このガイドでは、IAP コネクタをデプロイして、Google Cloud の外部にある HTTP または HTTPS ベースのオンプレミス アプリを Identity-Aware Proxy(IAP)で保護する方法について説明します。
始める前に
始める前に、次のものが必要になります。
- HTTP または HTTPS ベースのオンプレミス アプリ。
- Google Cloud プロジェクトでオーナー役割が付与されている Cloud Identity メンバー。
- Google API サービス エージェントにオーナー役割が付与されている。
- 課金を有効にした Google Cloud プロジェクト
- BeyondCorp Enterprise ライセンス。
- Google Cloud へのトラフィックの受信ポイントとして使用する外部 URL。例:
www.hr-domain.com
- Google Cloud へのトラフィックの受信ポイントとして使用する DNS ホスト名の SSL 証明書または TLS 証明書。既存のセルフマネージドまたは Google 管理の証明書を使用できます。証明書がない場合は、Let's Encrypt を使用して証明書を作成してください。
- VPC Service Controls が有効になっている場合、gce-mesh バケット(プロジェクト 278958399328 に存在)への VM サービス アカウントの
cp
アクションに対する下り(外向き)ポリシーが設定された VPC ネットワーク。これにより、gce-mesh バケットから Envoy バイナリ ファイルを取得する権限が VPC ネットワークに付与されます。この権限は、VPC Service Controls が有効になっていない場合、デフォルトで付与されます。 次の手順を行って、外部 IP を無効にします。
- 構成のチェックボックスをオンにして、IAP コネクタに使用される VPC サブネットで [限定公開の Google アクセス] を有効にします。詳細については、限定公開の Google アクセスをご覧ください。
- VPC ネットワークのファイアウォール構成で、VM から Google API とサービスで使用される IP アドレスへのアクセスを許可します。これはデフォルトでは暗黙的に許可されますが、ユーザーが明示的に変更できます。IP 範囲を確認する方法については、デフォルト ドメインの IP アドレスをご覧ください。
オンプレミス アプリのコネクタのデプロイ
IAP 管理ページに移動します。
[オンプレミス コネクタのセットアップ] をクリックして、オンプレミス アプリのコネクタデプロイの設定を開始します。
[API を有効にする] をクリックして、必要な API が読み込まれていることを確認します。
デプロイで Google が管理する証明書とユーザーが管理する証明書のどちらを使用するかを選択し、デプロイのネットワークとサブネットを選択して(または新しいものを作成することを選択)、[次へ] をクリックします。
追加するオンプレミス アプリの詳細を入力します。
- Google Cloud に送信されるリクエストの外部 URL。トラフィックはこの URL から環境内に入ります。
- アプリの名前。ロードバランサの背後にある新しいバックエンド サービスの名前としても使用されます。
オンプレミスのエンドポイントのタイプとその詳細:
- 完全修飾ドメイン名(FQDN): コネクタがトラフィックを転送するドメイン。
- IP アドレス: IAP コネクタをデプロイする 1 つ以上のゾーン(例:
us-central1-a
)、それぞれのオンプレミス アプリの内部宛先の IPv4 アドレス。ユーザーが承認および認証された後、IAP はここにトラフィックをルーティングします。
オンプレミス エンドポイントで使用されるプロトコル。
オンプレミス エンドポイントで使用されるポート番号(HTTPS の場合は 443、HTTP の場合は 80 など)。
[完了] をクリックしてアプリの詳細を保存します。必要に応じて、デプロイ用のオンプレミス アプリを追加で定義できます。
準備ができたら、[送信] をクリックして、定義したアプリのデプロイを開始します。
デプロイが完了すると、オンプレミスのコネクタアプリが HTTP リソースの表に表示され、IAP が有効になります。
Google に証明書の自動生成と管理を任せる場合は、証明書のプロビジョニングに数分かかることがあります。Cloud Load Balancing の詳細ページでステータスを確認できます。ステータスの詳細については、トラブルシューティング ページをご覧ください。
オンプレミス アプリのコネクタの管理
- [オンプレミスのコネクタのセットアップ] をクリックすると、いつでもデプロイにアプリを追加できます。
オンプレミス コネクタを削除するには、デプロイ全体を削除します。
Deployment Manager のページに移動します。
デプロイのリストで、「on-prem-app-deployment」デプロイの横にあるチェックボックスをオンにします。
ページの上部にある [削除] をクリックします。
個別のアプリを削除するには、オンプレミス コネクタのセットアップの削除ボタンをクリックします。オンプレミス コネクタには少なくとも 1 つのアプリが含まれている必要があります。すべてのアプリを削除するには、デプロイ全体を削除してください。
次のステップ
- アクセスレベルを適用して、より詳細なコンテキスト ルールを設定する。
- Cloud Audit Logs を有効にするでアクセス リクエストを確認する。
- IAP の詳細について学習する。