Lokale Anwendungen und Ressourcen mit IAP sichern

In diesem Leitfaden wird erläutert, wie Sie eine HTTP- oder HTTPS-basierte lokale Anwendung außerhalb von Google Cloud mit Identity-Aware Proxy (IAP) sichern und dafür einen IAP-Connector bereitstellen.

Hinweis

Für den Start ist Folgendes erforderlich:

  • Eine HTTP- oder HTTPS-basierte lokale Anwendung.
  • Ein Cloud Identity-Mitglied hat Ihrem Google Cloud-Projekt die Rolle Inhaber gewährt.
  • Gewährt dem Google APIs-Dienst-Agent die Inhaberrolle.
  • Google Cloud-Projekt mit aktivierter Abrechnungsfunktion.
  • Eine BeyondCorp Enterprise-Lizenz.
  • Die externe URL, die als Eingangspunkt für den Traffic zu Google Cloud verwendet werden soll, z. B. www.hr-domain.com.
  • Ein SSL- oder TLS-Zertifikat für den DNS-Hostnamen, der als Eingangspunkt für den Traffic zu Google Cloud verwendet wird. Es kann auch ein vorhandenes selbstverwaltetes oder von Google verwaltetes Zertifikat verwendet werden. Wenn Sie kein Zertifikat haben, erstellen Sie ein Zertifikat mit Let's Encrypt.
  • Wenn VPC Service Controls aktiviert ist, ein VPC-Netzwerk mit einer Richtlinie für ausgehenden Traffic für die Aktion cp für das VM-Dienstkonto zum gce-mesh-Bucket, der sich in Projekt 278958399328 befindet. Hierdurch wird dem VPC-Netzwerk die Berechtigung erteilt, die Envoy-Binärdatei aus dem gce-mesh-Bucket abzurufen. Die Berechtigung wird standardmäßig erteilt, wenn VPC Service Controls nicht aktiviert ist.
  • Deaktivieren Sie eine externe IP-Adresse. Gehen Sie dazu so vor:

    1. Aktivieren Sie den privaten Google-Zugriff in dem VPC-Subnetz, das für den IAP-Connector verwendet wird, indem Sie das Kästchen in der Konfiguration anklicken. Weitere Informationen finden Sie unter Privater Google-Zugriff.
    2. Achten Sie darauf, dass die Firewallkonfiguration des VPC-Netzwerks den Zugriff von den VMs auf die von den Google APIs und Google-Diensten verwendeten IP-Adressen zulässt. Dies ist standardmäßig erlaubt, kann aber von den Nutzern explizit geändert werden. Informationen zum Ermitteln des IP-Bereichs finden Sie unter IP-Adressen für Standarddomains.

Connector für eine lokale Anwendung bereitstellen

  1. Rufen Sie die IAP-Administratorseite auf.

    Rufen Sie die IAP-Administratorseite auf.

  2. Beginnen Sie mit der Einrichtung der Connector-Bereitstellung für eine lokale Anwendung, indem Sie auf Einrichtung lokaler Connectors klicken.

  3. Prüfen Sie, ob die erforderlichen APIs geladen sind. Klicken Sie dazu auf APIs aktivieren.

  4. Wählen Sie aus, ob die Bereitstellung ein von Google verwaltetes oder von Ihnen verwaltetes Zertifikat verwenden soll, wählen Sie das Netzwerk und das Subnetz für die Bereitstellung aus (oder erstellen Sie ein neues) und klicken Sie dann auf Weiter.

  5. Geben Sie die Details für eine lokale Anwendung ein, die Sie hinzufügen möchten:

    • Die externe URL von Anfragen, die an Google Cloud gesendet werden. Über diese URL wird der Traffic in die Umgebung geleitet.
    • Ein Name für die Anwendung. Er wird auch als Name für einen neuen Back-End-Dienst hinter dem Load-Balancer verwendet.
    • Der lokale Endpunkttyp und seine Details:
      • FQDN: Die Domain, an die der Connector den Traffic weiterleiten soll. Region: Die Region, in der der Connector bereitgestellt werden soll.
      • IP-Adresse: Die Region, in der der Connector bereitgestellt werden soll. Beispiel: us-central Eine oder mehrere Zonen, in denen der IAP-Connector bereitgestellt werden soll (z. B. us-central1-a) und für jede die IPv4-Adresse des internen Ziels der lokalen Anwendung, zu der IAP leitet Traffic weiter, nachdem ein Nutzer autorisiert und authentifiziert wurde.
    • Das Protokoll, das Sie verwenden möchten. Außerdem müssen Sie einen Portwert eingeben, z. B. 443 für HTTPS oder 80 für HTTP.
    • Der Port, der für den Zugriff auf die internen Ziele verwendet wird.
  6. Klicken Sie auf Fertig, um die Details für diese Anwendung zu speichern. Wenn Sie möchten, können Sie dann zusätzliche lokale Anwendungen für die Bereitstellung definieren.

  7. Klicken Sie anschließend auf Senden, um mit der Bereitstellung der von Ihnen definierten Anwendungen zu beginnen.

Wenn die Bereitstellung abgeschlossen ist, werden Ihre lokalen Connector-Anwendungen in der Tabelle HTTP-Ressourcen angezeigt und IAP kann aktiviert werden.

Wenn Sie Google die Zertifikate automatisch generieren und verwalten lassen, kann es einige Minuten dauern, bis die Zertifikate bereitgestellt werden. Sie können den Status auf der Detailseite von Cloud Load Balancing prüfen. Weitere Informationen zum Status finden Sie auf der Seite zur Fehlerbehebung.

Connector für eine lokale Anwendung verwalten

  • Sie können Ihrer Bereitstellung jederzeit weitere Anwendungen hinzufügen, indem Sie auf Einrichtung lokaler Connectors klicken.
  • Sie können den lokalen Connector löschen, indem Sie die gesamte Bereitstellung löschen:

    1. Rufen Sie die Deployment Manager-Seite auf.

      Weiter zur Deployment Manager-Seite

    2. Klicken Sie in der Liste der Bereitstellungen auf das Kästchen neben der Bereitstellung „on-prem-app-deployment“.

    3. Klicken Sie oben auf der Seite auf Löschen.

  • Sie können einzelne Anwendungen löschen, indem Sie unter Einrichtung lokaler Connectors auf die Schaltfläche „Löschen“ klicken. Der lokale Connector muss mindestens eine Anwendung enthalten. Wenn Sie alle Anwendungen entfernen möchten, löschen Sie die gesamte Bereitstellung.

Weitere Informationen