Ringkasan IAP untuk aplikasi lokal

Identity-Aware Proxy (IAP) dapat digunakan untuk mengelola akses ke aplikasi berbasis HTTP di luar Google Cloud. Hal ini mencakup aplikasi lokal di pusat data perusahaan Anda.

Untuk mempelajari cara mengamankan aplikasi lokal dengan IAP, lihat Menyiapkan IAP untuk aplikasi lokal.

Pengantar

IAP menargetkan aplikasi lokal dengan IAP On-Prem Connector. On-Prem Connector menggunakan template Cloud Deployment Manager untuk membuat resource yang diperlukan guna menghosting dan men-deploy IAP On-Prem Connector ke dalam project Google Cloud yang mendukung IAP, sehingga meneruskan permintaan yang diautentikasi dan diizinkan ke aplikasi lokal.

On-Prem Connector membuat resource berikut:

Deployment dapat memiliki beberapa layanan backend Traffic Director yang berjalan di belakang satu Load Balancer Aplikasi eksternal. Setiap layanan backend dipetakan ke setiap aplikasi lokal.

Saat konektor lokal IAP di-deploy dan IAP diaktifkan untuk layanan backend konektor lokal yang baru dibuat, IAP akan mengamankan aplikasi Anda dengan kebijakan akses Identity and Access Management (IAM) berbasis konteks. Karena kebijakan akses IAM dikonfigurasi pada level resource layanan backend, Anda dapat memiliki daftar kontrol akses yang berbeda untuk setiap aplikasi lokal Anda. Artinya, hanya satu project Google Cloud yang diperlukan untuk mengelola akses ke beberapa aplikasi lokal.

Cara kerja IAP untuk aplikasi lokal

Saat permintaan dikirim ke aplikasi yang dihosting di Google Cloud, IAP mengautentikasi dan memberikan otorisasi permintaan pengguna. Tindakan ini kemudian memberi pengguna akses ke aplikasi Google Cloud.

Jika permintaan dikirim ke aplikasi lokal, IAP akan mengautentikasi dan memberikan otorisasi pada permintaan pengguna tersebut. Selanjutnya, tindakan ini akan mengarahkan permintaan ke konektor lokal IAP. Konektor lokal IAP meneruskan permintaan melalui Grup Endpoint Jaringan Konektivitas Hybrid dari Google Cloud ke jaringan lokal.

Diagram berikut menunjukkan alur traffic tingkat tinggi dari permintaan web untuk aplikasi Google Cloud (app1) dan aplikasi lokal (app2).

Aturan perutean

Saat mengonfigurasi deployment konektor IAP, Anda mengonfigurasi aturan perutean. Aturan ini mengarahkan permintaan web yang diautentikasi dan diberi otorisasi yang masuk ke traffic masuk nama host DNS Anda yang mengarah ke nama host DNS yang merupakan tujuan.

Berikut adalah contoh parameter routing yang ditentukan untuk template Deployment Manager konektor IAP.

   routing:
     - name: hr
       mapping:
        - name: host
          source: www.hr-domain.com
          destination: hr-internal.domain.com
        - name: sub
          source: sheets.hr-domain.com
          destination: sheets.hr-internal.domain.com
     - name: finance
       mapping:
        - name: host
          source: www.finance-domain.com
          destination: finance-internal.domain.com
  • Setiap nama routing sesuai dengan resource layanan backend Compute Engine baru yang dibuat Duta.
  • Parameter mapping menentukan daftar aturan pemilihan rute Duta untuk layanan backend.
  • source dari aturan perutean dipetakan ke destination, dengan source adalah URL permintaan yang masuk ke Google Cloud, dan destination adalah URL untuk aplikasi lokal yang menjadi tujuan pengalihan traffic oleh IAP setelah pengguna diotorisasi dan diautentikasi.

Tabel berikut menunjukkan contoh aturan untuk merutekan permintaan masuk dari www.hr-domain.com ke hr-internal.domain.com:

Layanan backend Compute Engine Nama aturan perutean Asal Tujuan
jam jam-host www.hr-domain.com hr-internal.domain.com
hr-sub sheets.hr-domain.com sheets.hr-internal.domain.com
finance penyelenggara keuangan www.finance-domain.com finance-internal.domain.com

Langkah selanjutnya