Ce guide explique comment sécuriser une application basée sur HTTP ou HTTPS, sur site en dehors de Google Cloud, à l'aide d'Identity-Aware Proxy (IAP) en déployant un connecteur IAP.
Avant de commencer
Avant de commencer, vous avez besoin des éléments suivants :
- Une application sur site basée sur HTTP ou HTTPS.
- Un membre Cloud Identity auquel le rôle Propriétaire a été accordé sur votre projet Google Cloud.
- Accordé à l'agent de service des API Google le rôle de propriétaire.
- Un projet Google Cloud avec facturation activée.
- Une licence Chrome Enterprise Premium
- L'URL externe à utiliser comme point d'entrée du trafic vers Google Cloud. Par exemple,
www.hr-domain.com
. - Un certificat SSL ou TLS pour le nom d'hôte DNS utilisé comme point d'entrée du trafic vers Google Cloud. Un certificat existant autogéré ou géré par Google peut être utilisé. Si vous n'avez pas de certificat, créez-en un à l'aide de Let's Encrypt.
- Si VPC Service Controls est activé, un réseau VPC avec une règle de sortie sur une action
cp
pour le compte de service de VM à destination du bucket gce-mesh, situé dans le projet 278958399328. Cela accorde au réseau VPC l'autorisation de récupérer le fichier binaire Envoy à partir du bucket gce-mesh. L'autorisation est accordée par défaut si VPC Service Controls n'est pas activé. Pour désactiver une adresse IP externe, procédez comme suit :
- Activez l'accès privé à Google sur le sous-réseau VPC utilisé pour le connecteur IAP en cochant la case dans la configuration. Pour plus d'informations, consultez la section Accès privé à Google.
- Vérifiez que la configuration du pare-feu du réseau VPC autorise l'accès des VM aux adresses IP utilisées par les API et services Google. Cela est implicitement autorisé par défaut, mais peut être modifié explicitement par les utilisateurs. Pour savoir comment trouver la plage d'adresses IP, consultez la section Adresses IP pour les domaines par défaut.
Déployer un connecteur pour une application sur site
Accédez à la page d'administration d'IAP.
Commencez à configurer le déploiement de votre connecteur pour une application sur site en cliquant sur Configuration de connecteurs sur site.
Assurez-vous que les API requises sont chargées en cliquant sur Activer les API.
Choisissez si le déploiement doit utiliser un certificat géré par Google ou un certificat que vous gérez vous-même, sélectionnez le réseau et le sous-réseau pour le déploiement (ou créez-en un nouveau), puis cliquez sur Suivant
Saisissez les détails pour une application sur site que vous souhaitez ajouter :
- URL externe des requêtes provenant de Google Cloud. Cette URL correspond au trafic entrant dans l'environnement.
- Nom de l'application. Il servira également de nom au nouveau service de backend derrière l'équilibreur de charge.
Type de point de terminaison sur site et détails:
- Nom de domaine complet : domaine vers lequel le connecteur doit transférer le trafic.
- Adresse IP: une ou plusieurs zones dans lesquelles se trouve le connecteur IAP
déployée (par exemple,
us-central1-a
) et, pour chacune, l'adresse IPv4 de destination interne de l'application sur site vers laquelle IAP achemine le trafic après qu'un utilisateur a été autorisé. authentifiés.
Protocole utilisé par le point de terminaison sur site.
Numéro de port utilisé par le point de terminaison sur site, par exemple 443 pour HTTPS ou 80 pour HTTP.
Cliquez sur OK pour enregistrer les informations concernant cette application. Si vous le souhaitez, vous pouvez ensuite définir d'autres applications sur site pour le déploiement.
Lorsque vous êtes prêt, cliquez sur Envoyer pour lancer le déploiement des applications que vous avez définies.
Une fois le déploiement terminé, vos applications de connecteur sur site apparaissent dans la table Ressources HTTP et vous pouvez activer IAP.
Si vous choisissez de laisser Google générer et gérer automatiquement les certificats, le provisionnement des certificats peut prendre quelques minutes. Vous pouvez vérifier l'état sur la page de détails de Cloud Load Balancing. Pour plus d'informations sur l'état, consultez la page Dépannage.
Gérer un connecteur pour une application sur site
- Vous pouvez ajouter d'autres applications à votre déploiement à tout moment en cliquant sur Configuration de connecteurs sur site.
Vous pouvez supprimer le connecteur sur site en supprimant l'intégralité du déploiement :
Accédez à la page Deployment Manager.
Dans la liste des déploiements, cochez la case située à côté du déploiement "on-prem-app-deployment".
En haut de la page, cliquez sur Supprimer.
Vous pouvez supprimer une application individuelle en cliquant sur le bouton de suppression dans la configuration des connecteurs sur site. Le connecteur sur site doit contenir au moins une application. Pour supprimer toutes les applications, veuillez supprimer l'ensemble du déploiement.
Étapes suivantes
- Définissez des règles de contexte plus riches en appliquant des niveaux d'accès.
- Consultez les demandes d'accès en activant les journaux d'audit Cloud.
- Découvrez-en plus sur IAP.