使用 IAP 保护本地应用和资源

本指南介绍如何通过部署 IAP 连接器使用 Identity-Aware Proxy (IAP) 保护 Google Cloud 外部基于 HTTP 或 HTTPS 的本地应用的安全。

准备工作

在开始之前,您需要做好以下准备:

  • 基于 HTTP 或 HTTPS 的本地应用。
  • Cloud Identity 成员已授予您 Google Cloud 项目的 Owner 角色
  • 向 Google API 服务代理授予了 Owner 角色。
  • 启用了结算功能的 Google Cloud 项目。
  • BeyondCorp Enterprise 许可。
  • 用作 Google Cloud 流量入站点的外部网址。例如 www.hr-domain.com
  • DNS 主机名的 SSL 或 TLS 证书,用作到 Google Cloud 的流量入站点。可以使用现有的自行管理证书或由 Google 管理的证书。如果您没有证书,请使用 Let's Encrypt 创建一个。
  • 如果启用了 VPC Service Controls,则 VPC 网络将出站流量政策oncp虚拟机服务帐号对 gce-mesh 存储分区的操作,位于项目 278958399328 中。这将授予 VPC 网络从 gce-mesh 存储分区检索 Envoy 二进制文件的权限。如果未启用 VPC Service Controls,则默认授予权限。
  • 通过完成以下步骤停用外部 IP:

    1. 通过勾选配置中的复选框,在用于 IAP 连接器的 VPC 子网上启用专用 Google 访问通道。如需了解详情,请参阅专用 Google 访问通道
    2. 确保 VPC 网络的防火墙配置允许从虚拟机访问 Google API 和服务使用的 IP 地址。默认情况下隐式允许此操作,但用户可以显式更改。如需了解如何查找 IP 范围,请参阅默认网域的 IP 地址

为本地应用部署连接器

  1. 转到 IAP 管理页面

    转到 IAP 管理页面

  2. 点击本地连接器设置,开始为本地应用设置连接器部署。

  3. 通过点击启用 API 确保加载所需的 API。

  4. 选择部署应使用 Google 管理的证书还是由您管理的证书,接下来选择部署的网络和子网(或选择创建新的网络和子网),然后点击下一步

  5. 输入要添加的本地应用的详细信息:

    • 发往 Google Cloud 的请求的外部网址。该网址是流量进入环境的位置。
    • 应用的名称。它还将用作负载平衡器后的新后端服务的名称。
    • 本地端点类型及其详细信息:
      • FQDN:连接器应在其中转发流量的网域。区域:连接器应部署到的区域。
      • IP 地址:连接器应部署到的区域。例如 us-central。IAP 连接器应部署到的一个或多个可用区(例如 us-central1-a),以及对于每个可用区,本地应用的内部目标位置的 IPv4 地址。当用户获得授权并进行身份验证后,IAP 会将流量路由到这些地址。
    • 您要使用的协议。您还必须输入端口值,例如 443(对于 HTTPS)或 80(对于 HTTP)。
    • 用于访问内部目标的端口。
  6. 点击完成以保存该应用的详细信息。如有需要,您可以为部署定义其他本地应用。

  7. 准备就绪后,点击提交以开始部署您已定义的应用。

部署完成后,本地连接器应用将显示在 HTTP 资源表中,并可启用 IAP。

如果您选择让 Google 自动生成和管理证书,供应证书可能需要几分钟时间。您可以在 Cloud Load Balancing 详细信息页面上查看状态。如需详细了解这些状态,请参阅“问题排查”页面

管理本地应用的连接器

  • 您可以点击本地连接器设置来随时向部署添加更多应用。
  • 您可以通过删除整个部署来删除本地连接器:

    1. 转到 Deployment Manager 页面

      转到 Deployment Manager 页面

    2. 在部署列表中,选中“on-prem-app-deployment”部署旁边的复选框。

    3. 点击页面顶部的删除

  • 您可以通过点击本地连接器设置中的删除按钮来删除个别应用。本地连接器必须至少包含一个应用。如需移除所有应用,请删除整个部署。

后续步骤