Abilitare IAP per le app on-premise

Questa guida spiega come proteggere un'app on-premise basata su HTTP o HTTPS esterna aGoogle Cloud con Identity-Aware Proxy (IAP) eseguendo il deployment di un connettore IAP.

Per saperne di più su come IAP protegge le app e le risorse on-premise, consulta la panoramica di IAP per le app on-premise.

Prima di iniziare

Prima di iniziare, devi disporre di quanto segue:

• Un'app on-premise basata su HTTP o HTTPS.
• Un membro di Cloud Identity ha conseguito il ruolo di proprietario nel tuo progetto Google Cloud .
• È stato concesso all'agente di servizio per le API di Google il ruolo di proprietario.
• Un Google Cloud progetto con fatturazione abilitata.
• L'URL esterno da utilizzare come punto di ingresso per il traffico verso Google Cloud. Ad esempio, www.hr-domain.com.
• Un certificato SSL o TLS per il nome host DNS utilizzato come punto di ingresso per il traffico verso Google Cloud. Puoi utilizzare un certificato con gestione indipendente o gestito da Google esistente. Se non hai un certificato, creane uno utilizzando Let's Encrypt.
• Se i Controlli di servizio VPC sono attivati, una rete VPC con un regolamento di uscita sull'azione cp per l'account di servizio VM al bucket gce-mesh, che si trova nel progetto 278958399328. In questo modo, la rete VPC ottiene l'autorizzazione per recuperare il file binario di Envoy dal bucket gce-mesh. L'autorizzazione viene concessa per impostazione predefinita se i Controlli di servizio VPC non sono abilitati.

• Per disattivare un indirizzo IP esterno, segui questi passaggi:

  1. Abilita l'accesso privato Google sulla subnet VPC utilizzata per il connettore IAP selezionando la casella nella configurazione. Per ulteriori informazioni, vedi Accesso privato Google.
  2. Assicurati che la configurazione del firewall della rete VPC consenta l'accesso dalle VM agli indirizzi IP utilizzati dalle API e dai servizi Google. Questa operazione è consentita implicitamente per impostazione predefinita, ma può essere modificata dagli utenti in modo esplicito. Per informazioni su come trovare l'intervallo IP, vedi Indirizzi IP per i domini predefiniti.

Esegui il deployment di un connettore per un'app on-premise

1. Vai alla pagina di amministrazione di IAP.

   Vai alla pagina di amministrazione di IAP

2. Per iniziare a configurare l'implementazione del connettore per un'app on-premise, fai clic su Configurazione dei connettori on-prem.

3. Assicurati che le API richieste siano caricate facendo clic su Abilita API.

4. Scegli se il deployment deve utilizzare un certificato gestito da Google o uno gestito da te, seleziona la rete e la subnet per il deployment (o scegli di crearne una nuova) e poi fai clic su Avanti.

5. Inserisci i dettagli di un'app on-premise da aggiungere:

   • L'URL esterno delle richieste in arrivo a Google Cloud. Questo URL è dove il traffico entra nell'ambiente.
   • Un nome per l'app. Verrà utilizzato anche come nome di un nuovo servizio di backend dietro il bilanciatore del carico.

   • Il tipo di endpoint on-prem e i relativi dettagli:

     • Nome di dominio completo (FQDN): il dominio a cui il connettore deve inoltrare il traffico.
     • Indirizzo IP: una o più zone in cui deve essere eseguito il deployment del connettore IAP (ad esempio us-central1-a) e, per ciascuna, l'indirizzo IPv4 della destinazione interna per l'app on-premise a cui IAP instrada il traffico dopo che un utente è stato autorizzato e autenticato.

   • Il protocollo utilizzato dall'endpoint on-premise.

   • Il numero di porta utilizzato dall'endpoint on-premise, ad esempio 443 per HTTPS o 80 per HTTP.

6. Fai clic su Fine per salvare i dettagli dell'app. Se vuoi, puoi poi definire altre app on-premise per il deployment.

7. Quando è tutto pronto, fai clic su Invia per avviare il deployment delle app che hai definito.

Al termine del deployment, le app di connettore on-prem vengono visualizzate nella tabella Risorse HTTP e l'IAP può essere attivato.

Se scegli di lasciare che sia Google a generare e gestire automaticamente i certificati, il provisioning dei certificati potrebbe richiedere alcuni minuti. Puoi controllare lo stato nella pagina dei dettagli di Cloud Load Balancing. Per ulteriori informazioni sullo stato, consulta la pagina di risoluzione dei problemi.

Gestire un connettore per un'app on-premise

• Puoi aggiungere altre app al deployment in qualsiasi momento facendo clic su Configurazione dei connettori on-premise.

• Puoi eliminare il connettore on-premise eliminando l'intero deployment:

  1. Vai alla pagina Deployment Manager.

     Vai alla pagina Deployment Manager

  2. Nell'elenco dei deployment, seleziona la casella di controllo accanto al deployment "on-prem-app-deployment".

  3. Nella parte superiore della pagina, fai clic su Elimina.

• Puoi eliminare una singola app facendo clic sul pulsante Elimina nella configurazione dei connettori on-premise. Il connettore on-premise deve contenere almeno un'app. Per rimuovere tutte le app, elimina l'intero deployment.