Protege apps y recursos locales con IAP

En esta guía, se explica cómo proteger una aplicación local basada en HTTP o HTTPS fuera de Google Cloud con Identity-Aware Proxy (IAP) mediante la implementación de un conector IAP.

Antes de comenzar

Antes de comenzar, necesitas lo siguiente:

  • Una app HTTP o HTTPS basada en una app local.
  • Que un miembro de Cloud Identity haya otorgado la función Propietario a tu proyecto de Google Cloud
  • Un proyecto de Google Cloud con facturación habilitada
  • Una licencia de BeyondCorp Enterprise.
  • La URL externa que se usará como punto de entrada para el tráfico a Google Cloud. Por ejemplo, www.hr-domain.com.
  • Un certificado SSL o TLS para el nombre de host DNS que se usa como punto de entrada para el tráfico a Google Cloud. Se puede usar un certificado autoadministrado o administrado por Google existente. Si no tienes un certificado, crea uno con Let's Encrypt
  • Si los Controles del servicio de VPC están habilitados, una red de VPC con unapolítica de salida cp acción para la cuenta de servicio de VM al depósito gce-mesh, que se encuentra en el proyecto 278958399328. Esto otorga al permiso de red de VPC para recuperar el archivo binario de Envoy del depósito gce-mesh. El permiso se otorga de forma predeterminada si los Controles del servicio de VPC no están habilitados.

Implementa un conector para una app local

  1. Ve a la página de administrador de IAP.

    Ir a la página de administrador de IAP

  2. Comienza a configurar la implementación del conector para una aplicación local. mediante un clic en Configuración de conectores locales.

  3. Asegúrate de que las API necesarias se carguen. Para ello, haz clic en Habilitar las API.

  4. Elige si la implementación debe usar un certificado administrado por Google o uno que tú administras, selecciona la red y la subred para la implementación (o elige crear uno nuevo) y haz clic en Siguiente.

  5. Ingresa los detalles de una app local que quieras agregar:

    • La URL externa de las solicitudes que llegan a Google Cloud. Esta URL es por donde ingresa el tráfico al entorno.
    • Un nombre para la aplicación. También se usará como el nombre de un servicio de backend nuevo detrás del balanceador de cargas.
    • El tipo de extremo local y sus detalles:
      • FQDN: El dominio en el que el conector debe reenviar el tráfico. Región: la región donde debe implementarse el conector.
      • Dirección IP: la región donde se debe implementar el conector. Por ejemplo, us-central. Una o más zonas en las que se debe implementar el conector IAP (por ejemplo, us-central1-a) y, para cada una, la dirección IPv4 del destino interno de la aplicación local a la que IAP direcciona el tráfico después de que un usuario haya sido autorizado y autenticado.
    • El protocolo que deseas usar. También debes ingresar un valor de puerto, como 443 para HTTPS o 80 para HTTP.
    • El puerto que se usa para acceder a los destinos internos.
  6. Haz clic en Listo para guardar los detalles de esa app. Si lo deseas, puedes definir aplicaciones locales adicionales para la implementación.

  7. Cuando estés listo, haz clic en Enviar para comenzar la implementación de las apps que definiste.

Una vez completada la implementación, tus aplicaciones de conectores locales aparecerán en la tabla Recursos HTTP y IAP podrá habilitarse.

Si decides permitir que Google genere y administre los certificados de forma automática, los certificados pueden tardar unos minutos en aprovisionarse. Puedes verificar el estado en la página de detalles de Cloud Load Balancing. Para obtener más información sobre el estado, consulta la página de solución de problemas.

Administra un conector para una app local

  • Puedes agregar más aplicaciones a tu implementación en cualquier momento. Para ello, haz clic en Configuración de conectores locales.
  • Solo puedes borrar una app de conector local. Para ello, borra toda la implementación:

    1. Ve a la página Deployment Manager.

      Ir a la página de Deployment Manager

    2. En la lista de implementaciones, selecciona la casilla de verificación junto a la implementación “on-prem-app-deployment”.

    3. En la parte superior de la página, haz clic en Borrar.

Próximos pasos