为本地应用启用 IAP

本指南介绍如何通过部署 IAP 连接器使用 Identity-Aware Proxy (IAP) 保护 Google Cloud 外部基于 HTTP 或 HTTPS 的本地应用的安全。

如需详细了解 IAP 如何保护本地应用和资源,请参阅在本地应用中使用 Cloud IAP 概览

准备工作

在开始之前,您需要做好以下准备:

  • 基于 HTTP 或 HTTPS 的本地应用。
  • Cloud Identity 成员已授予您 Google Cloud 项目的 Owner 角色
  • 启用了结算功能的 Google Cloud 项目。
  • BeyondCorp Enterprise 许可。
  • 用作 Google Cloud 流量入站点的外部网址。例如 www.hr-domain.com
  • DNS 主机名的 SSL 或 TLS 证书,用作到 Google Cloud 的流量入站点。可以使用现有的自行管理证书或由 Google 管理的证书。如果您没有证书,请使用 Let's Encrypt 创建一个。
  • 如果启用了 VPC Service Controls,则 VPC 网络将出站流量政策oncp虚拟机服务帐号对 gce-mesh 存储分区的操作,位于项目 278958399328 中。这将授予 VPC 网络从 gce-mesh 存储分区检索 Envoy 二进制文件的权限。如果未启用 VPC Service Controls,则默认授予权限。

为本地应用部署连接器

  1. 转到 IAP 管理页面

    转到 IAP 管理页面

  2. 点击本地连接器设置,开始为本地应用设置连接器部署。

  3. 通过点击启用 API 确保加载所需的 API。

  4. 选择部署应使用 Google 管理的证书还是由您管理的证书,接下来选择部署的网络和子网(或选择创建新的网络和子网),然后点击下一步

  5. 输入要添加的本地应用的详细信息:

    • 发往 Google Cloud 的请求的外部网址。该网址是流量进入环境的位置。
    • 应用的名称。它还将用作负载平衡器后的新后端服务的名称。
    • 本地端点类型及其详细信息:
      • FQDN:连接器应在其中转发流量的网域。区域:连接器应部署到的区域。
      • IP 地址:连接器应部署到的区域。例如 us-central。IAP 连接器应部署到的一个或多个可用区(例如 us-central1-a),以及对于每个可用区,本地应用的内部目标位置的 IPv4 地址。当用户获得授权并进行身份验证后,IAP 会将流量路由到这些地址。
    • 您要使用的协议。您还必须输入端口值,例如 443(对于 HTTPS)或 80(对于 HTTP)。
    • 用于访问内部目标的端口。
  6. 点击完成以保存该应用的详细信息。如有需要,您可以为部署定义其他本地应用。

  7. 准备就绪后,点击提交以开始部署您已定义的应用。

部署完成后,本地连接器应用将显示在 HTTP 资源表中,并可启用 IAP。

如果您选择让 Google 自动生成和管理证书,供应证书可能需要几分钟时间。您可以在 Cloud Load Balancing 详细信息页面上查看状态。如需详细了解这些状态,请参阅“问题排查”页面

管理本地应用的连接器

  • 您可以点击本地连接器设置来随时向部署添加更多应用。
  • 您可以通过删除整个部署来删除本地连接器:

    1. 转到 Deployment Manager 页面

      转到 Deployment Manager 页面

    2. 在部署列表中,选中“on-prem-app-deployment”部署旁边的复选框。

    3. 点击页面顶部的删除

  • 您可以点击本地连接器设置中的删除按钮来删除单个应用。本地连接器必须至少包含一个应用。如需移除所有应用,请删除整个部署。