Como proteger aplicativos que não são do Google Cloud usando o conector local

Neste guia, explicamos como proteger um app local baseado em HTTP ou HTTPS fora do Google Cloud com o Identity-Aware Proxy (IAP) implantando um conector do IAP.

Antes de começar

Antes de começar, você precisa do seguinte:

  • Um app HTTP ou HTTPS baseado no local.
  • Um membro do Cloud Identity concedeu o papel Proprietário no seu projeto do Google Cloud.
  • Agente de serviço das APIs do Google com o papel de proprietário.
  • Ter um projeto do Google Cloud com o faturamento ativado.
  • Uma licença do BeyondCorp Enterprise.
  • O URL externo a ser usado como ponto de entrada para o tráfego para o Google Cloud. Por exemplo, www.hr-domain.com;
  • Um certificado SSL ou TLS para o nome do host DNS que é usado como o ponto de entrada de tráfego para o Google Cloud. É possível usar um certificado atual autogerenciado ou gerenciado pelo Google. Se você não tem um certificado, crie um usando a Let's Encrypt.
  • Se o VPC Service Controls estiver ativado, uma rede VPC com uma política de saída na ação cp da conta de serviço da VM para o bucket gce-mesh, que está no projeto 278958399328. Isso concede à rede VPC permissão para recuperar o arquivo binário Envoy do bucket gce-mesh. A permissão será concedida por padrão se o VPC Service Controls não estiver ativado.

  • Desative um IP externo concluindo estas etapas:

    1. Ative o Acesso privado do Google na sub-rede VPC usada para o conector do IAP marcando a caixa na configuração. Veja mais informações em Acesso privado do Google.
    2. Verifique se a configuração do firewall da rede VPC permite acesso das VMs aos endereços IP usados pelas APIs e serviços do Google. Isso é implicitamente permitido por padrão, mas pode ser alterado explicitamente pelos usuários. Veja informações sobre como encontrar o intervalo de IP em Endereços IP para domínios padrão.

Implantar um conector para um aplicativo local

  1. Acesse a página Administrador do IAP.

    Acessar a página de administração do IAP

  2. Para começar a configurar a implantação do conector em um aplicativo local, clique em Configuração de conectores locais.

  3. Verifique se as APIs necessárias foram carregadas clicando em Ativar APIs.

  4. Escolha se a implantação usará um certificado gerenciado pelo Google ou um gerenciado por você, selecione a rede e a sub-rede para a implantação ou crie um novo e clique em Avançar.

  5. Digite os detalhes de um app local que você quer adicionar:

    • O URL externo das solicitações que chegam ao Google Cloud. É nesse URL que o tráfego entra no ambiente.
    • Um nome para o aplicativo. Ele também será usado como o nome de um novo serviço de back-end por trás do balanceador de carga.
    • O tipo de endpoint local e os detalhes dele:
      • Nome de domínio totalmente qualificado (FQDN, na sigla em inglês): o domínio para onde o conector deve encaminhar o tráfego.
      • Endereço IP: uma ou mais zonas em que o conector do IAP deve ser implantado (por exemplo, us-central1-a) e, para cada, o endereço IPv4 do destino interno do aplicativo local para que o IAP encaminha o tráfego depois que um usuário é autorizado e autenticado.
    • O protocolo usado pelo endpoint no local.
    • O número da porta usado pelo endpoint no local, como 443 para HTTPS ou 80 para HTTP.

  6. Clique em Concluído para salvar os detalhes do aplicativo. Se quiser, você pode definir aplicativos locais adicionais para a implantação.

  7. Quando estiver tudo pronto, clique em Enviar para iniciar a implantação dos aplicativos que você definiu.

Quando a implantação estiver concluída, os apps do conector no local serão exibidos na tabela de recursos HTTP, e o IAP poderá ser ativado.

Se você optar por permitir que o Google gere e gerencie automaticamente os certificados, pode levar alguns minutos para que os certificados sejam provisionados. Verifique o status na página de detalhes do Cloud Load Balancing. Para mais informações sobre o status, consulte a página de solução de problemas.

Gerenciar um conector para um app local

  • É possível adicionar mais aplicativos à implantação a qualquer momento clicando em Configuração de conectores locais.

  • É possível excluir o conector local excluindo toda a implantação:

    1. Acesse a página do Deployment Manager.

      Acessar a página do Deployment Manager

    2. Na lista de implantações, marque a caixa de seleção ao lado de ""on-prem-app-deployment" implantação".

    3. Na parte superior da página, clique em Excluir.

  • É possível excluir um app individual clicando no botão "Excluir" na configuração dos conectores locais O conector local precisa conter pelo menos um app. Para remover todos os apps, exclua toda a implantação.

A seguir