Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En esta guía, se explica cómo proteger una aplicación local basada en HTTP o HTTPS fuera deGoogle Cloud con Identity-Aware Proxy (IAP) mediante la implementación de un conector IAP.
La URL externa que se usará como punto de entrada para el tráfico aGoogle Cloud. Por ejemplo, www.hr-domain.com
Un certificado SSL o TLS para el nombre de host DNS que se usa como punto de entrada para el tráfico a Google Cloud. Se puede usar un certificado autoadministrado o administrado por Google existente. Si no tienes un certificado, crea uno con Let's Encrypt
Si los Controles del servicio de VPC están habilitados, se crea una red de VPC con una
política de salida
en la acción cp para la cuenta de servicio de la VM al bucket gce-mesh, que se encuentra en
el proyecto 278958399328. Esto otorga permiso a la red de VPC para recuperar el archivo binario de Envoy del bucket de gce-mesh.
El permiso se otorga de forma predeterminada si no se habilitan los Controles del servicio de VPC.
Para inhabilitar una IP externa, completa los siguientes pasos:
Para habilitar el Acceso privado a Google en la subred de VPC que se usa en el conector IAP, marca la casilla en la configuración. Para obtener información adicional, consulta Acceso privado a Google.
Asegúrate de que la configuración de firewall de la red de VPC permita el acceso de las VMs a las direcciones IP que usan las APIs y los servicios de Google. Esto se permite de forma implícita de forma predeterminada, pero los usuarios pueden cambiarlo de forma explícita. Para obtener información sobre cómo encontrar el rango de IP, consulta Direcciones IP para dominios predeterminados.
Comienza a configurar la implementación del conector para una aplicación local. mediante un clic en Configuración de conectores locales.
Haz clic en Habilitar API para asegurarte de que las API necesarias estén cargadas.
Elige si la implementación debe usar un certificado administrado por Google o uno administrado por ti, selecciona la red y la subred para la implementación (o elige crear una nueva) y, luego, haz clic en Siguiente.
Ingresa los detalles de la app local que quieres agregar:
La URL externa de las solicitudes que llegan a Google Cloud. Esta URL es por donde ingresa el tráfico al entorno.
Un nombre para la aplicación. También se usará como el nombre de un servicio de backend nuevo detrás del balanceador de cargas.
El tipo de extremo local y sus detalles:
Nombre de dominio completamente calificado (FQDN): Es el dominio al que el conector debe reenviar el tráfico.
Dirección IP: Una o más zonas en las que implementar el conector IAP (por ejemplo, us-central1-a) y, para cada una, la dirección IPv4 del destino interno de la aplicación local en la que IAP enruta el tráfico después de que se autoriza y autentica un usuario.
Es el protocolo que usa el extremo local.
Es el número de puerto que usa el extremo local, como 443 para HTTPS o 80 para HTTP.
Haz clic en Listo para guardar los detalles de esa app. Si lo deseas, puedes definir apps locales adicionales para la implementación.
Cuando esté todo listo, haz clic en Enviar para comenzar la implementación de las apps que definiste.
Una vez completada la implementación, tus aplicaciones de conectores locales aparecerán en la tabla Recursos HTTP e IAP podrá habilitarse.
Si permites que Google genere y administre los certificados automáticamente, es posible que estos tarden algunos minutos en aprovisionarse. Puedes verificar el estado en la página de detalles de Cloud Load Balancing. Para obtener más información sobre el estado, consulta la página de solución de problemas.
Administra un conector para una app local
Para agregar más apps a tu implementación en cualquier momento, haz clic en Configuración de conectores locales.
Para borrar el conector local, borra toda la
implementación:
En la lista de implementaciones, selecciona la casilla de verificación junto a la implementación "on-prem-app-deployment".
En la parte superior de la página, haz clic en Borrar.
Para borrar una app individual, haz clic en el botón de borrar en la configuración de conectores locales. El conector local debe contener al menos una app. Para quitar toda la aplicación, borra toda la implementación.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[],[],null,["# Enabling IAP for on-premises apps\n\nThis guide explains how to secure an HTTP or HTTPS based, on-premises app outside of\nGoogle Cloud with\n[Identity-Aware Proxy (IAP)](/iap/docs/concepts-overview) by deploying an\nIAP connector.\nFor more information on how IAP secures on-premises apps and resources, see the [IAP for on-premises apps overview](/iap/docs/cloud-iap-for-on-prem-apps-overview).\n\nBefore you begin\n----------------\n\nBefore you begin, you need the following:\n\n- An HTTP or HTTPS based on-premises app.\n- A Cloud Identity member [granted the\n **Owner** role](/iam/docs/granting-changing-revoking-access#grant_access) on your Google Cloud project.\n- Granted the [Google APIs Service Agent](/iam/docs/service-agents#google-apis-service-agent) with owner role.\n- A Google Cloud project with [billing enabled](/billing/docs/how-to/modify-project).\n- The external URL to use as the ingress point for traffic to Google Cloud. For example, `www.hr-domain.com`.\n- An SSL or TLS certificate for the DNS hostname that is used as the ingress point for traffic to Google Cloud. An existing self-managed or [Google-managed](/load-balancing/docs/ssl-certificates#managed-certs) certificate can be used. If you don't have a certificate, create one using [Let's Encrypt](https://letsencrypt.org/).\n- If VPC Service Controls is enabled, a VPC network with an [egress policy](/vpc-service-controls/docs/ingress-egress-rules#egress_rules_reference) on `cp` action for the VM service account to the gce-mesh bucket, which is in project 278958399328. This grants the VPC network permission to retrieve the Envoy binary file from the gce-mesh bucket. The permission is granted by default, if VPC Service Controls is not enabled.\n- Disable an external IP by completing the following steps:\n\n 1. Enable Private Google Access on the VPC subnet that is used for the IAP connector by checking the box in the configuration. For additional information, see [Private Google Access](https://cloud.google.com/vpc/docs/private-google-access).\n 2. Ensure that the firewall configuration of the VPC network allows access from the VMs to the IP addresses used by the Google APIs and services. This is implicitly allowed by default, but can be changed by the users explicitly. For information about how to find the IP range, see [IP addresses for default domains](https://cloud.google.com/vpc/docs/configure-private-google-access#ip-addr-defaults).\n\nDeploy a connector for an on-premises app\n-----------------------------------------\n\n1. Go to the [IAP admin page](https://console.cloud.google.com/security/iap).\n\n [Go to the IAP admin page](https://console.cloud.google.com/security/iap)\n2. Begin setting up your connector deployment for an on-premises app by clicking\n **On-prem connectors setup**.\n\n3. Ensure that the required APIs are loaded by clicking **Enable APIs**.\n\n4. Choose whether the deployment should use a Google-managed certificate or one\n managed by you, select the network and subnet for the deployment (or choose\n to create a new one), and then click **Next**.\n\n5. Enter the details for an on-premises app you want to add:\n\n - The external URL of requests coming to Google Cloud. This URL is where traffic enters the environment.\n - A name for the app. It will also be used as the name for a new [backend service](/load-balancing/docs/backend-service) behind the load balancer.\n - The on-prem endpoint type and its details:\n\n - Fully qualified domain name (FQDN): The domain where the connector should forward the traffic.\n - IP address: One or more zones for where the IAP connector should be deployed (for example, `us-central1-a`) and, for each, the IPv4 address of the internal destination for the on-premises app to which IAP routes traffic after a user has been authorized and authenticated.\n\n | **Note:** If your on-prem endpoint is an IP address, consider using a [hybrid connectivity network endpoint group](https://cloud.google.com/load-balancing/docs/negs/hybrid-neg-concepts#use-case_routing_traffic_to_an_on-premises_location_or_another_cloud) directly with a load balancer instead of using the IAP on-prem connector.\n - The protocol used by the on-prem endpoint.\n\n - The port number used by the on-prem endpoint, such as 443 for HTTPS or 80 for HTTP.\n\n6. Click **Done** to save the details for that app. If you want, you can then\n define additional on-premises apps for the deployment.\n\n7. When you're ready, click **Submit** to begin deployment of the apps you've\n defined.\n\nOnce the deployment is complete, your on-prem connector apps appear in the\n**HTTP resources** table and IAP can be enabled.\n\nIf you choose to let Google auto-generate and manage the certificates, it might\ntake a few minutes for the certificates to provision. You can check the status\nat the Cloud Load Balancing detail page. For more information about the\nstatus, see\n[troubleshooting page](/load-balancing/docs/ssl-certificates/troubleshooting#certificate-managed-status).\n\nManage a connector for an on-premises app\n-----------------------------------------\n\n- You can add more apps to your deployment at any time by clicking **On-prem connectors setup**.\n- You can delete the on-premises connector by deleting the entire\n deployment:\n\n 1. Go to the [Deployment Manager page](https://console.cloud.google.com/dm/deployments).\n\n [Go to the Deployment Manager page](https://console.cloud.google.com/dm/deployments)\n 2. In the list of deployments, select the checkbox next to the\n \"on-prem-app-deployment\" deployment.\n\n 3. On the top of the page, click **Delete**\n\n- You can delete individual app by clicking the delete button in the\n **On-prem connectors setup**\n The on-premises connector must contains at least one app. To remove all app,\n please delete the entire deployment."]]