Como proteger aplicativos e recursos no local com o IAP

Neste guia, você aprenderá como proteger um app local baseado em HTTP ou HTTPS fora do Google Cloud usando o Identity-Aware Proxy (IAP) por meio da implantação de um conector do IAP.

Antes de começar

Antes de começar, os seguintes itens são necessários:

  • Um app local baseado em HTTP ou HTTPS.
  • Ter um membro do Cloud Identity com o papel proprietário no seu projeto do Google Cloud.
  • Conceder o papel de proprietário a um agente de serviço de APIs do Google.
  • ter um projeto do Google Cloud com o faturamento ativado;
  • Uma licença do BeyondCorp Enterprise.
  • O URL externo a ser usado como ponto de entrada para o tráfego no Google Cloud. Por exemplo, www.hr-domain.com.
  • ter um certificado SSL ou TLS para o nome do host de DNS que será usado como ponto de entrada do tráfego para o Google Cloud. É possível usar um certificado autogerenciado ou gerenciado pelo Google que você já tenha. Se você ainda não tem um certificado, crie um usando a Let's Encrypt (em inglês).
  • Se o VPC Service Controls estiver ativado, use uma rede VPC com uma política de saída na ação cp da conta de serviço da VM para o bucket gce-mesh, que está no projeto 278958399328. Isso concede à rede VPC permissão para recuperar o arquivo binário Envoy do bucket gce-mesh. A permissão será concedida por padrão se o VPC Service Controls não estiver ativado.
  • Desative um IP externo concluindo as seguintes etapas:

    1. Ative o Acesso privado do Google na sub-rede VPC usada para o conector do IAP marcando a caixa na configuração. Para mais informações, consulte Acesso privado do Google.
    2. Verifique se a configuração do firewall da rede VPC permite acesso das VMs aos endereços IP usados pelas APIs e serviços do Google. Isso é implicitamente permitido por padrão, mas pode ser alterado explicitamente pelos usuários. Veja informações sobre como encontrar o intervalo de IP em Endereços IP para domínios padrão.

Implante um conector para um app no local

  1. Acesse a página de administrador do IAP.

    Acessar a página de administrador do IAP

  2. Comece a configurar a implantação do conector em um app no local clicando em Configuração de conectores no local.

  3. Verifique se as APIs necessárias estão carregadas clicando em Ativar APIs.

  4. Escolha se a implantação usará um certificado gerenciado pelo Google ou um gerenciado por você, selecione a rede e a sub-rede para a implantação (ou crie um novo) e clique em Avançar.

  5. Insira os detalhes de um aplicativo no local que você quer adicionar:

    • o URL externo das solicitações que chegam ao Google Cloud. Esse URL é por onde o tráfego entra no ambiente;
    • um nome para o aplicativo. Ele também será usado como o nome de um novo serviço de back-end por trás do balanceador de carga.
    • O tipo de endpoint local e os detalhes dele:
      • FQDN: o domínio para onde o conector deve encaminhar o tráfego. Região: a região onde o conector será implantado.
      • Endereço IP: a região onde o conector será implantado. Por exemplo, us-central. Uma ou mais zonas em que o conector do IAP precisa ser implantado (por exemplo, us-central1-a). Para cada uma, o endereço IPv4 do destino interno do app local em que o IAP encaminha o tráfego depois de o usuário ter sido autorizado e autenticado.
    • O protocolo que você quer usar. Também é necessário inserir um valor de porta, como 443 para HTTPS ou 80 para HTTP.
    • A porta usada para acessar os destinos internos.
  6. clique em Concluído para salvar os detalhes do app. Se você quiser, defina mais aplicativos locais para a implantação.

  7. Quando tudo estiver pronto, clique em Enviar para começar a implantação dos apps que você definiu.

Após a conclusão da implantação, os apps de conector no local aparecerão na tabela Recursos HTTP, e o IAP poderá ser ativado.

Se você optar por permitir que o Google gere e gerencie automaticamente os certificados, pode levar alguns minutos para que os certificados sejam provisionados. Verifique o status na página de detalhes do Cloud Load Balancing. Para mais informações sobre o status, consulte a página de solução de problemas.

Gerencie um conector para um app no local

  • É possível adicionar mais aplicativos à sua implantação a qualquer momento clicando em Configuração de conectores no local.
  • É possível excluir o conector local excluindo toda a implantação:

    1. Acesse a página do Deployment Manager.

      Acessar a página do Deployment Manager

    2. Na lista de implantações, marque a caixa de seleção ao lado da implantação "on-prem-app-deployment".

    3. No topo da página, clique em Excluir.

  • É possível excluir um app individual clicando no botão "Excluir" na configuração dos conectores locais. O conector local precisa conter pelo menos um app. Para remover todos os apps, exclua toda a implantação.

Próximas etapas