本指南介绍了如何通过部署 IAP 连接器,使用 Identity-Aware Proxy (IAP) 保护 Google Cloud 外部基于 HTTP 或 HTTPS 的本地应用。
开始前须知
在开始之前,您需要完成以下操作:
- 基于本地应用的 HTTP 或 HTTPS。
- Cloud Identity 成员对您的 Google Cloud 项目授予了 Owner 角色。
- 向 Google API 服务代理授予了所有者角色。
- 一个启用结算功能的 Google Cloud 项目。
- BeyondCorp Enterprise 许可。
- 用作 Google Cloud 流量入站点的外部网址。例如
www.hr-domain.com。 - 用作 Google Cloud 流量入站点的 DNS 主机名的 SSL 或 TLS 证书。您可以使用现有的自行管理或 Google 管理的证书。如果您没有证书,请使用 Let's Encrypt 创建一个。
- 如果启用了 VPC Service Controls,对于虚拟机虚拟机服务帐号而言,对
cp存储分区具有出站政策的 VPC 网络具有位于 278958399328 项目的 gce-mesh 存储分区。此角色会授予 VPC 网络从 gce-mesh 存储分区检索 Envoy 二进制文件的权限。如果未授予 VPC Service Controls,则默认授予权限。 完成以下步骤,停用外部 IP:
- 勾选相应复选框,在用于 IAP 连接器的 VPC 子网上启用专用 Google 访问通道。如需了解详情,请参阅专用 Google 访问通道。
- 确保 VPC 网络的防火墙配置允许从虚拟机访问 Google API 和服务使用的 IP 地址。默认情况下默认允许这样做,但用户可以显式更改。如需了解如何查找 IP 地址范围,请参阅默认网域的 IP 地址。
为本地应用部署连接器
转到 IAP 管理页面。
点击本地连接器设置,开始为本地应用设置连接器部署。
点击启用 API,确保已加载必需的 API。
选择部署应使用 Google 管理的证书或由您管理的证书,选择部署的网络和子网(或选择创建新证书),然后点击下一步。
输入要添加的本地应用的详细信息:
- 访问 Google Cloud 的请求的外部网址。此网址就是流量进入环境的位置。
- 应用的名称。它也将用作负载平衡器后的新后端服务的名称。
- 本地端点类型及其详细信息:
- 完全限定域名 (FQDN):连接器应转发流量的网域。
- IP 地址:应部署 IAP 连接器的一个或多个区域(例如
us-central1-a),每个区域,在用户授权和进行身份验证后,IAP 将流量路由到的本地应用的内部目的地的 IPv4 地址。
- 本地端点使用的协议。
- 本地端点使用的端口号,例如 443 表示 HTTPS,80 表示 HTTP。
点击 Done 以保存该应用的详细信息。如果需要,您可以为部署定义其他本地应用。
准备就绪后,点击提交以开始部署您已定义的应用。
部署完成后,您的本地连接器应用会显示在 HTTP 资源表中,您可以启用 IAP。
如果您选择让 Google 自动生成和管理证书,预配证书可能需要几分钟的时间。您可以在 Cloud Load Balancing 详情页面查看状态。如需详细了解状态,请参阅问题排查页面。
管理本地应用的连接器
- 通过点击本地连接器设置,您可以随时向部署添加更多应用。
您可以通过删除整个部署来删除本地连接器:
在部署列表中,选中“on-prem-app-deployment”部署旁边的复选框。
点击页面顶部的删除
您可以在本地连接器设置中点击删除按钮,删除单个应用。本地连接器必须至少包含一个应用。如需移除所有应用,请删除整个部署。
后续步骤
- 通过应用访问权限级别设置更丰富的上下文规则。
- 通过启用 Cloud Audit Logs 查看访问权限请求。
- 详细了解 IAP。