온프레미스 앱의 IAP 개요

IAP(Identity-Aware Proxy)를 사용하면 Google Cloud 외부의 HTTP 기반 앱에 대한 액세스를 관리할 수 있습니다. 여기에는 기업 데이터 센터의 온프레미스 앱이 포함됩니다.

IAP로 온프레미스 앱을 보호하는 방법을 알아보려면 온프레미스 앱에 IAP 설정을 참조하세요.

소개

IAP는 IAP 온프렘 커넥터를 사용하는 온프레미스 앱을 대상으로 합니다. 온프렘 커넥터는 Cloud Deployment Manager 템플릿을 사용하여 IAP 온프렘 커넥터를 호스팅하고 IAP 지원 Google Cloud 프로젝트에 배포하는 데 필요한 리소스를 만들어 인증 및 승인된 요청을 온프레미스 앱에 전달합니다.

온프렘 커넥터는 다음 리소스를 만듭니다.

배포에는 외부 애플리케이션 부하 분산기 하나 뒤에서 실행되는 Cloud Service Mesh 백엔드 서비스가 여러 개 있을 수 있습니다. 각 백엔드 서비스는 개별 온프레미스 앱에 매핑됩니다.

IAP 온프렘 커넥터가 배포되고 새로 생성된 온프렘 커넥터 백엔드 서비스에 IAP가 사용 설정되면 IAP가 ID 및 컨텍스트 기반 Identity and Access Management(IAM) 액세스 정책으로 앱을 보호합니다. IAM 액세스 정책은 백엔드 서비스 리소스 수준에서 구성되므로 각 온프레미스 앱에 대해 다른 액세스제어 목록(ACL)이 있을 수 있습니다. 즉, 하나의 Google Cloud 프로젝트만으로 여러 온프레미스 앱에 대한 액세스를 관리할 수 있음을 의미합니다.

온프레미스 앱의 IAP 작동 방식

요청이 Google Cloud에서 호스팅되는 앱으로 전송되면 IAP는 사용자 요청을 인증 및 승인합니다. 그런 다음 사용자에게 Google Cloud 앱 액세스 권한을 부여합니다.

요청이 온프레미스 앱으로 전송되면 IAP는 사용자 요청을 인증 및 승인합니다. 그런 다음 IAP 온프렘 커넥터로 요청을 라우팅합니다. IAP 온프렘 커넥터는 하이브리드 연결 네트워크 엔드포인트 그룹을 통해 Google Cloud에서 온프레미스 네트워크로 요청을 전달합니다.

다음 다이어그램은 Google Cloud 앱(app1) 및 온프레미스 앱(app2)에 대한 웹 요청의 개략적인 트래픽 흐름을 보여줍니다.

라우팅 규칙

IAP 커넥터 배포를 구성할 때 라우팅 규칙을 구성합니다. 이러한 규칙은 DNS 호스트 이름 수신 지점으로 오는 인증 및 승인된 웹 요청을 목적지 DNS 호스트 이름으로 라우팅합니다.

다음은 IAP 커넥터 Deployment Manager 템플릿에 정의된 routing 매개변수의 예시입니다.

   routing:
     - name: hr
       mapping:
        - name: host
          source: www.hr-domain.com
          destination: hr-internal.domain.com
        - name: sub
          source: sheets.hr-domain.com
          destination: sheets.hr-internal.domain.com
     - name: finance
       mapping:
        - name: host
          source: www.finance-domain.com
          destination: finance-internal.domain.com
  • routing 이름은 Ambassador에서 생성한 새 Compute Engine 백엔드 서비스 리소스에 해당합니다.
  • mapping 매개변수는 백엔드 서비스의 Ambassador 라우팅 규칙 목록을 지정합니다.
  • 라우팅 규칙의 sourcedestination에 매핑되며, 여기서 source는 Google Cloud로 들어오는 요청의 URL이고 destination은 사용자가 승인 및 인증된 후 IAP가 트래픽을 라우팅하는 온프레미스 앱의 URL입니다.

다음 표는 수신 요청을 www.hr-domain.com에서 hr-internal.domain.com으로 라우팅하는 규칙 예시를 보여줍니다.

Compute Engine 백엔드 서비스 라우팅 규칙 이름 소스 대상
시간 hr-host www.hr-domain.com hr-internal.domain.com
hr-sub sheets.hr-domain.com sheets.hr-internal.domain.com
finance finance-host www.finance-domain.com finance-internal.domain.com

다음 단계