IAP(Identity-Aware Proxy)를 사용하면 Google Cloud 외부의 HTTP 기반 앱에 대한 액세스를 관리할 수 있습니다. 여기에는 기업 데이터 센터의 온프레미스 앱이 포함됩니다.
IAP로 온프레미스 앱을 보호하는 방법을 알아보려면 온프레미스 앱에 IAP 설정을 참조하세요.
소개
IAP는 IAP 온프렘 커넥터를 사용하는 온프레미스 앱을 대상으로 합니다. 온프렘 커넥터는 Cloud Deployment Manager 템플릿을 사용하여 IAP 온프렘 커넥터를 호스팅하고 IAP 지원 Google Cloud 프로젝트에 배포하는 데 필요한 리소스를 만들어 인증 및 승인된 요청을 온프레미스 앱에 전달합니다.
온프렘 커넥터는 다음 리소스를 만듭니다.
- 온프레미스 앱의 프록시 역할을 하는 Traffic Director 배포
- 요청의 인그레스 컨트롤러 역할을 하는 외부 애플리케이션 부하 분산기
- 라우팅 규칙
배포에는 하나의 외부 애플리케이션 부하 분산기 뒤에서 실행되는 여러 Traffic Director 백엔드 서비스가 사용될 수 있습니다. 각 백엔드 서비스는 개별 온프레미스 앱에 매핑됩니다.
IAP 온프렘 커넥터가 배포되고 새로 생성된 온프렘 커넥터 백엔드 서비스에 IAP가 사용 설정되면 IAP가 ID 및 컨텍스트 기반 Identity and Access Management(IAM) 액세스 정책으로 앱을 보호합니다. IAM 액세스 정책은 백엔드 서비스 리소스 수준에서 구성되므로 각 온프레미스 앱에 대해 다른 액세스제어 목록(ACL)이 있을 수 있습니다. 즉, 하나의 Google Cloud 프로젝트만으로 여러 온프레미스 앱에 대한 액세스를 관리할 수 있음을 의미합니다.
온프레미스 앱의 IAP 작동 방식
요청이 Google Cloud에서 호스팅되는 앱으로 전송되면 IAP는 사용자 요청을 인증 및 승인합니다. 그런 다음 사용자에게 Google Cloud 앱 액세스 권한을 부여합니다.
요청이 온프레미스 앱으로 전송되면 IAP는 사용자 요청을 인증 및 승인합니다. 그런 다음 IAP 온프렘 커넥터로 요청을 라우팅합니다. IAP 온프렘 커넥터는 하이브리드 연결 네트워크 엔드포인트 그룹을 통해 Google Cloud에서 온프레미스 네트워크로 요청을 전달합니다.
다음 다이어그램은 Google Cloud 앱(app1) 및 온프레미스 앱(app2)에 대한 웹 요청의 개략적인 트래픽 흐름을 보여줍니다.
라우팅 규칙
IAP 커넥터 배포를 구성할 때 라우팅 규칙을 구성합니다. 이러한 규칙은 DNS 호스트 이름 수신 지점으로 오는 인증 및 승인된 웹 요청을 목적지 DNS 호스트 이름으로 라우팅합니다.
다음은 IAP 커넥터 Deployment Manager 템플릿에 정의된 routing 매개변수의 예시입니다.
routing:
- name: hr
mapping:
- name: host
source: www.hr-domain.com
destination: hr-internal.domain.com
- name: sub
source: sheets.hr-domain.com
destination: sheets.hr-internal.domain.com
- name: finance
mapping:
- name: host
source: www.finance-domain.com
destination: finance-internal.domain.com
- 각
routing이름은 Ambassador에서 생성한 새 Compute Engine 백엔드 서비스 리소스에 해당합니다. mapping매개변수는 백엔드 서비스의 Ambassador 라우팅 규칙 목록을 지정합니다.- 라우팅 규칙의
source는destination에 매핑되며, 여기서source는 Google Cloud로 들어오는 요청의 URL이고destination은 사용자가 승인 및 인증된 후 IAP가 트래픽을 라우팅하는 온프레미스 앱의 URL입니다.
다음 표는 수신 요청을 www.hr-domain.com에서 hr-internal.domain.com으로 라우팅하는 규칙 예시를 보여줍니다.
| Compute Engine 백엔드 서비스 | 라우팅 규칙 이름 | 소스 | 대상 |
|---|---|---|---|
| hr | hr-host | www.hr-domain.com | hr-internal.domain.com |
| hr-sub | sheets.hr-domain.com | sheets.hr-internal.domain.com | |
| finance | finance-host | www.finance-domain.com | finance-internal.domain.com |
다음 단계
- IAP를 사용하여 온프레미스 앱을 보호하는 방법에 대해 알아보세요.
- IAP의 작동 방식에 대해 자세히 알아보세요.