Identity-Aware Proxy (IAP) memungkinkan Anda mengelola akses ke aplikasi berbasis HTTP di luar Google Cloud. Hal ini mencakup aplikasi on-premise di pusat data perusahaan Anda.
Untuk mempelajari cara mengamankan aplikasi lokal dengan IAP, lihat Menyiapkan IAP untuk aplikasi lokal.
Pengantar
IAP menargetkan aplikasi lokal dengan Konektor IAP Lokal. Konektor Lokal menggunakan template Cloud Deployment Manager untuk membuat resource yang diperlukan untuk menghosting dan men-deploy Konektor Lokal IAP ke projectGoogle Cloud yang mengaktifkan IAP, yang meneruskan permintaan yang diautentikasi dan diberi otorisasi ke aplikasi lokal.
Konektor On-Prem membuat resource berikut:
- Deployment Cloud Service Mesh yang bertindak sebagai proxy untuk aplikasi lokal.
- Load Balancer Aplikasi eksternal yang bertindak sebagai pengontrol ingress untuk permintaan.
- Aturan perutean.
Deployment dapat memiliki beberapa layanan backend Cloud Service Mesh yang berjalan di belakang satu Load Balancer Aplikasi eksternal. Setiap layanan backend dipetakan ke setiap aplikasi lokal.
Saat konektor on-prem IAP di-deploy dan IAP diaktifkan untuk layanan backend konektor on-prem yang baru dibuat, IAP akan mengamankan aplikasi Anda dengan kebijakan akses Identity and Access Management (IAM) dan berbasis konteks. Karena kebijakan akses IAM dikonfigurasi di tingkat resource layanan backend, Anda dapat memiliki daftar kontrol akses yang berbeda untuk setiap aplikasi on-premise. Artinya, hanya satu project Google Cloudyang diperlukan untuk mengelola akses ke beberapa aplikasi lokal.
Cara kerja IAP untuk aplikasi lokal
Saat permintaan dikirim ke aplikasi yang dihosting di Google Cloud, IAP akan mengautentikasi dan memberikan otorisasi pada permintaan pengguna. Kemudian, aplikasi akan memberikan akses kepada pengguna ke aplikasi Google Cloud .
Saat permintaan dikirim ke aplikasi lokal, IAP akan mengautentikasi dan memberikan otorisasi pada permintaan pengguna. Kemudian, permintaan akan dirutekan ke konektor on-prem IAP. Konektor on-prem IAP meneruskan permintaan melalui Grup Endpoint Jaringan Konektivitas Hybrid dari Google Cloud ke jaringan lokal.
Diagram berikut menunjukkan alur traffic tingkat tinggi dari permintaan web untuk aplikasiGoogle Cloud (app1) dan aplikasi lokal (app2).
Aturan perutean
Saat mengonfigurasi deployment konektor IAP, Anda mengonfigurasi aturan pemilihan rute. Aturan ini merutekan permintaan web yang diautentikasi dan diberi otorisasi yang masuk ke titik masuk nama host DNS Anda ke nama host DNS yang merupakan tujuan.
Berikut adalah contoh parameter routing yang ditentukan untuk
template Deployment Manager konektor IAP.
routing: - name: hr mapping: - name: host source: www.hr-domain.com destination: hr-internal.domain.com - name: sub source: sheets.hr-domain.com destination: sheets.hr-internal.domain.com - name: finance mapping: - name: host source: www.finance-domain.com destination: finance-internal.domain.com
- Setiap nama
routingsesuai dengan resource layanan backend Compute Engine baru yang dibuat oleh Duta. - Parameter
mappingmenentukan daftar aturan pemilihan rute Ambassador untuk layanan backend. sourceaturan pemilihan rute dipetakan kedestination, dengansourceadalah URL permintaan yang masuk ke Google Cloud, dandestinationadalah URL untuk aplikasi lokal Anda yang dirutekan oleh IAP setelah pengguna telah diberi otorisasi dan diautentikasi.
Tabel berikut menunjukkan contoh aturan untuk merutekan permintaan masuk dari
www.hr-domain.com ke hr-internal.domain.com:
| Layanan backend Compute Engine | Nama aturan perutean | Sumber | Tujuan |
|---|---|---|---|
| jam | hr-host | www.hr-domain.com | hr-internal.domain.com |
| hr-sub | sheets.hr-domain.com | sheets.hr-internal.domain.com | |
| keuangan | finance-host | www.finance-domain.com | finance-internal.domain.com |
Langkah selanjutnya
- Pelajari cara mengamankan aplikasi on-premise dengan IAP.
- Pelajari lebih lanjut cara kerja IAP.