondcorp.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/appConnections/${CONNECTION_NAME}

代理

对代理的支持已于 2024 年初推出,并且需要更改 BeyondCorp systemd 文件。如果您在此之前安装了远程代理,并且想要使用代理,请重新安装远程代理

  • 验证 Docker 守护程序是否已正确配置为使用代理。

  • 验证是否设置了 HTTP 和 HTTPS 代理环境变量,并且它们都使用 http:// 架构。不支持 https:// 架构和其他架构。

  • 运行 env 命令,验证代理环境变量是否已导出到子进程。

  • 仅支持 HTTP_PROXYHTTPS_PROXYNO_PROXY 及对应的小写形式。

  • 如果您需要在安装后更新代理设置,请在使用默认 beyondcorp 用户的情况下更新 /var/beyondcorp/env/PROXY 中的环境变量。如果使用的是自定义用户,请根据配置 Docker 客户端的说明更新 /home/$USER/.docker/config.json。如需应用代理更改,请使用以下命令重启远程代理:

    sudo systemctl restart beyondcorp

诊断工具

run-post-install-checks

run-post-install-checks/var/beyondcorp/scripts/ 中安装的脚本,用于验证您的远程代理是否已正确安装、注册且状况良好。成功创建 app connection 并将其分配给远程代理(连接器)后,请转到远程代理虚拟机,然后使用以下命令运行 run-post-install-checks

sudo /var/beyondcorp/scripts/run-post-install-checks

如果一切正常,该脚本将输出一条成功消息。

run-diagnostics

run-diagnostics/var/beyondcorp/scripts/ 中安装的脚本,用于诊断远程代理虚拟机中的常见问题并输出可分享给 Chrome Enterprise Premium 支持团队的报告。如需运行此诊断脚本,请运行以下命令:

sudo /var/beyondcorp/scripts/run-diagnostics

系统会将诊断报告写入控制台以及 ./diagnostics-report.txt

远程代理 CLI

bce-connctl 是用于与远程代理在本地进行交互的远程代理管理员命令行界面 (CLI)。此 CLI 支持各种命令,例如用于注册远程代理、检查状态和设置配置值的命令。

Init 命令

您可以使用 Init 命令初始化远程代理,并生成脚本来注册代理。

例如:

bce-connctl init --project=$PROJECT_ID --region=$REGION --connector=$CONNECTOR_NAME

状态命令

您可以使用 Status 命令来管理远程代理的状态。

  • 列表:使用此命令列出远程代理的整体状态,以及此代理支持的任何连接的状态。示例:bce-connctl status list

配置命令

您可以使用 Config 命令来管理远程代理的配置值。

  • 列表:使用此命令列出远程代理的配置值。示例:bce-connctl config list
  • 设置:使用此命令设置远程代理的配置值。示例:bce-connctl config set <key> <value>

注册命令

您可以使用注册命令来管理远程代理的注册。

  • 描述:使用此命令可获取远程代理的注册状态。示例:bce-connctl enrollment describe

    如果来自 bce-connctl init 的注册脚本成功完成,且公钥上传成功,则状态为 ENROLLED

帮助

您可以将 -h--help 标志附加到任何 bce-connctl 命令来输出使用情况信息。

bce-connctl init -h