Habilitar IAP en aplicaciones on‑premise

En esta guía se explica cómo proteger una aplicación on-premise basada en HTTP o HTTPS que se gestione fuera deGoogle Cloud conIdentity-Aware Proxy (IAP) desplegando un conector de IAP.

Para obtener más información sobre cómo protege IAP las aplicaciones y los recursos on‐premise, consulta la descripción general de IAP para aplicaciones on‐premise.

Antes de empezar

Antes de empezar, necesitas lo siguiente:

  • Una aplicación on-premise basada en HTTP o HTTPS.
  • Un miembro de Cloud Identity ha recibido el rol Propietario en tu Google Cloud proyecto.
  • Se ha concedido el rol de propietario al agente de servicio de las APIs de Google.
  • Un Google Cloud proyecto con la facturación habilitada.
  • La URL externa que se va a usar como punto de entrada del tráfico a Google Cloud. Por ejemplo, www.hr-domain.com.
  • Un certificado SSL o TLS para el nombre de host DNS que se usa como punto de entrada del tráfico a Google Cloud. Puedes usar un certificado autogestionado o gestionado por Google. Si no tienes un certificado, crea uno con Let's Encrypt.
  • Si Controles de Servicio de VPC está habilitado, una red de VPC con una política de salida en la acción cp para la cuenta de servicio de la VM en el bucket gce-mesh, que está en el proyecto 278958399328. De esta forma, la red de VPC tiene permiso para recuperar el archivo binario de Envoy del bucket gce-mesh. El permiso se concede de forma predeterminada si Controles de Servicio de VPC no está habilitado.

  • Para inhabilitar una IP externa, sigue estos pasos:

    1. Habilita Acceso privado de Google en la subred de la VPC que se usa para el conector de IAP marcando la casilla correspondiente en la configuración. Para obtener más información, consulta el artículo Acceso privado a Google.
    2. Asegúrate de que la configuración del cortafuegos de la red VPC permita el acceso de las VMs a las direcciones IP que usan las APIs y los servicios de Google. Esta opción está permitida de forma implícita de forma predeterminada, pero los usuarios pueden cambiarla explícitamente. Para obtener información sobre cómo encontrar el intervalo de IPs, consulta Direcciones IP de dominios predeterminados.

Implementar un conector para una aplicación on-premise

  1. Ve a la página de administración de IAP.

    Ir a la página de administración de IAP

  2. Para empezar a configurar la implementación del conector de una aplicación on-premise, haz clic en Configuración de conectores on-premise.

  3. Asegúrate de que las APIs necesarias estén cargadas haciendo clic en Habilitar APIs.

  4. Elige si la implementación debe usar un certificado gestionado por Google o uno gestionado por ti, selecciona la red y la subred de la implementación (o elige crear una) y, a continuación, haz clic en Siguiente.

  5. Introduce los detalles de la aplicación local que quieras añadir:

    • La URL externa de las solicitudes que llegan a Google Cloud. Esta URL es el punto de entrada del tráfico al entorno.
    • Nombre de la aplicación. También se usará como nombre de un nuevo servicio de backend detrás del balanceador de carga.

    • El tipo de endpoint local y sus detalles:

      • Nombre de dominio completo (FQDN): el dominio al que debe reenviar el tráfico el conector.
      • Dirección IP: una o varias zonas en las que se debe implementar el conector de IAP (por ejemplo, us-central1-a) y, para cada una, la dirección IPv4 del destino interno de la aplicación local a la que IAP dirige el tráfico después de que se haya autorizado y autenticado a un usuario.

    • El protocolo que usa el endpoint local.

    • El número de puerto que usa el endpoint local, como 443 para HTTPS u 80 para HTTP.

  6. Haz clic en Hecho para guardar los detalles de esa aplicación. Si quieres, puedes definir más aplicaciones locales para la implementación.

  7. Cuando lo tengas todo listo, haz clic en Enviar para empezar a implementar las aplicaciones que hayas definido.

Una vez completada la implementación, tus aplicaciones de conector on-premise aparecerán en la tabla Recursos HTTP y se podrá habilitar IAP.

Si decides que Google genere y gestione los certificados automáticamente, puede que tarden unos minutos en aprovisionarse. Puedes consultar el estado en la página de detalles de Cloud Load Balancing. Para obtener más información sobre el estado, consulta la página de solución de problemas.

Gestionar un conector de una aplicación local

  • Puedes añadir más aplicaciones a tu implementación en cualquier momento haciendo clic en Configuración de conectores locales.

  • Para eliminar el conector local, elimina toda la implementación:

    1. Ve a la página Deployment Manager.

      Ir a la página Deployment Manager

    2. En la lista de implementaciones, seleccione la casilla situada junto a la implementación "on-prem-app-deployment".

    3. En la parte superior de la página, haz clic en Eliminar.

  • Puede eliminar una aplicación concreta haciendo clic en el botón de eliminar de la sección Configuración de conectores locales. El conector local debe contener al menos una aplicación. Para eliminar todas las aplicaciones, elimine toda la implementación.