为本地应用启用 IAP

本指南介绍如何通过部署 IAP 连接器使用 Identity-Aware Proxy (IAP) 保护 Google Cloud 外部基于 HTTP 的本地应用的安全。

如需详细了解 IAP 如何保护本地应用和资源,请参阅在本地应用中使用 Cloud IAP 概览

准备工作

在开始之前,您需要做好以下准备:

  • 基于 HTTP 的本地应用,该应用拥有自己的 IAP 实例。
  • Cloud Identity 成员已授予您 Google Cloud 项目的 Owner 角色
  • 启用了结算功能的 Google Cloud 项目。
  • DNS 主机名,用作到 Google Cloud 的流量的入口点。例如 www.hr-domain.com
  • DNS 主机名的 SSL 或 TLS 证书,用作到 Google Cloud 的流量入站点。可以使用现有的自行管理证书或由 Google 管理的证书。如果您没有证书,请使用 Let's Encrypt 创建一个。

为本地应用部署连接器

  1. 转到 IAP 管理页面

    转到 IAP 管理页面

  2. 点击本地连接器设置,开始为本地应用设置连接器部署。

  3. 通过点击启用 API 确保加载所需的 API。

  4. 选择部署应使用 Google 管理的证书还是由您管理的证书,接下来选择部署的网络和子网(或选择创建新的网络和子网),然后点击下一步

  5. 输入要添加的本地应用的详细信息:

    • 发往 Google Cloud 的请求的外部网址。该网址是流量进入环境的位置。
    • 应用的名称。它还将用作负载平衡器后的新后端服务的名称。
    • 连接器应部署到的地区。例如 us-central
    • IAP 连接器应部署到的一个或多个区域(例如,us-central1-a),以及对于每个区域,本地应用的内部目标 IPv4 地址。当用户获得授权并进行身份验证后,IAP 会将流量路由到这些地址。
    • 用于访问内部目标的端口。
  6. 点击完成以保存该应用的详细信息。如有需要,您可以为部署定义其他本地应用。

  7. 准备就绪后,点击提交以开始部署您已定义的应用。

部署完成后,本地连接器应用将显示在 HTTP 资源表中,并可启用 IAP。

管理本地应用的连接器

  • 您可以点击本地连接器设置来随时向部署添加更多应用。
  • 您只能通过删除整个部署来删除本地连接器应用:

    1. 转到 Deployment Manager 页面

      转到 Deployment Manager 页面

    2. 在部署列表中,选中“on-prem-app-deployment”部署旁边的复选框。

    3. 点击页面顶部的删除