Protezione delle applicazioni non Google Cloud utilizzando il connettore on-prem

Questa guida spiega come proteggere un'app on-premise basata su HTTP o HTTPS all'esterno di Google Cloud con Identity-Aware Proxy (IAP) eseguendo il deployment di un connettore IAP.

Prima di iniziare

Prima di iniziare, occorre quanto segue:

Un'app on-premise basata su HTTP o HTTPS.
Un membro di Cloud Identity ha concesso il ruolo Proprietario al tuo progetto Google Cloud.
Agente di servizio API di Google con ruolo di proprietario concesso.
Un progetto Google Cloud con fatturazione abilitata.
Una licenza BeyondCorp Enterprise.
L'URL esterno da utilizzare come punto di ingresso per il traffico verso Google Cloud. Ad esempio, www.hr-domain.com.
Un certificato SSL o TLS per il nome host DNS utilizzato come punto di ingresso per il traffico verso Google Cloud. È possibile utilizzare un certificato autogestito o gestito da Google esistente. Se non hai un certificato, creane uno utilizzando Let's Encrypt.
Se i Controlli di servizio VPC sono abilitati, una rete VPC con un criterio in uscita sull'azione cp per l'account di servizio VM al bucket gce-mesh, che si trova nel progetto 278958399328. Questo ruolo concede alla rete VPC l'autorizzazione per recuperare il file binario Envoy dal bucket gce-mesh. L'autorizzazione viene concessa per impostazione predefinita se i Controlli di servizio VPC non sono abilitati.
Per disattivare un IP esterno:
1. Abilita l'accesso privato Google sulla subnet VPC utilizzata per il connettore IAP selezionando la casella nella configurazione. Per ulteriori informazioni, consulta l'articolo sull'accesso privato Google.
2. Assicurati che la configurazione del firewall della rete VPC consenta l'accesso dalle VM agli indirizzi IP utilizzati dalle API e dai servizi Google. Questa opzione è implicitamente consentita per impostazione predefinita, ma può essere modificata esplicitamente dagli utenti. Per informazioni su come trovare l'intervallo IP, vedi Indirizzi IP per i domini predefiniti.

Esegui il deployment di un connettore per un'app on-premise

Vai alla pagina di amministrazione di IAP.

Vai alla pagina di amministrazione IAP
Inizia a configurare il deployment del connettore per un'app on-premise facendo clic su Configurazione dei connettori on-prem.
Fai clic su Abilita API per assicurarti che le API richieste siano caricate.
Scegli se il deployment deve utilizzare un certificato gestito da Google o un certificato gestito da te, seleziona la rete e la subnet per il deployment (o scegli di crearne uno nuovo) e fai clic su Avanti.
Inserisci i dettagli per un'app on-premise che vuoi aggiungere:
- L'URL esterno delle richieste in arrivo a Google Cloud. Questo URL è la pagina in cui il traffico entra nell'ambiente.
- Nome dell'app. Verrà utilizzato anche come nome di un nuovo servizio di backend dietro il bilanciatore del carico.
- Il tipo di endpoint on-prem e i relativi dettagli:
  - Nome di dominio completo (FQDN): il dominio in cui il connettore deve inoltrare il traffico.
  - Indirizzo IP: una o più zone in cui eseguire il deployment del connettore IAP (ad esempio us-central1-a) e, per ciascuna, l'indirizzo IPv4 della destinazione interna per l'app on-premise verso cui IAP instrada il traffico dopo che un utente è stato autorizzato e autenticato.
  Nota: se l'endpoint on-prem è un indirizzo IP, valuta la possibilità di utilizzare un gruppo di endpoint di rete con connettività ibrida direttamente con un bilanciatore del carico, invece di utilizzare il connettore on-prem IAP.
- Il protocollo utilizzato dall'endpoint on-prem.
- Il numero di porta utilizzato dall'endpoint on-prem, ad esempio 443 per HTTPS o 80 per HTTP.
Fai clic su Fine per salvare i dettagli dell'app. Se vuoi, puoi definire altre app on-premise per il deployment.
Quando è tutto pronto, fai clic su Invia per avviare il deployment delle app che hai definito.

Al termine del deployment, le app del connettore on-prem vengono visualizzate nella tabella Risorse HTTP e puoi abilitare IAP.

Se scegli di consentire a Google di generare e gestire i certificati automaticamente, il provisioning dei certificati potrebbe richiedere alcuni minuti. Puoi controllare lo stato nella pagina dei dettagli di Cloud Load Balancing. Per ulteriori informazioni sullo stato, consulta la pagina per la risoluzione dei problemi.

Gestisci un connettore per un'app on-premise

Puoi aggiungere altre app al tuo deployment in qualsiasi momento facendo clic su Configurazione dei connettori on-prem.
Puoi eliminare il connettore on-premise eliminando l'intero deployment:
1. Vai alla pagina di Deployment Manager.
  
  Vai alla pagina di Deployment Manager
2. Nell'elenco dei deployment, seleziona la casella di controllo accanto al deployment "on-prem-app-deployment".
3. Nella parte superiore della pagina, fai clic su Elimina.
Puoi eliminare una singola app facendo clic sul pulsante Elimina nella configurazione dei connettori on-prem. Il connettore on-premise deve contenere almeno un'app. Per rimuovere tutte le app, elimina l'intero deployment.

Passaggi successivi

Imposta regole di contesto più complete applicando i livelli di accesso.
Visualizza le richieste di accesso abilitando Cloud Audit Logs.
Scopri di più su IAP.