Lokale Anwendungen und Ressourcen mit IAP sichern

In diesem Leitfaden wird erläutert, wie Sie eine HTTP-basierte lokale Anwendung außerhalb von Google Cloud mit Identity-Aware Proxy (IAP) sichern und dafür einen IAP-Connector bereitstellen.

Hinweis

Für den Start ist Folgendes erforderlich:

  • Eine HTTP-basierte lokale Anwendung mit einer eigenen IAP-Instanz.
  • Ein Cloud Identity-Mitglied hat Ihrem Google Cloud-Projekt die Rolle Inhaber gewährt.
  • Google Cloud-Projekt mit aktivierter Abrechnungsfunktion.
  • Der DNS-Hostname, der als Eingangspunkt für den Traffic zu Google Cloud verwendet wird, z. B. www.hr-domain.com.
  • Ein SSL- oder TLS-Zertifikat für den DNS-Hostnamen, der als Eingangspunkt für den Traffic zu Google Cloud verwendet wird. Es kann auch ein vorhandenes selbstverwaltetes oder von Google verwaltetes Zertifikat verwendet werden. Wenn Sie kein Zertifikat haben, erstellen Sie ein Zertifikat mit Let's Encrypt.
  • Wenn VPC Service Controls aktiviert ist, enthält ein VPC-Netzwerk mit einer ausgehenden Richtlinie für die Aktion cp für das VM-Dienstkonto den Bucket gce-mesh, der sich in {101] befindet. } verwenden. Hierdurch wird dem VPC-Netzwerk die Berechtigung erteilt, die Binärdatei von Envoy aus dem gce-mesh-Bucket abzurufen. Die Berechtigung wird standardmäßig gewährt, wenn VPC Service Controls nicht aktiviert ist.

Connector für eine lokale Anwendung bereitstellen

  1. Rufen Sie die IAP-Administratorseite auf.

    Rufen Sie die IAP-Administratorseite auf.

  2. Beginnen Sie mit der Einrichtung der Connector-Bereitstellung für eine lokale Anwendung, indem Sie auf Einrichtung lokaler Connectors klicken.

  3. Klicken Sie auf APIs aktivieren, um zu prüfen, ob die erforderlichen APIs geladen werden.

  4. Wählen Sie aus, ob die Bereitstellung ein von Google verwaltetes Zertifikat verwenden soll oder von Ihnen verwaltet werden soll. Wählen Sie dann das Netzwerk und das Subnetz für die Bereitstellung aus oder erstellen Sie ein neues. Klicken Sie anschließend auf Weiter.

  5. Geben Sie die Details für eine lokale App ein, die Sie hinzufügen möchten:

    • Die externe URL von Anfragen an Google Cloud. Über diese URL wird der Traffic in die Umgebung geleitet.
    • Ein Name für die App Er wird auch als Name für einen neuen Back-End-Dienst hinter dem Load-Balancer verwendet.
    • Die Region, in der der Connector bereitgestellt werden soll. Beispiel: us-central
    • Eine oder mehrere Zonen, in denen der IAP-Connector bereitgestellt werden soll (z. B. us-central1-a) und für jede die IPv4-Adresse des internen Ziels der lokalen Anwendung, zu der IAP leitet Traffic weiter, nachdem ein Nutzer autorisiert und authentifiziert wurde.
    • Der Port für den Zugriff auf die internen Ziele.
  6. Klicken Sie auf Fertig, um die Details für diese App zu speichern. Wenn Sie möchten, können Sie weitere lokale Anwendungen für die Bereitstellung definieren.

  7. Wenn Sie bereit sind, klicken Sie auf Submit (Senden), um mit der Bereitstellung der von Ihnen definierten Anwendungen zu beginnen.

Nach Abschluss der Bereitstellung werden Ihre lokalen Connector-Apps in der Tabelle HTTP-Ressourcen angezeigt und IAP kann aktiviert werden.

Connector für eine lokale App verwalten

  • Sie können Ihrem Deployment jederzeit weitere Anwendungen hinzufügen. Klicken Sie dazu auf Lokale Connectors einrichten.
  • Sie können nur eine lokale Connector-Anwendung löschen, indem Sie die gesamte Bereitstellung löschen:

    1. Rufen Sie die Deployment Manager-Seite auf.

      Weiter zur Deployment Manager-Seite

    2. Klicken Sie in der Liste der Bereitstellungen auf das Kästchen neben der Bereitstellung „on-prem-app-deployment“.

    3. Klicken Sie oben auf der Seite auf Löschen.

Nächste Schritte