Se usó la API de Cloud Translation para traducir esta página.

Habilita IAP para aplicaciones locales

Esta guía explica cómo proteger una aplicación local basada en HTTP o HTTPS fuera de Google Cloud con Identity-Aware Proxy (IAP) con la implementación de un del conector IAP.

Para obtener más información sobre cómo IAP protege las aplicaciones locales y consulta la Descripción general de IAP para aplicaciones locales.

Antes de comenzar

Antes de comenzar, necesitas lo siguiente:

Una aplicación local basada en HTTP o HTTPS
Que un miembro de Cloud Identity haya otorgado la función Propietario a tu proyecto de Google Cloud
Se otorga al agente de servicio de las API de Google la función de propietario.
Un proyecto de Google Cloud con facturación habilitada
Una licencia de Chrome Enterprise Premium.
La URL externa que se usará como punto de entrada para el tráfico a Google Cloud. Por ejemplo, www.hr-domain.com.
Un certificado SSL o TLS para el nombre de host DNS que se usa como punto de entrada para el tráfico a Google Cloud. Se puede usar un certificado autoadministrado o administrado por Google existente. Si no tienes un certificado, crea uno con Let's Encrypt
Si los Controles del servicio de VPC están habilitados, una red de VPC con una política de salida en la acción cp para la cuenta de servicio de VM al bucket gce-mesh, que se encuentra en el proyecto 278958399328. De este modo, se le otorga permiso a la red de VPC para recuperar la Archivo binario de Envoy del bucket gce-mesh. El permiso se otorga de forma predeterminada si los Controles del servicio de VPC no están habilitados.
Para inhabilitar una IP externa, sigue estos pasos:
1. Para habilitar el Acceso privado a Google en la subred de VPC que se usa en el conector IAP, marca la casilla en la configuración. Para obtener información adicional, consulta Acceso privado a Google.
2. Asegurarse de que la configuración de firewall de la red de VPC permita el acceso desde las VMs a las direcciones IP que usan las APIs y los servicios de Google. Esto se permite de forma implícita de forma predeterminada, pero los usuarios pueden modificarlo de forma explícita. Para obtener información sobre cómo encontrar el rango de IP, consulta Direcciones IP para dominios predeterminados.

Implementa un conector para una app local

Ve a la página de administrador de IAP.

Ir a la página de administrador de IAP
Comienza a configurar la implementación del conector para una aplicación local. mediante un clic en Configuración de conectores locales.
Haz clic en Habilitar API para asegurarte de que las API necesarias estén cargadas.
Elige si la implementación debe usar un certificado administrado por Google o uno administrado por ti, selecciona la red y la subred para la implementación (o elige crear una nueva) y, luego, haz clic en Siguiente.
Ingresa los detalles de la app local que quieras agregar:
- La URL externa de las solicitudes que llegan a Google Cloud. Esta URL es por donde ingresa el tráfico al entorno.
- Un nombre para la aplicación. También se usará como el nombre de un servicio de backend nuevo detrás del balanceador de cargas.
- El tipo de extremo local y sus detalles:
  - Nombre de dominio completamente calificado (FQDN): el dominio donde el conector debe reenviar el tráfico.
  - Dirección IP: una o más zonas en las que debe estar el conector IAP implementadas (por ejemplo, us-central1-a) y, para cada una, la dirección IPv4 del el destino interno de la app local IAP enruta el tráfico después de que un usuario ha sido autorizado autenticado.
  Nota: Si tu extremo local es una dirección IP, considera usar un grupo de extremos de red de conectividad híbrida directamente con un balanceador de cargas, en lugar de usar el conector IAP local.
- El protocolo que usa el extremo local.
- El número de puerto que usa el extremo local, como 443 para HTTPS u 80 para HTTP.
Haz clic en Listo para guardar los detalles de esa app. Si lo deseas, puedes definir aplicaciones locales adicionales para la implementación.
Cuando estés listo, haz clic en Submit para comenzar la implementación de las apps que definido.

Una vez completada la implementación, tus aplicaciones de conectores locales aparecerán en la tabla Recursos HTTP e IAP podrá habilitarse.

Si permites que Google genere y administre los certificados automáticamente, es posible que tardar unos minutos en aprovisionarse. Puedes consultar el estado en la página de detalles de Cloud Load Balancing. Para obtener más información sobre el estado, consulta página de solución de problemas.

Administra un conector para una app local

Para agregar más apps a tu implementación en cualquier momento, haz clic en Configuración de conectores locales.
Puedes borrar el conector local si borras el Deployment:
1. Ve a la página Deployment Manager.
  
  Ir a la página de Deployment Manager
2. En la lista de implementaciones, selecciona la casilla de verificación junto al "on-prem-app-deployment" de Google Workspace.
3. En la parte superior de la página, haz clic en Borrar.
Para borrar una app individual, haz clic en el botón de borrar en la configuración de conectores locales. El conector local debe contener al menos una app. Para quitar toda la aplicación, borra toda la implementación.