Protege apps y recursos locales con IAP

En esta guía se explica cómo proteger una aplicación local basada en HTTP fuera de Google Cloud con Identity-Aware Proxy (IAP) mediante la implementación de un conector IAP.

Antes de comenzar

Antes de comenzar, necesitas lo siguiente:

  • Una aplicación local basada en HTTP que tiene su propia instancia de IAP.
  • Que un miembro de Cloud Identity haya otorgado la función Propietario a tu proyecto de Google Cloud
  • Un proyecto de Google Cloud con facturación habilitada
  • El nombre de host DNS que se usará como punto de entrada para el tráfico a Google Cloud. Por ejemplo, www.hr-domain.com
  • Un certificado SSL o TLS para el nombre de host DNS que se usa como punto de entrada para el tráfico a Google Cloud. Se puede usar un certificado autoadministrado o administrado por Google existente. Si no tienes un certificado, crea uno con Let's Encrypt
  • Si los Controles del servicio de VPC están habilitados, una red de VPC con unapolítica de salida cp acción para la cuenta de servicio de VM al depósito gce-mesh, que se encuentra en el proyecto 278958399328. Esto otorga al permiso de red de VPC para recuperar el archivo binario de Envoy del depósito gce-mesh. El permiso se otorga de forma predeterminada si los Controles del servicio de VPC no están habilitados.

Implementa un conector para una app local

  1. Ve a la página de administrador de IAP.

    Ir a la página de administrador de IAP

  2. Comienza a configurar la implementación del conector para una aplicación local. mediante un clic en Configuración de conectores locales.

  3. Asegúrate de que las API necesarias se carguen. Para ello, haz clic en Habilitar las API.

  4. Elige si la implementación debe usar un certificado administrado por Google o uno que tú administras, selecciona la red y la subred para la implementación (o elige crear uno nuevo) y haz clic en Siguiente.

  5. Ingresa los detalles de una app local que quieras agregar:

    • La URL externa de las solicitudes que llegan a Google Cloud. Esta URL es por donde ingresa el tráfico al entorno.
    • Un nombre para la aplicación. También se usará como el nombre de un servicio de backend nuevo detrás del balanceador de cargas.
    • La región donde se debe implementar el conector. Por ejemplo, us-central.
    • Una o más zonas en las que implementar el conector IAP (por ejemplo, us-central1-a) y, para cada una, la dirección IPv4 del destino interno de la aplicación local en la que IAP enruta el tráfico después de que se autoriza y autentica un usuario.
    • El puerto que se usa para acceder a los destinos internos.
  6. Haz clic en Listo para guardar los detalles de esa app. Si lo deseas, puedes definir aplicaciones locales adicionales para la implementación.

  7. Cuando estés listo, haz clic en Enviar para comenzar la implementación de las apps que definiste.

Una vez completada la implementación, tus aplicaciones de conectores locales aparecerán en la tabla Recursos HTTP y IAP podrá habilitarse.

Administra un conector para una app local

  • Puedes agregar más aplicaciones a tu implementación en cualquier momento. Para ello, haz clic en Configuración de conectores locales.
  • Solo puedes borrar una app de conector local. Para ello, borra toda la implementación:

    1. Ve a la página Deployment Manager.

      Ir a la página de Deployment Manager

    2. En la lista de implementaciones, selecciona la casilla de verificación junto a la implementación “on-prem-app-deployment”.

    3. En la parte superior de la página, haz clic en Borrar.

Próximos pasos