Questa guida spiega come proteggere un'app on-premise basata su HTTP o HTTPS esterna a Google Cloud con Identity-Aware Proxy (IAP) eseguendo il deployment di un connettore IAP.
Prima di iniziare
Prima di iniziare, è necessario quanto segue:
- Un'app on-premise basata su HTTP o HTTPS.
- Un membro di Cloud Identity ha concesso i Ruolo di Proprietario del tuo progetto Google Cloud.
- È stato concesso all'agente di servizio per le API di Google il ruolo di proprietario.
- Un progetto Google Cloud con fatturazione abilitata.
- Una licenza Chrome Enterprise Premium.
- L'URL esterno da utilizzare come punto di ingresso per il traffico verso
in Google Cloud. Ad esempio,
www.hr-domain.com
. - Un certificato SSL o TLS per l'hostname DNS utilizzato come punto di ingresso per il traffico verso Google Cloud. Puoi utilizzare un certificato con gestione indipendente o gestito da Google esistente. Se non hai un certificato, creane uno utilizzando Crittografiamo.
- Se i Controlli di servizio VPC sono abilitati, viene avviata una rete VPC con
criterio di traffico in uscita
sull'azione
cp
per l'account di servizio della VM al bucket gce-mesh, che si trova progetto 278958399328. In questo modo, la rete VPC ottiene l'autorizzazione per recuperare il file binario di Envoy dal bucket gce-mesh. L'autorizzazione viene concessa per impostazione predefinita se i Controlli di servizio VPC non sono abilitati. Per disattivare un indirizzo IP esterno, segui questi passaggi:
- Abilita l'accesso privato Google nella subnet VPC utilizzata per il connettore IAP selezionando la casella nella configurazione. Per ulteriori informazioni, vedi Accesso privato Google.
- Assicurati che la configurazione del firewall della rete VPC consenta l'accesso dalle VM agli indirizzi IP utilizzati dalle API e dai servizi Google. Questa opzione è implicitamente consentita per impostazione predefinita, ma può essere modificata esplicitamente dagli utenti. Per informazioni su come trovare l'intervallo IP, vedi Indirizzi IP per i domini predefiniti.
Esegui il deployment di un connettore per un'app on-premise
Vai alla pagina di amministrazione di IAP.
Inizia a configurare il deployment dei connettori per un'app on-premise facendo clic su Configurazione dei connettori on-prem.
Assicurati che le API richieste siano caricate facendo clic su Abilita API.
Scegli se il deployment deve utilizzare un certificato gestito da Google o uno gestiti da te, seleziona la rete e la subnet per il deployment (oppure per crearne uno nuovo, quindi fai clic su Avanti.
Inserisci i dettagli per un'app on-premise che vuoi aggiungere:
- L'URL esterno delle richieste in arrivo a Google Cloud. Questo URL è dove il traffico entra nell'ambiente.
- Un nome per l'app. Verrà utilizzato anche come nome di un nuovo servizio di backend dietro il bilanciatore del carico.
Il tipo di endpoint on-prem e i relativi dettagli:
- Nome di dominio completo (FQDN): il dominio in cui il connettore deve inoltrare il traffico.
- Indirizzo IP: una o più zone in cui dovrebbe trovarsi il connettore IAP
di cui è stato eseguito il deployment (ad esempio,
us-central1-a
) e, per ciascuno, l'indirizzo IPv4 la destinazione interna per l'app on-premise a cui IAP instrada il traffico dopo che l'utente è stato autorizzato autenticati.
Il protocollo utilizzato dall'endpoint on-prem.
Il numero di porta utilizzato dall'endpoint on-prem, ad esempio 443 per HTTPS o 80 per HTTP.
Fai clic su Fine per salvare i dettagli dell'app. Se vuoi, puoi poi definire altre app on-premise per il deployment.
Al termine, fai clic su Invia per avviare il deployment delle app che hai definito.
Una volta completato il deployment, le app del connettore on-prem vengono visualizzate È possibile abilitare la tabella delle risorse HTTP e IAP.
Se scegli di lasciare che sia Google a generare e gestire automaticamente i certificati, il provisioning dei certificati potrebbe richiedere alcuni minuti. Puoi controllare lo stato nella pagina dei dettagli di Cloud Load Balancing. Per ulteriori informazioni sullo stato, consulta la pagina di risoluzione dei problemi.
Gestisci un connettore per un'app on-premise
- Puoi aggiungere altre app al deployment in qualsiasi momento facendo clic su Configurazione dei connettori on-prem.
Puoi eliminare il connettore on-premise eliminando l'intera deployment:
Vai alla pagina Deployment Manager.
Nell'elenco dei deployment, seleziona la casella di controllo accanto al deployment "on-prem-app-deployment".
Nella parte superiore della pagina, fai clic su Elimina.
Puoi eliminare una singola app facendo clic sul pulsante Elimina nella configurazione dei connettori on-premise. Il connettore on-premise deve contenere almeno un'app. Per rimuovere tutte le app, elimina l'intero deployment.
Passaggi successivi
- Imposta regole di contesto più avanzate applicando i livelli di accesso.
- Visualizza le richieste di accesso abilitando Cloud Audit Logs.
- Scopri di più su IAP.