Mengaktifkan IAP untuk aplikasi lokal

Panduan ini menjelaskan cara mengamankan aplikasi lokal berbasis HTTP atau HTTPS di luar Google Cloud menggunakan Identity-Aware Proxy (IAP) dengan men-deploy konektor IAP.

Untuk mengetahui informasi selengkapnya tentang cara IAP mengamankan aplikasi dan resource lokal, lihat ringkasan IAP untuk aplikasi lokal.

Sebelum memulai

Sebelum memulai, Anda memerlukan hal berikut:

  • HTTP atau HTTPS berbasis aplikasi lokal.
  • Anggota Cloud Identity diberi peran Pemilik di project Google Cloud Anda.
  • Memberikan peran pemilik kepada Agen Layanan Google API.
  • Project Google Cloud dengan penagihan diaktifkan.
  • Lisensi BeyondCorp Enterprise.
  • URL eksternal yang akan digunakan sebagai titik masuk untuk traffic ke Google Cloud. Misalnya, www.hr-domain.com.
  • Sertifikat SSL atau TLS untuk nama host DNS yang digunakan sebagai ingress point untuk traffic ke Google Cloud. Sertifikat yang sudah ada dan dikelola sendiri atau dikelola Google dapat digunakan. Jika Anda tidak memiliki sertifikat, buat sertifikat menggunakan Let's Encrypt.
  • Jika Kontrol Layanan VPC diaktifkan, jaringan VPC dengan kebijakan keluar pada tindakan cp untuk akun layanan VM ke bucket gce-mesh ada di project 278958399328. Hal ini memberikan izin jaringan VPC untuk mengambil file biner Envoy dari bucket gce-mesh. Izin diberikan secara default, jika Kontrol Layanan VPC tidak diaktifkan.
  • Nonaktifkan IP eksternal dengan menyelesaikan langkah-langkah berikut:

    1. Aktifkan Akses Google Pribadi pada subnet VPC yang digunakan untuk konektor IAP dengan mencentang kotak di konfigurasi. Untuk informasi tambahan, lihat Akses Google Pribadi.
    2. Pastikan konfigurasi firewall jaringan VPC mengizinkan akses dari VM ke alamat IP yang digunakan oleh Google API dan layanan Google. Secara implisit, hal ini diizinkan secara default, tetapi dapat diubah oleh pengguna secara eksplisit. Untuk mengetahui informasi tentang cara menemukan rentang IP, lihat Alamat IP untuk domain default.

Men-deploy konektor untuk aplikasi lokal

  1. Buka halaman admin IAP.

    Buka halaman admin IAP

  2. Mulai siapkan deployment konektor Anda untuk aplikasi lokal dengan mengklik Penyiapan konektor lokal.

  3. Pastikan API yang diperlukan dimuat dengan mengklik Enable APIs.

  4. Pilih apakah deployment harus menggunakan sertifikat yang dikelola Google atau yang Anda kelola, pilih jaringan dan subnet untuk deployment tersebut (atau pilih untuk membuat yang baru), lalu klik Next.

  5. Masukkan detail untuk aplikasi lokal yang ingin Anda tambahkan:

    • URL eksternal permintaan yang masuk ke Google Cloud. URL ini adalah tempat traffic memasuki lingkungan.
    • Nama untuk aplikasi. Ini juga akan digunakan sebagai nama untuk layanan backend baru di belakang load balancer.
    • Jenis endpoint lokal dan detailnya:

      • Nama domain yang sepenuhnya memenuhi syarat (FQDN): Domain tempat konektor harus meneruskan traffic.
      • Alamat IP: Satu atau beberapa zona tempat konektor IAP harus di-deploy (misalnya, us-central1-a) dan, untuk setiap zona, alamat IPv4 tujuan internal untuk aplikasi lokal yang menjadi tujuan rute traffic setelah pengguna diotorisasi dan diautentikasi.
    • Protokol yang digunakan oleh endpoint lokal.

    • Nomor port yang digunakan oleh endpoint lokal, seperti 443 untuk HTTPS atau 80 untuk HTTP.

  6. Klik Done untuk menyimpan detail aplikasi tersebut. Jika mau, Anda dapat menentukan aplikasi lokal tambahan untuk deployment.

  7. Jika sudah siap, klik Kirim untuk memulai deployment aplikasi yang telah Anda tentukan.

Setelah deployment selesai, aplikasi konektor lokal Anda akan muncul di tabel resource HTTP dan IAP dapat diaktifkan.

Jika Anda memilih untuk mengizinkan Google membuat dan mengelola sertifikat secara otomatis, mungkin perlu waktu beberapa menit hingga sertifikat selesai disediakan. Anda dapat memeriksa status di halaman detail Cloud Load Balancing. Untuk mengetahui informasi selengkapnya tentang statusnya, lihat halaman pemecahan masalah.

Mengelola konektor untuk aplikasi lokal

  • Anda dapat menambahkan lebih banyak aplikasi ke deployment kapan saja dengan mengklik Penyiapan konektor lokal.
  • Anda dapat menghapus konektor lokal dengan menghapus seluruh deployment:

    1. Buka halaman Deployment Manager.

      Buka halaman Deployment Manager

    2. Dalam daftar deployment, pilih kotak centang di samping deployment "on-prem-app-deployment".

    3. Di bagian atas halaman, klik Hapus

  • Anda dapat menghapus aplikasi satu per satu dengan mengklik tombol hapus di Penyiapan konektor lokal Konektor lokal harus berisi minimal satu aplikasi. Untuk menghapus semua aplikasi, hapus seluruh deployment.