Ativar as CAs para apps no local

Este guia explica como proteger uma app baseada em HTTP ou HTTPS no local fora do Google Cloud com o Identity-Aware Proxy (IAP) através da implementação de um conetor do IAP.

Para mais informações sobre como a CNA protege as apps e os recursos no local, consulte a vista geral da CNA para apps no local.

Antes de começar

Antes de começar, precisa do seguinte:

  • Uma app no local baseada em HTTP ou HTTPS.
  • Um membro do Cloud ID concedeu a função de proprietário no seu Google Cloud projeto.
  • Concedeu ao agente de serviço das APIs Google a função de proprietário.
  • Um Google Cloud projeto com a faturação ativada.
  • O URL externo a usar como ponto de entrada para o tráfego para Google Cloud. Por exemplo, www.hr-domain.com.
  • Um certificado SSL ou TLS para o nome de anfitrião DNS que é usado como ponto de entrada para o tráfego para Google Cloud. Pode usar um certificado autogerido ou gerido pela Google existente. Se não tiver um certificado, crie um com o Let's Encrypt.
  • Se os VPC Service Controls estiverem ativados, uma rede VPC com uma política de saída na ação cp para a conta de serviço da VM para o contentor gce-mesh, que está no projeto 278958399328. Isto concede à rede da VPC autorização para obter o ficheiro binário do Envoy do contentor gce-mesh. A autorização é concedida por predefinição se os VPC Service Controls não estiverem ativados.

  • Desative um IP externo concluindo os seguintes passos:

    1. Ative o acesso privado à Google na sub-rede da VPC usada para o conetor do IAP selecionando a caixa na configuração. Para mais informações, consulte o artigo Acesso privado à Google.
    2. Certifique-se de que a configuração da firewall da rede VPC permite o acesso das VMs aos endereços IP usados pelas APIs e pelos serviços Google. Esta opção é implicitamente permitida por predefinição, mas pode ser alterada explicitamente pelos utilizadores. Para obter informações sobre como encontrar o intervalo de IPs, consulte o artigo Endereços IP para domínios predefinidos.

Implemente um conetor para uma app no local

  1. Aceda à página de administração de IAP.

    Aceda à página de administração de IAPs

  2. Comece a configurar a implementação do conetor para uma app no local clicando em Configuração de conetores no local.

  3. Certifique-se de que as APIs necessárias são carregadas clicando em Ativar APIs.

  4. Escolha se a implementação deve usar um certificado gerido pela Google ou um certificado gerido por si, selecione a rede e a sub-rede para a implementação (ou opte por criar uma nova) e, em seguida, clique em Seguinte.

  5. Introduza os detalhes de uma app no local que quer adicionar:

    • O URL externo dos pedidos que chegam a Google Cloud. Este URL é o local onde o tráfego entra no ambiente.
    • Um nome para a app. Também é usado como o nome de um novo serviço de back-end por detrás do equilibrador de carga.

    • O tipo de ponto final no local e os respetivos detalhes:

      • Nome do domínio totalmente qualificado (FQDN): o domínio para o qual o conetor deve encaminhar o tráfego.
      • Endereço IP: uma ou mais zonas onde o conetor do IAP deve ser implementado (por exemplo, us-central1-a) e, para cada uma, o endereço IPv4 do destino interno para a app no local para a qual o IAP encaminha o tráfego depois de um utilizador ter sido autorizado e autenticado.

    • O protocolo usado pelo ponto final no local.

    • O número da porta usado pelo ponto final no local, como 443 para HTTPS ou 80 para HTTP.

  6. Clique em Concluído para guardar os detalhes dessa app. Se quiser, pode definir apps no local adicionais para a implementação.

  7. Quando tiver tudo pronto, clique em Enviar para iniciar a implementação das apps que definiu.

Quando a implementação estiver concluída, as apps do conetor no local aparecem na tabela de recursos HTTP e o IAP pode ser ativado.

Se optar por permitir que a Google gere e faça a gestão automática dos certificados, o aprovisionamento dos mesmos pode demorar alguns minutos. Pode verificar o estado na página de detalhes do Cloud Load Balancing. Para mais informações sobre o estado, consulte a página de resolução de problemas.

Faça a gestão de um conetor para uma app no local

  • Pode adicionar mais apps à sua implementação em qualquer altura clicando em Configuração de conetores no local.

  • Pode eliminar o conetor no local eliminando toda a implementação:

    1. Aceda à página Gestor de implementação.

      Aceda à página do Gestor de implementação

    2. Na lista de implementações, selecione a caixa de verificação junto à implementação "on-prem-app-deployment".

    3. Na parte superior da página, clique em Eliminar

  • Pode eliminar uma app individual clicando no botão de eliminação na Configuração de conetores no local O conetor no local tem de conter, pelo menos, uma app. Para remover todas as apps, elimine toda a implementação.