Identity-Aware Proxy (IAP) dapat digunakan untuk mengelola akses ke aplikasi berbasis HTTP di luar Google Cloud. Hal ini mencakup aplikasi lokal di pusat data perusahaan Anda.
Untuk mempelajari cara mengamankan aplikasi lokal dengan IAP, lihat Menyiapkan IAP untuk aplikasi lokal.
Pengantar
IAP menargetkan aplikasi lokal dengan IAP On-Prem Connector. On-Prem Connector menggunakan template Cloud Deployment Manager untuk membuat resource yang diperlukan guna menghosting dan men-deploy IAP On-Prem Connector ke dalam project Google Cloud yang mendukung IAP, sehingga meneruskan permintaan yang diautentikasi dan diizinkan ke aplikasi lokal.
On-Prem Connector membuat resource berikut:
- Deployment Traffic Director yang bertindak sebagai proxy untuk aplikasi lokal.
- Load Balancer Aplikasi eksternal yang bertindak sebagai pengontrol masuk untuk permintaan.
- Aturan pemilihan rute.
Deployment dapat memiliki beberapa layanan backend Traffic Director yang berjalan di belakang satu Load Balancer Aplikasi eksternal. Setiap layanan backend dipetakan ke setiap aplikasi lokal.
Saat konektor lokal IAP di-deploy dan IAP diaktifkan untuk layanan backend konektor lokal yang baru dibuat, IAP akan mengamankan aplikasi Anda dengan kebijakan akses Identity and Access Management (IAM) berbasis konteks. Karena kebijakan akses IAM dikonfigurasi pada level resource layanan backend, Anda dapat memiliki daftar kontrol akses yang berbeda untuk setiap aplikasi lokal Anda. Artinya, hanya satu project Google Cloud yang diperlukan untuk mengelola akses ke beberapa aplikasi lokal.
Cara kerja IAP untuk aplikasi lokal
Saat permintaan dikirim ke aplikasi yang dihosting di Google Cloud, IAP mengautentikasi dan memberikan otorisasi permintaan pengguna. Tindakan ini kemudian memberi pengguna akses ke aplikasi Google Cloud.
Jika permintaan dikirim ke aplikasi lokal, IAP akan mengautentikasi dan memberikan otorisasi pada permintaan pengguna tersebut. Selanjutnya, tindakan ini akan mengarahkan permintaan ke konektor lokal IAP. Konektor lokal IAP meneruskan permintaan melalui Grup Endpoint Jaringan Konektivitas Hybrid dari Google Cloud ke jaringan lokal.
Diagram berikut menunjukkan alur traffic tingkat tinggi dari permintaan web untuk aplikasi Google Cloud (app1) dan aplikasi lokal (app2).
Aturan perutean
Saat mengonfigurasi deployment konektor IAP, Anda mengonfigurasi aturan perutean. Aturan ini mengarahkan permintaan web yang diautentikasi dan diberi otorisasi yang masuk ke traffic masuk nama host DNS Anda yang mengarah ke nama host DNS yang merupakan tujuan.
Berikut adalah contoh parameter routing yang ditentukan untuk template Deployment Manager konektor IAP.
routing:
- name: hr
mapping:
- name: host
source: www.hr-domain.com
destination: hr-internal.domain.com
- name: sub
source: sheets.hr-domain.com
destination: sheets.hr-internal.domain.com
- name: finance
mapping:
- name: host
source: www.finance-domain.com
destination: finance-internal.domain.com
- Setiap nama
routingsesuai dengan resource layanan backend Compute Engine baru yang dibuat Duta. - Parameter
mappingmenentukan daftar aturan pemilihan rute Duta untuk layanan backend. sourcedari aturan perutean dipetakan kedestination, dengansourceadalah URL permintaan yang masuk ke Google Cloud, dandestinationadalah URL untuk aplikasi lokal yang menjadi tujuan pengalihan traffic oleh IAP setelah pengguna diotorisasi dan diautentikasi.
Tabel berikut menunjukkan contoh aturan untuk merutekan permintaan masuk dari www.hr-domain.com ke hr-internal.domain.com:
| Layanan backend Compute Engine | Nama aturan perutean | Asal | Tujuan |
|---|---|---|---|
| jam | jam-host | www.hr-domain.com | hr-internal.domain.com |
| hr-sub | sheets.hr-domain.com | sheets.hr-internal.domain.com | |
| finance | penyelenggara keuangan | www.finance-domain.com | finance-internal.domain.com |
Langkah selanjutnya
- Pelajari cara mengamankan aplikasi lokal dengan IAP.
- Pelajari cara kerja IAP lebih lanjut.