Neste guia, você aprenderá como proteger um app local baseado em HTTP ou HTTPS fora do Google Cloud usando o Identity-Aware Proxy (IAP) por meio da implantação de um conector do IAP.
Antes de começar
Antes de começar, os seguintes itens são necessários:
- Um app local baseado em HTTP ou HTTPS.
- Ter um membro do Cloud Identity com o papel proprietário no seu projeto do Google Cloud.
- Conceder o papel de proprietário ao agente de serviço de APIs do Google.
- ter um projeto do Google Cloud com o faturamento ativado;
- Uma licença do Chrome Enterprise Premium.
- O URL externo a ser usado como ponto de entrada para o tráfego no Google Cloud. Por exemplo,
www.hr-domain.com
. - ter um certificado SSL ou TLS para o nome do host de DNS que será usado como ponto de entrada do tráfego para o Google Cloud. É possível usar um certificado autogerenciado ou gerenciado pelo Google que você já tenha. Se você ainda não tem um certificado, crie um usando a Let's Encrypt (em inglês).
- Se o VPC Service Controls estiver ativado, use uma rede VPC com uma política de saída na ação
cp
da conta de serviço da VM para o bucket gce-mesh, que está no projeto 278958399328. Isso concede à rede VPC permissão para recuperar o arquivo binário Envoy do bucket gce-mesh. A permissão será concedida por padrão se o VPC Service Controls não estiver ativado. Desative um IP externo concluindo as seguintes etapas:
- Ative o Acesso privado do Google na sub-rede VPC usada para o conector do IAP marcando a caixa na configuração. Para mais informações, consulte Acesso privado do Google.
- Verifique se a configuração do firewall da rede VPC permite acesso das VMs aos endereços IP usados pelas APIs e serviços do Google. Isso é implicitamente permitido por padrão, mas pode ser alterado explicitamente pelos usuários. Veja informações sobre como encontrar o intervalo de IP em Endereços IP para domínios padrão.
Implante um conector para um app no local
Acesse a página de administrador do IAP.
Comece a configurar a implantação do conector em um app no local clicando em Configuração de conectores no local.
Verifique se as APIs necessárias estão carregadas clicando em Ativar APIs.
Escolha se a implantação usará um certificado gerenciado pelo Google ou um gerenciado por você, selecione a rede e a sub-rede para a implantação (ou crie um novo) e clique em Avançar.
Insira os detalhes de um aplicativo no local que você quer adicionar:
- o URL externo das solicitações que chegam ao Google Cloud. Esse URL é por onde o tráfego entra no ambiente;
- um nome para o aplicativo. Ele também será usado como o nome de um novo serviço de back-end por trás do balanceador de carga.
O tipo de endpoint no local e os detalhes:
- Nome de domínio totalmente qualificado (FQDN, na sigla em inglês): o domínio para onde o conector deve encaminhar o tráfego.
- Endereço IP: uma ou mais zonas em que o conector do IAP precisa ser implantado (por exemplo,
us-central1-a
). Para cada uma, o endereço IPv4 do destino interno do app local em que o IAP encaminha o tráfego depois de o usuário ter sido autorizado e autenticado.
O protocolo usado pelo endpoint no local.
O número da porta usado pelo endpoint no local, como 443 para HTTPS ou 80 para HTTP.
clique em Concluído para salvar os detalhes do app. Se você quiser, defina mais aplicativos locais para a implantação.
Quando tudo estiver pronto, clique em Enviar para começar a implantação dos apps que você definiu.
Após a conclusão da implantação, os apps de conector no local aparecerão na tabela Recursos HTTP, e o IAP poderá ser ativado.
Se você optar por permitir que o Google gere e gerencie automaticamente os certificados, pode levar alguns minutos para que os certificados sejam provisionados. Verifique o status na página de detalhes do Cloud Load Balancing. Para mais informações sobre o status, consulte a página de solução de problemas.
Gerencie um conector para um app no local
- É possível adicionar mais aplicativos à sua implantação a qualquer momento clicando em Configuração de conectores no local.
É possível excluir o conector local excluindo toda a implantação:
Acesse a página do Deployment Manager.
Na lista de implantações, marque a caixa de seleção ao lado da implantação "on-prem-app-deployment".
No topo da página, clique em Excluir.
É possível excluir um app individual clicando no botão "Excluir" na configuração dos conectores locais. O conector local precisa conter pelo menos um app. Para remover todos os apps, exclua toda a implantação.
Próximas etapas
- Defina regras de contexto mais avançadas aplicando níveis de acesso.
- Para as solicitações de acesso, ative os registros de auditoria do Cloud.
- Saiba mais sobre o IAP.