Cette page a été traduite par l'API Cloud Translation.

Activer IAP pour les applications sur site

Ce guide explique comment sécuriser une application sur site basée sur HTTP ou HTTPS en dehors deGoogle Cloud à l'aide d'Identity-Aware Proxy (IAP) en déployant un connecteur IAP.

Pour en savoir plus sur la manière dont IAP sécurise les applications et ressources sur site, consultez la présentation d'IAP pour les applications sur site.

Avant de commencer

Avant de commencer, vous avez besoin des éléments suivants :

Une application sur site basée sur HTTP ou HTTPS.
Un membre Cloud Identity auquel le rôle Propriétaire a été accordé sur votre Google Cloud projet.
Attribution du rôle de propriétaire à l'agent de service des API Google.
Un Google Cloud projet avec la facturation activée.
L'URL externe à utiliser comme point d'entrée du trafic versGoogle Cloud. Exemple :www.hr-domain.com
Un certificat SSL ou TLS pour le nom d'hôte DNS utilisé comme point d'entrée du trafic vers Google Cloud. Vous pouvez utiliser un certificat autogéré existant ou géré par Google. Si vous n'avez pas de certificat, créez-en un à l'aide de Let's Encrypt.
Si VPC Service Controls est activé, un réseau VPC avec une règle de sortie sur une action cp pour le compte de service de VM à destination du bucket gce-mesh, situé dans le projet 278958399328. Cela accorde au réseau VPC l'autorisation de récupérer le fichier binaire Envoy à partir du bucket gce-mesh. L'autorisation est accordée par défaut si VPC Service Controls n'est pas activé.
Pour désactiver une adresse IP externe, procédez comme suit :
1. Activez l'accès privé à Google sur le sous-réseau VPC utilisé pour le connecteur IAP en cochant la case dans la configuration. Pour plus d'informations, consultez la section Accès privé à Google.
2. Vérifiez que la configuration du pare-feu du réseau VPC autorise l'accès des VM aux adresses IP utilisées par les API et services Google. Cela est implicitement autorisé par défaut, mais peut être modifié explicitement par les utilisateurs. Pour savoir comment trouver la plage d'adresses IP, consultez la section Adresses IP pour les domaines par défaut.

Déployer un connecteur pour une application sur site

Accédez à la page d'administration d'IAP.

Accéder à la page d'administration d'IAP
Commencez à configurer le déploiement de votre connecteur pour une application sur site en cliquant sur Configuration de connecteurs sur site.
Assurez-vous que les API requises sont chargées en cliquant sur Activer les API.
Choisissez si le déploiement doit utiliser un certificat géré par Google ou un certificat que vous gérez vous-même, sélectionnez le réseau et le sous-réseau pour le déploiement (ou créez-en un nouveau), puis cliquez sur Suivant
Saisissez les détails pour une application sur site que vous souhaitez ajouter :
- URL externe des requêtes provenant de Google Cloud. Cette URL correspond au trafic entrant dans l'environnement.
- Nom de l'application. Il servira également de nom au nouveau service de backend derrière l'équilibreur de charge.
- Le type de point de terminaison sur site et ses détails:
  - Nom de domaine complet (FQDN): domaine vers lequel le connecteur doit transférer le trafic.
  - Adresse IP: une ou plusieurs zones dans lesquelles le connecteur IAP doit être déployé (par exemple, us-central1-a) et, pour chacune, l'adresse IPv4 de la destination interne de l'application sur site vers laquelle IAP achemine le trafic après qu'un utilisateur a été autorisé et authentifié.
  Remarque :Si votre point de terminaison sur site est une adresse IP, envisagez d'utiliser un groupe de points de terminaison du réseau de connectivité hybride directement avec un équilibreur de charge au lieu d'utiliser le connecteur sur site de l'IAP Connect.
- Protocole utilisé par le point de terminaison sur site.
- Numéro de port utilisé par le point de terminaison sur site, par exemple 443 pour HTTPS ou 80 pour HTTP.
Cliquez sur OK pour enregistrer les informations concernant cette application. Si vous le souhaitez, vous pouvez ensuite définir d'autres applications sur site pour le déploiement.
Lorsque vous êtes prêt, cliquez sur Envoyer pour lancer le déploiement des applications que vous avez définies.

Une fois le déploiement terminé, vos applications de connecteur sur site apparaissent dans la table Ressources HTTP et vous pouvez activer IAP.

Si vous choisissez de laisser Google générer et gérer automatiquement les certificats, le provisionnement des certificats peut prendre quelques minutes. Vous pouvez vérifier l'état sur la page de détails de Cloud Load Balancing. Pour plus d'informations sur l'état, consultez la page Dépannage.

Gérer un connecteur pour une application sur site

Vous pouvez ajouter d'autres applications à votre déploiement à tout moment en cliquant sur Configuration de connecteurs sur site.
Vous pouvez supprimer le connecteur sur site en supprimant l'intégralité du déploiement :
1. Accédez à la page Deployment Manager.
  
  Accéder à la page Deployment Manager
2. Dans la liste des déploiements, cochez la case située à côté du déploiement "on-prem-app-deployment".
3. En haut de la page, cliquez sur Supprimer.
Vous pouvez supprimer une application individuelle en cliquant sur le bouton de suppression dans la configuration des connecteurs sur site. Le connecteur sur site doit contenir au moins une application. Pour supprimer toutes les applications, veuillez supprimer l'ensemble du déploiement.

Activer IAP pour les applications sur site Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Avant de commencer

Déployer un connecteur pour une application sur site

Gérer un connecteur pour une application sur site

Activer IAP pour les applications sur site