Identity-Aware Proxy (IAP) consente di gestire l'accesso alle app basate su HTTP all'esterno di Google Cloud. Sono incluse le app on-premise nei data center della tua azienda.
Per scoprire come proteggere le app on-premise con IAP, consulta l'articolo sulla configurazione di IAP per le app on-premise.
Introduzione
IAP ha come target le app on-premise con il connettore on-prem per IAP. Il connettore on-prem utilizza un modello Cloud Deployment Manager per creare le risorse necessarie per ospitare ed eseguire il deployment del connettore IAP on-prem in un progetto Google Cloud abilitato per IAP, inoltrando le richieste autenticate e autorizzate alle applicazioni on-premise.
Il connettore on-prem crea le seguenti risorse:
- Un deployment Cloud Service Mesh che agisce da proxy per l'app on-premise.
- Un bilanciatore del carico delle applicazioni esterno che funge da controller in entrata per le richieste.
- Regole di routing.
Un deployment può includere più servizi di backend Cloud Service Mesh in esecuzione dietro un bilanciatore del carico delle applicazioni esterno. Ogni servizio di backend è mappato a una singola app on-premise.
Quando viene eseguito il deployment del connettore IAP on-prem e IAP è abilitato per il servizio di backend del connettore on-prem appena creato, IAP protegge la tua app con criteri di accesso IAM (Identity and Access Management) basati su contesto. Poiché a livello di risorsa del servizio di backend è configurato un criterio di accesso IAM, puoi avere elenchi di controllo dell'accesso diversi per ciascuna app on-premise. Ciò significa che è necessario un solo progetto Google Cloud per gestire l'accesso a più app on-premise.
Come funziona IAP per le app on-premise
Quando una richiesta viene inviata a un'app ospitata su Google Cloud, IAP autentica e autorizza le richieste degli utenti. Quindi concede all'utente l'accesso all'app Google Cloud.
Quando viene inviata una richiesta a un'app on-premise, IAP autentica e autorizza la richiesta dell'utente. Quindi, instrada la richiesta al connettore IAP on-prem. Il connettore on-prem IAP inoltra la richiesta tramite un gruppo di endpoint di rete a connettività ibrida da Google Cloud alla rete on-premise.
Il seguente diagramma mostra il flusso di traffico di alto livello di una richiesta web per un'app Google Cloud (app1) e un'app on-premise (app2).
Regole di routing
Quando configuri il deployment di un connettore IAP, devi configurare le regole di routing. Queste regole instradano le richieste web autenticate e autorizzate in arrivo al punto di ingresso del tuo nome host DNS verso il nome host DNS corrispondente alla destinazione.
Di seguito è riportato un esempio dei parametri routing definiti per un modello di Deployment Manager per il connettore IAP.
routing:
- name: hr
mapping:
- name: host
source: www.hr-domain.com
destination: hr-internal.domain.com
- name: sub
source: sheets.hr-domain.com
destination: sheets.hr-internal.domain.com
- name: finance
mapping:
- name: host
source: www.finance-domain.com
destination: finance-internal.domain.com
- Ogni nome
routingcorrisponde a una nuova risorsa del servizio di backend di Compute Engine creata dall'Ambasciatore. - Il parametro
mappingspecifica un elenco di regole di routing per gli Ambasciatori per un servizio di backend. - L'elemento
sourcedi una regola di routing è mappato adestination, dovesourceè l'URL delle richieste che arrivano a Google Cloud edestinationè l'URL dell'app on-premise a cui IAP instrada il traffico dopo che un utente è stato autorizzato e autenticato.
La seguente tabella mostra regole di esempio per instradare le richieste in entrata da www.hr-domain.com a hr-internal.domain.com:
| Servizio di backend di Compute Engine | Nome regola di routing | Origine | Destinazione |
|---|---|---|---|
| h | hr-host | www.hr-domain.com | hr-internal.domain.com |
| h-sub | sheets.hr-domain.com | sheets.hr-internal.domain.com | |
| finance | host-finanza | www.finance-domain.com | finance-internal.domain.com |
Passaggi successivi
- Scopri come proteggere le app on-premise con IAP.
- Scopri di più su come funziona IAP.