Identity Aware Proxy(IAP)を使用すると、Google Cloud の外部にある HTTP ベースアプリへのアクセスを管理できます。これには、企業のデータセンター内にあるオンプレミスのアプリも含まれます。
IAP でオンプレミス アプリを保護する方法については、オンプレミス アプリで IAP を設定するをご覧ください。
はじめに
IAP は、IAP オンプレミス コネクタを使用してオンプレミス アプリをターゲットにします。オンプレミス コネクタは、Cloud Deployment Manager テンプレートを使用して、IAP オンプレミス コネクタをホストして IAP 対応の Google Cloud プロジェクトにデプロイするために必要なリソースを作成し、認証および承認済みのリクエストをオンプレミス アプリに転送します。
オンプレミス コネクタは次のリソースを作成します。
- オンプレミス アプリのプロキシとして機能する Traffic Director のデプロイメント。
- リクエストに対する上り(内向き)コントローラとして機能する外部アプリケーション ロードバランサ。
- ルーティング ルール。
デプロイメントには、1 つの外部アプリケーション ロードバランサの背後で実行される複数の Traffic Director バックエンド サービスを含めることができます。バックエンド サービスはそれぞれ、個々のオンプレミス アプリにマッピングされます。
IAP オンプレミス コネクタがデプロイされ、新しく作成されたオンプレミス コネクタ バックエンド サービスで IAP が有効になっている場合、IAP は ID とコンテキスト ベースの ID アクセス管理(IAM)およびアクセス ポリシーでアプリを保護します。IAM のアクセス ポリシーはバックエンド サービスのリソースレベルで構成されるため、オンプレミス アプリごとに異なるアクセス制御リストを使用できます。つまり、複数のオンプレミス アプリへのアクセスを管理するために必要な Google Cloud プロジェクトは 1 つだけです。
オンプレミス アプリ用 IAP の仕組み
Google Cloud にホストされているアプリにリクエストが送信されると、IAP はユーザーのリクエストを認証して承認します。その後、Google Cloud アプリへのアクセス権をユーザーに付与します。
リクエストがオンプレミス アプリに送信されると、IAP はユーザーのリクエストを認証して承認します。その後、リクエストを IAP オンプレミス コネクタにルーティングします。IAP オンプレミス コネクタは、ハイブリッド接続ネットワーク エンドポイント グループを介して Google Cloud からオンプレミス ネットワークにリクエストを転送します。
次の図は、Google Cloud アプリ(app1)とオンプレミス アプリ(app2)のウェブ リクエストのトラフィック フローを簡単に示しています。
ルーティング ルール
IAP コネクタ デプロイを構成するときに、ルーティング ルールを構成します。ルーティング ルールにより、DNS ホスト名の受信ポイントに到達した認証および承認済みのウェブ リクエストを、その宛先となっている DNS ホスト名にルーティングします。
次の例は、IAP コネクタの Deployment Manager テンプレート用に定義された routing パラメータの例です。
routing:
- name: hr
mapping:
- name: host
source: www.hr-domain.com
destination: hr-internal.domain.com
- name: sub
source: sheets.hr-domain.com
destination: sheets.hr-internal.domain.com
- name: finance
mapping:
- name: host
source: www.finance-domain.com
destination: finance-internal.domain.com
- それぞれの
routing名は、Ambassador で作成された新しい Compute Engine バックエンド サービス リソースに対応しています。 mappingパラメータには、バックエンド サービスの Ambassador ルーティング ルールのリストを指定します。- ルーティング ルールの
sourceはdestinationに対応しています。sourceは、Google Cloud に送信されるリクエストの URL です。destinationは、ユーザーの認証と承認が完了した後に IAP がトラフィックをルーティングするオンプレミス アプリの URL です。
次の表に、www.hr-domain.com から hr-internal.domain.com に受信リクエストをルーティングするルールの例を示します。
| Compute Engine バックエンド サービス | ルーティング ルール名 | 送信元 | 宛先 |
|---|---|---|---|
| hr | hr-host | www.hr-domain.com | hr-internal.domain.com |
| hr-sub | sheets.hr-domain.com | sheets.hr-internal.domain.com | |
| finance | finance-host | www.finance-domain.com | finance-internal.domain.com |
次のステップ
- IAP でオンプレミス アプリを保護する方法を学習する。
- IAP の仕組みを学習する。