Protege aplicaciones que no son de Google Cloud mediante el conector local

En esta guía, se explica cómo proteger una app local basada en HTTP o HTTPS fuera de Google Cloud con Identity-Aware Proxy (IAP) mediante la implementación de un conector IAP.

Antes de comenzar

Antes de comenzar, necesitas lo siguiente:

• Una app HTTP o HTTPS basada en el entorno local.
• Un miembro de Cloud Identity otorgó la función propietario en tu proyecto de Google Cloud.
• Se otorgó al agente de servicio de las API de Google la función de propietario.
• Un proyecto de Google Cloud con facturación habilitada
• Una licencia BeyondCorp Enterprise.
• La URL externa que se usará como punto de entrada para el tráfico a Google Cloud. Por ejemplo, www.hr-domain.com.
• Un certificado SSL o TLS para el nombre de host de DNS que se usa como punto de entrada para el tráfico a Google Cloud. Se puede usar un certificado autoadministrado o administrado por Google existente. Si no tienes un certificado, crea uno con Let's Encrypt.
• Si los Controles del servicio de VPC están habilitados, una red de VPC con una política de salida en la acción cp para la cuenta de servicio de la VM en el bucket gce-mesh, que está en el proyecto 278958399328. Esto otorga a la red de VPC permiso para recuperar el archivo binario de Envoy del bucket gce-mesh. El permiso se otorga de forma predeterminada, si los Controles del servicio de VPC no están habilitados.

• Sigue estos pasos para inhabilitar una IP externa:

  1. Para habilitar el Acceso privado a Google en la subred de VPC que se usa en el conector IAP, marca la casilla en la configuración. Si deseas obtener información adicional, consulta Acceso privado a Google.
  2. Asegúrate de que la configuración de firewall de la red de VPC permita el acceso de las VM a las direcciones IP que usan las API y los servicios de Google. De forma predeterminada, esto se permite de forma predeterminada, pero los usuarios pueden cambiarlo de forma explícita. Si deseas obtener información sobre cómo encontrar el rango de IP, consulta Direcciones IP para dominios predeterminados.

Implementa un conector para una app local

1. Ve a la página de administrador de IAP.

   Ir a la página de administrador de IAP

2. Comienza a configurar la implementación del conector para una app local mediante un clic en Configuración de conectores locales.

3. Asegúrate de que las API necesarias se carguen haciendo clic en Habilitar las API.

4. Elige si la implementación debe usar un certificado administrado por Google o uno administrado por ti, selecciona la red y la subred de la implementación (o elige crear una nueva) y, luego, haz clic en Siguiente.

5. Ingresa los detalles de una app local que quieras agregar:

   • La URL externa de las solicitudes que llegan a Google Cloud. Esta URL es en la que el tráfico ingresa al entorno.
   • Un nombre para la app. También se usará como nombre de un servicio de backend nuevo detrás del balanceador de cargas.
   • El tipo de extremo local y sus detalles:
     • Nombre de dominio completamente calificado (FQDN): Es el dominio en el que el conector debe reenviar el tráfico.
     • Dirección IP: Una o más zonas en las que se debe implementar el conector IAP (por ejemplo, us-central1-a) y, para cada una, la dirección IPv4 del destino interno de la app local a la que IAP enruta el tráfico después de que se haya autorizado y autenticado un usuario.
   • El protocolo que usa el extremo local.
   • El número de puerto que usa el extremo local, como 443 para HTTPS u 80 para HTTP.

6. Haz clic en Listo a fin de guardar los detalles de esa app. Si lo deseas, puedes definir apps locales adicionales para la implementación.

7. Cuando estés listo, haz clic en Enviar para comenzar la implementación de las apps que definiste.

Una vez que se complete la implementación, las apps del conector local aparecerán en la tabla Recursos HTTP y se podrá habilitar IAP.

Si decides permitir que Google genere y administre los certificados de forma automática, es posible que los certificados tarden unos minutos en aprovisionarse. Puedes verificar el estado en la página de detalles de Cloud Load Balancing. Para obtener más información sobre el estado, consulta la página de solución de problemas.

Administra un conector para una app local

• Puedes agregar más apps a la implementación en cualquier momento. Para ello, haz clic en Configuración de conectores locales.

• Puedes borrar el conector local si borras toda la implementación:

  1. Ve a la página Deployment Manager.

     Ir a la página de Deployment Manager

  2. En la lista de implementaciones, selecciona la casilla de verificación junto a la implementación.

  3. En la parte superior de la página, haz clic en Borrar.

• Puedes borrar una app individual si haces clic en el botón de borrar en la configuración de conectores locales. El conector local debe contener al menos una app. Para quitar todas las apps, borra toda la implementación.

Próximos pasos

• Aplica reglas de contexto más completas mediante la aplicación de niveles de acceso.
• Para ver las solicitudes de acceso, habilita los registros de auditoría de Cloud.
• Obtenga más información sobre IAP.