온프레미스 앱용 Cloud IAP 개요

Cloud Identity-Aware Proxy(Cloud IAP)를 사용하면 Google Cloud Platform(GCP) 외부의 HTTP 기반 앱에 대한 액세스를 관리할 수 있습니다. 여기에는 기업 데이터 센터의 온프레미스 앱이 포함됩니다.

Cloud IAP를 사용하여 온프레미스 앱을 보호하는 방법은 온프레미스 앱용 Cloud IAP 설정을 참조하세요.

소개

Cloud IAP는 Cloud IAP 커넥터를 사용하는 온프레미스 앱을 대상으로 합니다. 이 구성 가능한 Cloud Deployment Manager 템플릿은 Cloud IAP 커넥터를 호스팅하고 Cloud IAP가 사용 설정된 GCP 프로젝트에 배포하는 데 필요한 리소스를 만들며 인증 및 승인된 요청을 온프레미스 앱에 전달합니다.

구성 가능한 Cloud Deployment Manager 템플릿은 다음과 같은 리소스를 만듭니다.

배포에는 하나의 HTTP(S) 부하 분산기 뒤에서 실행되는 여러 개의 Ambassador 생성 Compute Engine 백엔드 서비스가 사용될 수 있습니다. 각 백엔드 서비스는 개별 온프레미스 앱에 매핑됩니다.

Cloud IAP 커넥터가 배포되면 Cloud IAP는 ID 및 컨텍스트 기반 Cloud Identity and Access Management(Cloud IAM) 액세스 정책으로 앱을 보호합니다. Cloud IAM 액세스 정책은 백엔드 서비스 리소스 수준에서 구성되므로 각 온프레미스 앱에 대해 다른 액세스 제어 목록이 있을 수 있습니다. 이는 하나의 GCP 프로젝트만으로 여러 개의 온프레미스 앱에 대한 액세스를 관리할 수 있음을 의미합니다.

온프레미스용 Cloud IAP의 작동 방식

요청이 GCP에 호스팅되는 앱으로 전송되면 Cloud IAP는 사용자 요청을 인증 및 승인합니다. 그런 다음 사용자에게 GCP 앱 액세스 권한을 부여합니다.

요청이 온프레미스 앱으로 전송되면 Cloud IAP는 사용자 요청을 인증 및 승인합니다. 그런 다음 Cloud IAP 커넥터로 요청을 라우팅합니다. Cloud IAP 커넥터는 GCP에서 온프레미스 네트워크로 Cloud Interconnect로 설정된 사이트 간 연결을 통해 요청을 전달합니다.

다음 다이어그램은 GCP 앱(app1)과 온프레미스 앱(app2)에 대한 웹 요청의 개략적인 트래픽 흐름을 보여줍니다.

라우팅 규칙

Cloud IAP 커넥터 배포를 구성할 때 라우팅 규칙을 구성합니다. 이러한 규칙은 DNS 호스트 이름 수신 지점으로 오는 인증 및 승인된 웹 요청을 목적지 DNS 호스트 이름으로 라우팅합니다.

다음은 Cloud IAP 커넥터 Cloud Deployment Manager 템플릿에 대해 정의된 routing 매개변수의 예입니다.

   routing:
     - name: hr
       mapping:
        - name: host
          source: www.hr-domain.com
          destination: hr-internal.domain.com
        - name: sub
          source: sheets.hr-domain.com
          destination: sheets.hr-internal.domain.com
     - name: finance
       mapping:
        - name: host
          source: www.finance-domain.com
          destination: finance-internal.domain.com
  • routing 이름은 새로운, Ambassador에서 생성한 Compute Engine 백엔드 서비스 리소스에 해당합니다.
  • mapping 매개변수는 백엔드 서비스에 대한 Ambassador 라우팅 규칙 목록을 지정합니다.
  • 라우팅 규칙의 sourcedestination에 매핑되며, 여기서 source는 GCP로 오는 요청의 URL이고 destination은 사용자가 승인 및 인증된 후 Cloud IAP가 트래픽을 라우팅하는 온프레미스 앱의 URL입니다.

다음 표에는 수신 요청을 www.hr-domain.com에서 hr-internal.domain.com으로 라우팅하는 규칙 예가 나와 있습니다.

Compute Engine 백엔드 서비스 라우팅 규칙 이름 소스 대상
hr hr-host www.hr-domain.com hr-internal.domain.com
hr-sub sheets.hr-domain.com sheets.hr-internal.domain.com
finance finance-host www.finance-domain.com finance-internal.domain.com

다음 단계

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Identity-Aware Proxy 문서