IAP によるオンプレミス アプリとリソースの保護

このガイドでは、IAP コネクタをデプロイして、Google Cloud の外部にある HTTP ベースのオンプレミス アプリを Identity-Aware Proxy(IAP)で保護する方法について説明します。

始める前に

始める前に、次のものが必要になります。

  • 独自の IAP インスタンスを持つ HTTP ベースのオンプレミス アプリ。
  • Google Cloud プロジェクトでオーナー役割が付与されている Cloud Identity メンバー。
  • 課金を有効にした Google Cloud プロジェクト
  • Google Cloud へのトラフィックの受信ポイントとして使用する DNS ホスト名。例:www.hr-domain.com
  • Google Cloud へのトラフィックの受信ポイントとして使用する DNS ホスト名の SSL 証明書または TLS 証明書。既存のセルフマネージドまたは Google 管理の証明書を使用できます。証明書がない場合は、Let's Encrypt を使用して証明書を作成してください。

オンプレミス アプリのコネクタをデプロイする

  1. IAP 管理ページに移動します。

    IAP 管理ページに移動

  2. [オンプレミス コネクタのセットアップ] をクリックして、オンプレミス アプリのコネクタデプロイの設定を開始します。

  3. [API を有効にする] をクリックして、必要な API が読み込まれていることを確認します。

  4. デプロイで Google マネージド証明書を使用するか、自分で管理する証明書を使用するかを選択し、[次へ] をクリックします。

  5. 追加するオンプレミス アプリの詳細を入力します。

    • Google Cloud に送信されるリクエストの外部 URL。トラフィックはこの URL から環境内に入ります。
    • アプリの名前。ロードバランサの背後にある新しいバックエンド サービスの名前としても使用されます。
    • コネクタをデプロイするリージョン。例: us-central
    • IAP コネクタをデプロイする 1 つ以上のゾーン(例: us-central1-a)、それぞれにオンプレミス アプリの内部宛先の IPv4 アドレス。ユーザーが承認および認証された後、IAP はここにトラフィックをルーティングします。
    • 内部宛先へのアクセスに使用されるポート。
  6. [完了] をクリックしてアプリの詳細を保存します。必要に応じて、デプロイ用のオンプレミス アプリを追加で定義できます。

  7. 準備ができたら、[送信] をクリックして、定義したアプリのデプロイを開始します。

デプロイが完了すると、オンプレミスのコネクタアプリが HTTP リソースの表に表示され、IAP が有効になります。

オンプレミス アプリのコネクタを管理する

  • [オンプレミスのコネクタのセットアップ] をクリックすると、いつでもデプロイにアプリを追加できます。
  • オンプレミス コネクタアプリを削除するには、デプロイ全体を削除します。

    1. Deployment Manager のページに移動します。

      Deployment Manager のページに移動

    2. デプロイのリストで、「on-prem-app-deployment」デプロイの横にあるチェックボックスをオンにします。

    3. ページの上部にある [削除] をクリックします。

次のステップ