オンプレミス アプリの IAP の概要

Identity Aware Proxy(IAP)を使用すると、Google Cloud の外部にある HTTP ベースアプリへのアクセスを管理できます。これには、企業のデータセンター内にあるオンプレミスのアプリも含まれます。

IAP でオンプレミス アプリを保護する方法については、オンプレミス アプリで IAP を設定するをご覧ください。

はじめに

IAP は、IAP コネクタを使用してオンプレミス アプリをターゲットにします。IAP コネクタとは、構成可能な Cloud Deployment Manager テンプレートです。このテンプレートで、IAP コネクタをホストして IAP 対応の Google Cloud プロジェクトにデプロイするために必要なリソースを作成し、認証および承認済みのリクエストをオンプレミス アプリに転送します。

構成可能な Cloud Deployment Manager テンプレートでは、次のリソースを作成します。

デプロイメントには、1 つの外部 HTTP(S)ロードバランサの裏で実行される複数のアンバサダー作成の Compute Engine バックエンド サービスを含めることができます。バックエンド サービスはそれぞれ、個々のオンプレミス アプリにマッピングされます。

IAP コネクタがデプロイされると、IAP は ID とコンテキスト ベースの Identity and Access Management(IAM)アクセス ポリシーを使用してアプリのセキュリティを保護します。IAM のアクセス ポリシーはバックエンド サービスのリソースレベルで構成されるため、オンプレミス アプリごとに異なるアクセス制御リストを使用できます。つまり、複数のオンプレミス アプリへのアクセスを管理するために必要な Google Cloud プロジェクトは 1 つだけです。

オンプレミス アプリ用 IAP の仕組み

Google Cloud にホストされているアプリにリクエストが送信されると、IAP はユーザーのリクエストを認証して承認します。その後、Google Cloud アプリへのアクセス権をユーザーに付与します。

リクエストがオンプレミス アプリに送信されると、IAP はユーザーのリクエストを認証して承認します。その後、リクエストを IAP コネクタにルーティングします。IAP コネクタは、Cloud Interconnect で確立されたサイト間接続を使用して、Google Cloud からオンプレミス ネットワークにリクエストを転送します。

次の図は、Google Cloud アプリ(app1)とオンプレミス アプリ(app2)のウェブ リクエストのトラフィック フローを簡単に示しています。

ルーティング ルール

IAP コネクタ デプロイを構成するときに、ルーティング ルールを構成します。ルーティング ルールにより、DNS ホスト名の受信ポイントに到達した認証および承認済みのウェブ リクエストを、その宛先となっている DNS ホスト名にルーティングします。

次の例は、IAP コネクタの Deployment Manager テンプレート用に定義された routing パラメータの例です。

   routing:
     - name: hr
       mapping:
        - name: host
          source: www.hr-domain.com
          destination: hr-internal.domain.com
        - name: sub
          source: sheets.hr-domain.com
          destination: sheets.hr-internal.domain.com
     - name: finance
       mapping:
        - name: host
          source: www.finance-domain.com
          destination: finance-internal.domain.com
  • それぞれの routing 名は、Ambassador で作成された新しい Compute Engine バックエンド サービス リソースに対応しています。
  • mapping パラメータには、バックエンド サービスの Ambassador ルーティング ルールのリストを指定します。
  • ルーティング ルールの sourcedestination に対応しています。source は、Google Cloud に送信されるリクエストの URL です。destination は、ユーザーの認証と承認が完了した後に IAP がトラフィックをルーティングするオンプレミス アプリの URL です。

次の表に、www.hr-domain.com から hr-internal.domain.com に受信リクエストをルーティングするルールの例を示します。

Compute Engine バックエンド サービス ルーティング ルール名 送信元 宛先
hr hr-host www.hr-domain.com hr-internal.domain.com
hr-sub sheets.hr-domain.com sheets.hr-internal.domain.com
finance finance-host www.finance-domain.com finance-internal.domain.com

次のステップ