Nicht-Google Cloud-Anwendungen mit dem lokalen Connector sichern

In dieser Anleitung wird erläutert, wie Sie eine HTTP- oder HTTPS-basierte lokale Anwendung außerhalb von Google Cloud mit Identity-Aware Proxy (IAP) durch Bereitstellen eines IAP-Connectors sichern.

Hinweise

Bevor Sie beginnen, benötigen Sie Folgendes:

• Eine HTTP- oder HTTPS-basierte lokale Anwendung
• Einem Cloud Identity-Mitglied wurde die Rolle Inhaber für Ihr Google Cloud-Projekt zugewiesen.
• Der Google APIs-Dienst-Agent hat die Inhaberrolle erhalten.
• Ein Google Cloud-Projekt mit aktivierter Abrechnung
• Eine BeyondCorp Enterprise-Lizenz.
• Die externe URL, die als Eingangspunkt für Traffic zu Google Cloud verwendet werden soll. Beispiel: www.hr-domain.com
• Ein SSL- oder TLS-Zertifikat für den DNS-Hostnamen, der als Eingangspunkt für den Traffic zu Google Cloud verwendet wird. Sie können ein vorhandenes selbstverwaltetes oder von Google verwaltetes Zertifikat verwenden. Wenn Sie kein Zertifikat haben, erstellen Sie eines mit Let's Encrypt.
• Wenn VPC Service Controls aktiviert ist, ist ein VPC-Netzwerk mit einer Richtlinie für ausgehenden Traffic für die Aktion cp für das VM-Dienstkonto an den Bucket gce-mesh im Projekt 278958399328. Hierdurch wird dem VPC-Netzwerk die Berechtigung erteilt, die Envoy-Binärdatei aus dem gce-mesh-Bucket abzurufen. Die Berechtigung wird standardmäßig gewährt, wenn VPC Service Controls nicht aktiviert ist.

• So deaktivieren Sie eine externe IP-Adresse:

  1. Aktivieren Sie den privaten Google-Zugriff in dem VPC-Subnetz, das für den IAP-Connector verwendet wird, indem Sie das Kästchen in der Konfiguration anklicken. Weitere Informationen finden Sie unter Privater Google-Zugriff.
  2. Achten Sie darauf, dass die Firewallkonfiguration des VPC-Netzwerks den Zugriff von den VMs auf die IP-Adressen ermöglicht, die von den Google APIs und Diensten verwendet werden. Dies ist standardmäßig erlaubt, kann jedoch von den Nutzern explizit geändert werden. Informationen zum Ermitteln des IP-Bereichs finden Sie unter IP-Adressen für Standarddomains.

Connector für eine lokale Anwendung bereitstellen

1. Rufen Sie die IAP-Administratorseite auf.

   Zur IAP-Administratorseite

2. Klicken Sie auf die Einrichtung lokaler Connectors, um die Connector-Bereitstellung für eine lokale Anwendung einzurichten.

3. Prüfen Sie, ob die benötigten APIs geladen wurden. Klicken Sie dazu auf APIs aktivieren.

4. Wählen Sie aus, ob das Deployment ein von Google verwaltetes Zertifikat oder ein von Ihnen verwaltetes verwenden soll. Wählen Sie dann das Netzwerk und das Subnetz für das Deployment aus (oder erstellen Sie ein neues) und klicken Sie auf Weiter.

5. Geben Sie die Details für eine lokale Anwendung ein, die Sie hinzufügen möchten:

   • Die externe URL von Anfragen an Google Cloud. Unter dieser URL gelangt der Traffic in die Umgebung.
   • Ein Name für die Anwendung. Er wird auch als Name für einen neuen Back-End-Dienst hinter dem Load-Balancer verwendet.
   • Den lokalen Endpunkttyp und dessen Details:
     • Vollständig qualifizierter Domainname (Fully Qualified Domain Name – FQDN): Die Domain, an die der Connector den Traffic weiterleiten soll.
     • IP-Adresse: Eine oder mehrere Zonen, in denen der IAP-Connector bereitgestellt werden soll (z. B. us-central1-a), sowie jeweils die IPv4-Adresse des internen Ziels für die lokale Anwendung, an die der Traffic nach der Autorisierung und Authentifizierung eines Nutzers weitergeleitet wird.
   • Das vom lokalen Endpunkt verwendete Protokoll.
   • Die vom lokalen Endpunkt verwendete Portnummer, z. B. 443 für HTTPS oder 80 für HTTP.

6. Klicken Sie auf Fertig, um die Details für diese Anwendung zu speichern. Bei Bedarf können Sie weitere lokale Anwendungen für das Deployment definieren.

7. Wenn Sie fertig sind, klicken Sie auf Senden, um mit der Bereitstellung der von Ihnen definierten Anwendungen zu beginnen.

Sobald die Bereitstellung abgeschlossen ist, werden die lokalen Connector-Anwendungen in der Tabelle HTTP-Ressourcen angezeigt. IAP kann aktiviert werden.

Wenn Sie Google die Zertifikate automatisch generieren und verwalten lassen, kann es einige Minuten dauern, bis die Zertifikate bereitgestellt werden. Sie können den Status auf der Detailseite des Cloud Load Balancing prüfen. Weitere Informationen zum Status finden Sie auf der Seite zur Fehlerbehebung.

Connector für eine lokale Anwendung verwalten

• Sie können jederzeit weitere Anwendungen hinzufügen, indem Sie auf Lokale Connectors einrichten klicken.

• Sie können den lokalen Connector löschen, indem Sie die gesamte Bereitstellung löschen:

  1. Rufen Sie die Seite "Deployment Manager" auf.

     Zur Seite "Deployment Manager"

  2. Klicken Sie in der Liste der Bereitstellungen auf das Kästchen neben dem Deployment on-prem-app-deployment“.

  3. Klicken Sie oben auf der Seite auf Löschen.

• Sie können einzelne Anwendungen löschen. Klicken Sie dazu in der Einrichtung lokaler Connectors auf die Schaltfläche Löschen“. Der lokale Connector muss mindestens eine Anwendung enthalten. Wenn Sie alle Anwendungen entfernen möchten, löschen Sie das gesamte Deployment.

Mehr zur Verwendung von Google Pay erfahren

• Mit Zugriffsebenen umfangreichere Kontextregeln festlegen
• Zugriffsanfragen aufrufen, indem Sie Cloud-Audit-Logs aktivieren
• Mehr über IAP erfahren