Identity-Aware Proxy (IAP) consente di gestire l'accesso alle app basate su HTTP al di fuori in Google Cloud. Sono incluse le app on-premise nei data center della tua azienda.
Per scoprire come proteggere le app on-premise con IAP, Configurazione di IAP per app on-premise.
Introduzione
IAP sceglie come target le app on-premise con IAP Connettore on-prem. Il connettore on-prem utilizza Cloud Deployment Manager per creare le risorse necessarie all'hosting e al deployment Connettore IAP on-prem in un connettore abilitato per IAP progetto Google Cloud, inoltro di richieste autenticate e autorizzate a on-premise app.
Il connettore on-prem crea le seguenti risorse:
- Un deployment Cloud Service Mesh che agisce da proxy per l'app on-premise.
- Un bilanciatore del carico delle applicazioni esterno che funge da controller in entrata per le richieste.
- Regole di routing.
Un deployment può avere più Cloud Service Mesh e i servizi di backend eseguiti dietro un bilanciatore del carico delle applicazioni esterno. Ogni servizio di backend a una singola app on-premise.
Quando viene eseguito il deployment del connettore on-prem IAP e IAP è abilitato per il servizio di backend del connettore on-prem appena creato, IAP. protegge la tua app con l'identità e basato sul contesto Criteri di accesso IAM (Identity and Access Management). Poiché un modello IAM il criterio di accesso è configurato sul servizio di backend di risorse, puoi avere elenchi di controllo dell'accesso diversi per ciascuno per le app on-premise. Ciò significa che un solo Google Cloud per gestire l'accesso a più app on-premise.
Come funziona IAP per le app on-premise
Quando viene inviata una richiesta a un'app ospitata su Google Cloud, IAP autentica e autorizza le richieste dell'utente. Quindi concede all'utente l'accesso all'app Google Cloud.
Quando viene inviata una richiesta a un'app on-premise, IAP autentica e autorizza la richiesta dell'utente. Quindi instrada la richiesta a il connettore on-prem. Il connettore on-prem IAP inoltra la richiesta tramite un gruppo di endpoint di rete a connettività ibrida da Google Cloud alla rete on-premise.
Il seguente diagramma mostra il flusso di traffico di alto livello di una richiesta web per un Un'app Google Cloud (app1) e un'app on-premise (app2).
Regole di routing
Quando configuri il deployment di un connettore IAP, configuri le regole di routing. Queste regole indirizzano le richieste web autenticate e autorizzate che arrivano al punto di ingresso del nome host DNS al nome host DNS di destinazione.
Di seguito è riportato un esempio di parametri routing definiti per un modello di Deployment Manager del connettore IAP.
routing: - name: hr mapping: - name: host source: www.hr-domain.com destination: hr-internal.domain.com - name: sub source: sheets.hr-domain.com destination: sheets.hr-internal.domain.com - name: finance mapping: - name: host source: www.finance-domain.com destination: finance-internal.domain.com
- Ogni nome
routingcorrisponde a una nuova risorsa di servizio di backend Compute Engine creata dall'ambassador. - Il parametro
mappingspecifica un elenco di regole di routing per Ambassador per un di servizio di backend. - L'elemento
sourcedi una regola di routing è mappato a undestination, dovesourceè l'URL delle richieste che arrivano Google Cloud, edestinationè l'URL della tua app on-premise a cui IAP instrada il traffico dopo che autorizzati e autenticati.
La tabella seguente mostra regole di esempio per instradare le richieste in entrata da
Da www.hr-domain.com a hr-internal.domain.com:
| Servizio di backend di Compute Engine | Nome regola di routing | Origine | Destinazione |
|---|---|---|---|
| h | hr-host | www.hr-domain.com | hr-internal.domain.com |
| hr-sub | sheets.hr-domain.com | sheets.hr-internal.domain.com | |
| finance | host-finanza | www.finance-domain.com | finance-internal.domain.com |
Passaggi successivi
- Scopri come proteggere le app on-premise con IAP.
- Scopri di più su come funziona IAP.