Identity Aware Proxy(IAP)を使用すると、Google Cloud の外部にある HTTP ベースアプリへのアクセスを管理できます。これには、企業のデータセンター内にあるオンプレミスのアプリも含まれます。
IAP でオンプレミス アプリを保護する方法については、オンプレミス アプリで IAP を設定するをご覧ください。
はじめに
IAP は、IAP オンプレミス コネクタを使用してオンプレミス アプリをターゲットにします。オンプレミス コネクタは、Cloud Deployment Manager テンプレートを使用して、IAP オンプレミス コネクタをホストして IAP 対応の Google Cloud プロジェクトにデプロイするために必要なリソースを作成し、認証および承認済みのリクエストをオンプレミス アプリに転送します。
On-Prem コネクタは、次のリソースを作成します。
- オンプレミス アプリのプロキシとして機能する Cloud Service Mesh デプロイメント。
- リクエストの Ingress コントローラとして機能する外部アプリケーション ロードバランサ。
- ルーティング ルール。
Deployment には、1 つの外部アプリケーション ロードバランサの背後で実行される複数の Cloud Service Mesh バックエンド サービスを設定できます。バックエンド サービスはそれぞれ、個々のオンプレミス アプリにマッピングされます。
IAP オンプレミス コネクタがデプロイされ、新しく作成されたオンプレミス コネクタ バックエンド サービスで IAP が有効になっている場合、IAP は ID とコンテキスト ベースの ID アクセス管理(IAM)およびアクセス ポリシーでアプリを保護します。IAM のアクセス ポリシーはバックエンド サービスのリソースレベルで構成されるため、オンプレミス アプリごとに異なるアクセス制御リストを使用できます。つまり、複数のオンプレミス アプリへのアクセスを管理するために必要な Google Cloud プロジェクトは 1 つだけです。
オンプレミス アプリ用 IAP の仕組み
Google Cloud にホストされているアプリにリクエストが送信されると、IAP はユーザーのリクエストを認証して承認します。その後、Google Cloud アプリへのアクセス権をユーザーに付与します。
リクエストがオンプレミス アプリに送信されると、IAP はユーザーのリクエストを認証して承認します。その後、リクエストを IAP オンプレミス コネクタにルーティングします。IAP オンプレミス コネクタは、ハイブリッド接続ネットワーク エンドポイント グループを介して、Google Cloud からオンプレミス ネットワークにリクエストを転送します。
次の図は、Google Cloud アプリ(app1)とオンプレミス アプリ(app2)のウェブ リクエストのトラフィック フローを簡単に示しています。
ルーティング ルール
IAP コネクタ デプロイを構成するときに、ルーティング ルールを構成します。ルーティング ルールにより、DNS ホスト名の受信ポイントに到達した認証および承認済みのウェブ リクエストを、その宛先となっている DNS ホスト名にルーティングします。
次の例は、IAP コネクタの Deployment Manager テンプレート用に定義された routing
パラメータの例です。
routing: - name: hr mapping: - name: host source: www.hr-domain.com destination: hr-internal.domain.com - name: sub source: sheets.hr-domain.com destination: sheets.hr-internal.domain.com - name: finance mapping: - name: host source: www.finance-domain.com destination: finance-internal.domain.com
- それぞれの
routing
名は、Ambassador で作成された新しい Compute Engine バックエンド サービス リソースに対応しています。 mapping
パラメータには、バックエンド サービスの Ambassador ルーティング ルールのリストを指定します。- ルーティング ルールの
source
はdestination
に対応しています。source
は、Google Cloud に送信されるリクエストの URL です。destination
は、ユーザーの認証と承認が完了した後に IAP がトラフィックをルーティングするオンプレミス アプリの URL です。
次の表に、www.hr-domain.com
から hr-internal.domain.com
に受信リクエストをルーティングするルールの例を示します。
Compute Engine バックエンド サービス | ルーティング ルール名 | ソース | 宛先 |
---|---|---|---|
時間 | hr-host | www.hr-domain.com | hr-internal.domain.com |
hr-sub | sheets.hr-domain.com | sheets.hr-internal.domain.com | |
金融 | finance-host | www.finance-domain.com | finance-internal.domain.com |
次のステップ
- IAP でオンプレミス アプリを保護する方法を学習する。
- IAP の仕組みを学習する。