Übersicht über IAP für lokale Anwendungen

Mit Identity-Aware Proxy (IAP) können Sie den Zugriff auf HTTP-basierte Anwendungen außerhalb von Google Cloud verwalten. Dazu gehören auch Anwendungen im Rechenzentrum Ihres Unternehmens.

Informationen zum Schutz lokaler Anwendungen mit IAP finden Sie unter Cloud IAP für lokale Anwendungen aktivieren.

Einleitung

IAP zielt mit dem IAP-Ziel auf lokale Anwendungen ab Lokaler Connector. Der lokale Connector verwendet einen Cloud Deployment Manager. um die Ressourcen zu erstellen, die zum Hosten und Bereitstellen der IAP On-Prem-Connector mit einem IAP-fähigen Connector verbinden Google Cloud-Projekt Authentifizierte und autorisierte Anfragen an lokale Umgebung weiterleiten Apps.

Der lokale Connector erstellt die folgenden Ressourcen:

Eine Bereitstellung kann mehrere Cloud Service Mesh haben Backend-Dienste, die hinter einem externen Application Load Balancer ausgeführt werden. Jeder Back-End-Dienst ist einer einzelnen lokalen Anwendung zugeordnet.

Wenn der lokale IAP-Connector bereitgestellt und IAP für den neu erstellten Backend-Dienst des lokalen Connectors aktiviert ist, IAP schützt deine App durch Identität und kontextbasiert Zugriffsrichtlinien für Identity and Access Management (IAM) Da ein IAM-Konto Zugriffsrichtlinie für Back-End-Dienst konfiguriert Ressourcenebene haben Sie die Möglichkeit, für jede für Ihre lokalen Anwendungen. Dies bedeutet, dass nur ein Google Cloud-Projekt für das Verwalten des Zugriffs auf mehrere lokale Anwendungen erforderlich ist.

Funktionsweise von IAP für lokale Anwendungen

Wenn eine Anfrage an eine Anwendung gesendet wird, die in Google Cloud gehostet wird, authentifiziert und autorisiert IAP die Nutzeranfrage. Anschließend erhält der Nutzer Zugriff auf die Google Cloud-Anwendung.

Wenn eine Anfrage an eine lokale Anwendung gesendet wird, authentifiziert und autorisiert IAP die Nutzeranfrage. Anschließend wird die Anfrage an dem lokalen IAP-Connector. Der lokale IAP-Connector Die Anfrage wird über eine Hybridkonnektivitäts-Netzwerk-Endpunktgruppe weitergeleitet. von Google Cloud in das lokale Netzwerk übertragen.

Das folgende Diagramm zeigt den übergeordneten Trafficfluss einer Webanfrage für eine Google Cloud-Anwendung (app1) und eine lokale Anwendung (app2).

Routingregeln

Beim Konfigurieren der Bereitstellung eines IAP-Connectors müssen Sie auch Routingregeln konfigurieren. Anhand dieser Regeln werden authentifizierte und autorisierte Webanfragen, die am Eingangspunkt des DNS-Hostnamens ankommen, an den DNS-Hostnamen weitergeleitet, der als Ziel angegeben ist.

Das folgende Beispiel zeigt routing-Parameter, die für eine Deployment Manager-Vorlage eines IAP-Connectors definiert sind.

   routing:
     - name: hr
       mapping:
        - name: host
          source: www.hr-domain.com
          destination: hr-internal.domain.com
        - name: sub
          source: sheets.hr-domain.com
          destination: sheets.hr-internal.domain.com
     - name: finance
       mapping:
        - name: host
          source: www.finance-domain.com
          destination: finance-internal.domain.com
  • Jeder routing-Name entspricht einem neuen, von Ambassador erstellten Namen. Back-End-Dienstressource von Compute Engine.
  • Der Parameter mapping gibt eine Liste der Ambassador-Routingregeln für ein Back-End-Dienst.
  • Die source-Quelle einer Routingregel ist einem destination-Ziel zugeordnet, wobei source die URL von Anfragen an Google Cloud und destination die URL für Ihre lokale Anwendung ist, an die von IAP Traffic weitergeleitet wird, nachdem ein Nutzer autorisiert und authentifiziert wurde.

In der folgenden Tabelle sind Beispielregeln aufgeführt, mit denen eingehende Anfragen von www.hr-domain.com an hr-internal.domain.com weitergeleitet werden:

Back-End-Dienst von Compute Engine Name der Routingregel Quelle Ziel
hr hr-host www.hr-domain.com hr-internal.domain.com
hr-sub sheets.hr-domain.com sheets.hr-internal.domain.com
finance finance-host www.finance-domain.com finance-internal.domain.com

Nächste Schritte