オンプレミス アプリでの IAP の有効化

このガイドでは、IAP コネクタをデプロイして、Google Cloud の外部にある HTTP または HTTPS ベースのオンプレミス アプリを Identity-Aware Proxy(IAP)で保護する方法について説明します。

IAP がオンプレミスのアプリとリソースを保護する仕組みについては、オンプレミス アプリ用 IAP の概要をご覧ください。

始める前に

始める前に、次のものが必要になります。

  • HTTP または HTTPS ベースのオンプレミス アプリ。
  • Google Cloud プロジェクトでオーナー役割が付与されている Cloud Identity メンバー。
  • Google API サービス エージェントにオーナー役割が付与されている。
  • 課金を有効にした Google Cloud プロジェクト
  • BeyondCorp Enterprise ライセンス。
  • Google Cloud へのトラフィックの受信ポイントとして使用する外部 URL。例:www.hr-domain.com
  • Google Cloud へのトラフィックの受信ポイントとして使用する DNS ホスト名の SSL 証明書または TLS 証明書。既存のセルフマネージドまたは Google 管理の証明書を使用できます。証明書がない場合は、Let's Encrypt を使用して証明書を作成してください。
  • VPC Service Controls が有効になっている場合、gce-mesh バケット(プロジェクト 278958399328 に存在)への VM サービス アカウントの cp アクションに対する下り(外向き)ポリシーが設定された VPC ネットワーク。これにより、gce-mesh バケットから Envoy バイナリ ファイルを取得する権限が VPC ネットワークに付与されます。この権限は、VPC Service Controls が有効になっていない場合、デフォルトで付与されます。
  • 次の手順を行って、外部 IP を無効にします。

    1. 構成のチェックボックスをオンにして、IAP コネクタに使用される VPC サブネットで [限定公開の Google アクセス] を有効にします。詳細については、限定公開の Google アクセスをご覧ください。
    2. VPC ネットワークのファイアウォール構成で、VM から Google API とサービスで使用される IP アドレスへのアクセスを許可します。これはデフォルトでは暗黙的に許可されますが、ユーザーが明示的に変更できます。IP 範囲を確認する方法については、デフォルト ドメインの IP アドレスをご覧ください。

オンプレミス アプリのコネクタのデプロイ

  1. IAP 管理ページに移動します。

    IAP 管理ページに移動

  2. [オンプレミス コネクタのセットアップ] をクリックして、オンプレミス アプリのコネクタデプロイの設定を開始します。

  3. [API を有効にする] をクリックして、必要な API が読み込まれていることを確認します。

  4. デプロイで Google が管理する証明書とユーザーが管理する証明書のどちらを使用するかを選択し、デプロイのネットワークとサブネットを選択して(または新しいものを作成することを選択)、[次へ] をクリックします。

  5. 追加するオンプレミス アプリの詳細を入力します。

    • Google Cloud に送信されるリクエストの外部 URL。トラフィックはこの URL から環境内に入ります。
    • アプリの名前。ロードバランサの背後にある新しいバックエンド サービスの名前としても使用されます。
    • オンプレミスのエンドポイントのタイプとその詳細:
      • FQDN: コネクタがトラフィックを転送するドメイン。リージョン: コネクタがデプロイされるリージョン。
      • IP アドレス: コネクタがデプロイされるリージョン。例: us-centralIAP コネクタをデプロイする 1 つ以上のゾーン(例: us-central1-a)、それぞれにオンプレミス アプリの内部宛先の IPv4 アドレス。ユーザーが承認および認証された後、IAP はここにトラフィックをルーティングします。
    • 使用するプロトコル。HTTPS の場合は 443、HTTP の場合は 80 などのポート値も入力する必要があります。
    • 内部宛先へのアクセスに使用されるポート。
  6. [完了] をクリックしてアプリの詳細を保存します。必要に応じて、デプロイ用のオンプレミス アプリを追加で定義できます。

  7. 準備ができたら、[送信] をクリックして、定義したアプリのデプロイを開始します。

デプロイが完了すると、オンプレミスのコネクタアプリが HTTP リソースの表に表示され、IAP が有効になります。

Google に証明書の自動生成と管理を任せる場合は、証明書のプロビジョニングに数分かかることがあります。Cloud Load Balancing の詳細ページでステータスを確認できます。ステータスの詳細については、トラブルシューティング ページをご覧ください。

オンプレミス アプリのコネクタの管理

  • [オンプレミスのコネクタのセットアップ] をクリックすると、いつでもデプロイにアプリを追加できます。
  • オンプレミス コネクタを削除するには、デプロイ全体を削除します。

    1. Deployment Manager のページに移動します。

      Deployment Manager のページに移動

    2. デプロイのリストで、「on-prem-app-deployment」デプロイの横にあるチェックボックスをオンにします。

    3. ページの上部にある [削除] をクリックします。

  • 個別のアプリを削除するには、オンプレミス コネクタのセットアップの削除ボタンをクリックします。オンプレミス コネクタには少なくとも 1 つのアプリが含まれている必要があります。すべてのアプリを削除するには、デプロイ全体を削除してください。