Diese Seite wurde von der Cloud Translation API übersetzt.

IAP für Compute Engine einrichten

In diesem Leitfaden wird beschrieben, wie Sie eine Compute Engine-Instanz mit Identity-Aware Proxy (IAP) einrichten. Wenn Sie Ihre Compute Engine-Instanz bereits eingerichtet haben und IAP nur aktivieren müssen, finden Sie entsprechende Informationen unter IAP für Compute Engine aktivieren.

Ziele

In dieser Anleitung erfahren Sie Folgendes:

Compute Engine-Instanzvorlage und verwaltete Instanzgruppe erstellen
Domainname und Zertifikat abrufen
HTTPS-Load-Balancer mit einem Zertifikat erstellen
IAP aktivieren
IAP auf Funktionsfähigkeit testen

Kosten

In dieser Anleitung werden kostenpflichtige Komponenten von Google Cloud verwendet, darunter die folgenden:

Compute Engine
- 4 virtuelle Maschinen (VM)
Netzwerk
- Globale Weiterleitungsregel für Load-Balancer
- Eingehender Traffic

Mit dem Preisrechner können Sie die Kosten basierend auf der geplanten Nutzung schätzen.

Neuen Cloud Platform-Nutzern steht möglicherweise eine kostenlose Testversion zur Verfügung.

Hinweise

Für diese Anleitung müssen Sie Folgendes ausführen:

Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines.
ZUR SEITE "PROJEKTE"
Aktivieren Sie die Abrechnung für Ihr Projekt. Erfahren Sie mehr darüber, wie Sie die Abrechnungseinstellungen eines Projekts ändern können.

Schritt 1: Compute Engine-Vorlage erstellen

Rufen Sie in der Google Cloud Console die Seite Compute Engine > Instanzvorlage erstellen auf und wählen Sie das Projekt aus, in dem Sie eine Vorlage erstellen möchten.

ZUR SEITE "INSTANZVORLAGE ERSTELLEN"

Übernehmen Sie die Standardwerte mit Ausnahme der folgenden:

Maschinentyp:
- micro (f1-micro)
Zugriffsbereiche:
- Zugriff für jede API festlegen
- Compute Engine: Schreibgeschützt
Firewall:
- HTTP-Traffic zulassen

Kopieren Sie im Abschnitt Verwaltung unter Automatisierung > Startskript das folgende Skript und fügen Sie es ein:

# Copyright 2021 Google LLC
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#      http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

apt-get -y update
apt-get -y install git
apt-get -y install virtualenv
git clone https://github.com/GoogleCloudPlatform/python-docs-samples
cd python-docs-samples/iap
virtualenv venv -p python3
source venv/bin/activate
pip install -r requirements.txt
cat example_gce_backend.py |
  sed -e "s/YOUR_BACKEND_SERVICE_ID/$(gcloud compute backend-services describe my-backend-service --global --format="value(id)")/g" |
  sed -e "s/YOUR_PROJECT_ID/$(gcloud config get-value account | tr -cd "[0-9]")/g" > real_backend.py
gunicorn real_backend:app -b 0.0.0.0:80

Wenn Sie alle Werte aktualisiert haben, klicken Sie auf Erstellen, um die Vorlage zu erstellen.

Schritt 2: Verwaltete Instanzgruppe erstellen

Rufen Sie in der Google Cloud Console die Seite Compute Engine > Neue Instanzgruppe erstellen auf und wählen Sie das Projekt aus, in dem Sie eine verwaltete Instanzgruppe erstellen möchten.

ZUR SEITE "INSTANZGRUPPE ERSTELLEN"

Übernehmen Sie die Standardwerte mit Ausnahme der folgenden:

Name: my-managed-instance-group
Ort: Multi-Zone
Instanzvorlage: Wählen Sie die Instanzvorlage aus, die Sie in Schritt 1 erstellt haben.
Anzahl der Instanzen:Wenn Sie die Anzahl der Instanzen ändern möchten, müssen Sie zuerst das Autoscaling deaktivieren.
Autoscaling-Modus: Kein Autoscaling
Systemdiagnose: Wählen Sie Systemdiagnose erstellen aus und geben Sie folgende Werte ein:
- Name: my-health-check
- Protokoll: HTTP
Verwenden Sie die neue Systemdiagnose und klicken Sie dafür auf Speichern und fortfahren.

Wenn Sie alle Werte aktualisiert haben, klicken Sie auf Erstellen, um die verwaltete Instanzgruppe zu erstellen.

Schritt 3: Domainname und Zertifikat abrufen

Sie benötigen einen Domainnamen und ein signiertes Zertifikat, um das Lastenausgleichsmodul mit HTTPS-Traffic zu verwenden. Sie können eine Domain bei Google Domains registrieren oder den Domain-Registrator Ihrer Wahl verwenden. Registrieren Sie Ihre Domain, bevor Sie mit dieser Anleitung fortfahren.

Zertifikat einrichten

Erstellen Sie ein Zertifikat, das Ihre Website gegenüber Ihren Nutzern identifiziert. Informationen zum Erstellen eines Zertifikats finden Sie unter Von Google verwaltete SSL-Zertifikate verwenden.

Die Zertifizierungsstelle muss bestätigen, dass Sie Inhaber des von Ihnen registrierten Domainnamens sind. In den folgenden Schritten erstellen Sie eine VM, um Ihre Domain bei der Zertifizierungsstelle zu authentifizieren.

VM zum Authentifizieren der Domaininhaberschaft erstellen

Rufen Sie in der Google Cloud Console die Seite Compute Engine > Instanz erstellen auf.

ZUR SEITE "INSTANZ ERSTELLEN"

Übernehmen Sie die Standardwerte mit Ausnahme der folgenden:

Name: certbot-vm
Maschinentyp: micro (f1-micro)
Zugriffsbereiche:
- Zugriff für jede API festlegen
- Compute Engine: Lesen/Schreiben
Bootlaufwerk-Image:
- Debian GNU/Linux 9 (Stretch)
Firewall:
- HTTP-Traffic zulassen
- HTTPS-Traffic zulassen

Wenn Sie mit dem Aktualisieren der Werte fertig sind, klicken Sie auf Erstellen, um die VM-Instanz zu erstellen. Notieren Sie die externe IP-Adresse der VM, die Sie gerade erstellt haben. Sie benötigen sie im nächsten Schritt.

Domain so einrichten, dass sie auf die VM verweist

Konfigurieren Sie mithilfe der folgenden Schritte die A-Einträge, um Ihre Domain so einzurichten, dass sie auf die VM verweist:

Melden Sie sich in Ihrem Domainkonto bei Ihrem Domainhost an.
Suchen Sie die Seite, um die DNS-Einträge der Domain zu aktualisieren. Der Name dieser Seite lautet in etwa "DNS-Verwaltung", "Nameserver-Verwaltung", "Erweiterte Einstellungen" oder ähnlich.
Ändern Sie die Werte der A-Einträge folgendermaßen:
- Name/Host/Alias: @
- Wert: Die externe IP-Adresse der VM, die Sie zuvor für die Authentifizierung Ihrer Domaininhaberschaft erstellt haben.
- TTL: Der Standardwert für Ihren Registrator oder 86400 (ein Tag).
Warten Sie, bis der DNS-Eintrag aktualisiert wurde. Es kann bis zu einem Tag dauern, bis der Eintrag, den Sie hinzugefügt haben, weitergegeben wird.

Weitere Informationen finden Sie unter A-Einträge.

Server testen

Gehen Sie so vor, um zu testen, ob der Server ordnungsgemäß funktioniert:

Rufen Sie in der Google Cloud Console die Seite Compute Engine > VM-Instanzen auf.
ZUR SEITE "VM-INSTANZEN"
Klicken Sie unter Verbinden für certbot-vm auf SSH.
Führen Sie die folgenden Befehle aus, um einen kleinen Webserver auf Ihrer VM auszuführen:
```
  mkdir web
  cd web
  echo "Hello" > index.html
  sudo busybox httpd -v -f
```
Geben Sie in einem Webbrowser den Domainnamen ein, den Sie zuvor registriert haben. Im Webbrowser sollte Hello angezeigt werden und Ihre SSH-Sitzung sollte eine Nachricht darstellen, die ... response:200 enthält. Ist dies nicht der Fall, warten Sie einige Minuten und wiederholen Sie diesen Schritt.
Nach erfolgreichem Test drücken Sie Strg+C, um den Webserver zu beenden.

Zertifikat erstellen

Melden Sie sich bei Let's Encrypt an und erstellen Sie ein Zertifikat. Führen Sie dazu die folgenden Befehle auf der VM aus, wobei YOUR_DOMAIN Ihr Domainname ohne Protokoll ist:

sudo pkill busybox
sudo apt-get install -y certbot
sudo certbot certonly --standalone -d YOUR-DOMAIN

Während dieses Vorgangs kann Let's Encrypt eine E-Mail-Adresse anfordern, um eine Erinnerung zu senden, wenn Ihr Zertifikat abläuft (standardmäßig 3 Monate nach der Ausstellung). Sie müssen außerdem den Nutzungsbedingungen von Let's Encrypt zustimmen.

Nach erfolgreicher Registrierung wird folgende Meldung angezeigt: Congratulations! Your certificate and chain have been saved at...

Zertifikat zu Projekt hinzufügen

Zum Hinzufügen des Zertifikats zu Ihrem Projekt führen Sie die folgenden Befehle auf der VM aus:

sudo su
cd /etc/letsencrypt/live/YOUR_DOMAIN
gcloud compute ssl-certificates create my-cert --certificate=fullchain.pem --private-key=privkey.pem

Wenn Ihr Zertifikat erstellt wurde, sollte eine Meldung angezeigt werden, die der folgenden ähnelt: Created [https://www.googleapis.com/compute/v1/projects/example-project/global/sslCertificates/my-cert]

Schließen Sie die SSH-Sitzung, bevor Sie fortfahren.

Schritt 4: Load-Balancer erstellen

Bevor Sie diesen Schritt ausführen, müssen Sie die im vorherigen Schritt gestartete SSH-Sitzung beenden. Wenn Sie bereit sind, erstellen Sie mit den folgenden Schritten einen Load-Balancer:

Rufen Sie in der Google Cloud Console die Seite Netzwerkdienste > Load-Balancer erstellen auf und wählen Sie das Projekt aus, für das Sie einen Load-Balancer anlegen möchten.
ZUR SEITE "LOAD-BALANCER ERSTELLEN"
Klicken Sie unter HTTP(S)-Load-Balancing auf Konfiguration starten.
Wählen Sie Vom Internet zu meinen VMs aus.
Geben Sie auf der Seite Neuer externer Application Load Balancer einen Namen für den Load Balancer ein.
Klicken Sie auf Back-End-Konfiguration und wählen Sie Back-End-Dienste > Back-End-Dienst erstellen aus.
Geben Sie im Bereich Back-End-Dienst erstellen im Feld Name den Wert my-backend-service ein.

Achtung: Sie müssen exakt den Namen für my-backend-service verwenden. Wenn Sie einen anderen Namen verwenden, kann das Startskript auf Ihren VMs die richtige Back-End-Dienst-ID zum Authentifizieren von Anfragen nicht finden.
Verwenden Sie unter Neues Back-End die Standardwerte mit Ausnahme des folgenden:
- Instanzgruppe: my-managed-instance-group
Wählen Sie unter Systemdiagnose die Option my-health-check aus.
Wenn Sie mit dem Aktualisieren der Werte fertig sind, klicken Sie auf Erstellen. Die Seite Neuer HTTP(S)-Load-Balancer wird wieder angezeigt.
Klicken Sie auf Host- und Pfadregeln, um die Standardwerte zu laden. Sie müssen keine Regeln hinzufügen.
Klicken Sie auf Frontend-Konfiguration. Verwenden Sie die Standardwerte mit Ausnahme der folgenden:
- Protokoll: HTTPS
- IP-Adresse: Klicken Sie auf IP-Adresse erstellen.
  - Geben Sie unter Name einen Namen für die neue statische IP-Adresse ein.
  - Klicken Sie auf Reservieren, um die statische IP-Adresse zu reservieren.
- Zertifikat: my-cert
Wenn Sie die Eingabe der Werte für die Frontend-Konfiguration abgeschlossen haben, klicken Sie auf Fertig.
Klicken Sie auf Erstellen. Die Seite Load Balancing wird angezeigt und der neue Load Balancer in der Load Balancer-Liste erstellt.
Klicken Sie nach der Erstellung des neuen Load Balancers in der Google Cloud Console auf seinen Namen und notieren Sie sich die externe IP-Adresse unter Details > Frontend. Sie benötigen sie im nächsten Schritt.

Domain so einrichten, dass sie auf den Load-Balancer verweist

Konfigurieren Sie mithilfe der folgenden Schritte die A-Einträge, um Ihre Domain so einzurichten, dass sie auf den Load-Balancer verweist:

Melden Sie sich in Ihrem Domainkonto bei Ihrem Domainhost an.
Suchen Sie die Seite, um die DNS-Einträge der Domain zu aktualisieren. Der Name dieser Seite lautet in etwa "DNS-Verwaltung", "Nameserver-Verwaltung", "Erweiterte Einstellungen" oder ähnlich.
Ändern Sie die Werte der A-Einträge folgendermaßen:
- Name/Host/Alias: @
- Wert: Die externe IP-Adresse des Load-Balancers, den Sie oben erstellt haben. Fügen Sie den Port :443 nicht in den DNS-Eintrag ein.
- TTL: Der Standardwert für Ihren Registrator oder 86400 (ein Tag).
Warten Sie, bis der DNS-Eintrag aktualisiert wurde. Es kann bis zu einem Tag dauern, bis der Eintrag, den Sie gerade hinzugefügt haben, weitergegeben wird.
Zum Testen des Load-Balancers rufen Sie mit einem Webbrowser Ihre Domain mit einem https://-Protokoll auf.
- Wenn der Load-Balancer noch nicht eingerichtet ist, wird der Fehler "HTTP 502" angezeigt.
- Wenn das Lastenausgleichsmodul bereit ist, wird "Nicht autorisierte Anfrage" angezeigt.

Weitere Informationen finden Sie unter A-Einträge.

VMs neu starten

Zum ordnungsgemäßen Authentifizieren von IAP-Anfragen P müssen Sie die VMs in der verwalteten Instanzgruppe mit den folgenden Schritte neu starten:

Rufen Sie in der Google Cloud Console die Seite Compute Engine > Instanzgruppen auf.
ZUR SEITE "INSTANZGRUPPEN"
Klicken Sie auf my-managed-instance-group.
Klicken Sie oben in den angezeigten Instanzgruppendetails auf Schrittweises Neustarten/Ersetzen.
Legen Sie auf der Seite Instanzen von my-managed-instance-group neu starten/ersetzen die folgenden Werte fest:
- Vorgang: Neustart
- Maximal nicht verfügbar: 3 Instanzen von 3 Instanzen
- Mindestwartezeit: 0 s
Wenn Sie mit dem Aktualisieren der Werte fertig sind, klicken Sie auf Neu starten.

Schritt 5: IAP einrichten

Firewall konfigurieren

Als Nächstes konfigurieren Sie Ihre Firewall so, dass der Zugriff auf die zugrunde liegenden VMs blockiert wird und nur der Zugriff über IAP zugelassen wird:

Rufen Sie in der Google Cloud Console VPC-Netzwerk > Firewallregeln auf.
ZUR SEITE "FIREWALLREGELN"
Klicken Sie auf das Kästchen neben den folgenden Regeln:
- default-allow-http
- default-allow-https
- default-allow-internal
Klicken Sie auf Löschen.
Klicken Sie auf Firewallregel erstellen und legen Sie die folgenden Werte fest:
- Name: allow-iap-traffic
- Ziele: Alle Instanzen im Netzwerk
- Quell-IP-Bereiche (drücken Sie jeweils die Eingabetaste, nachdem Sie den Wert in das Feld eingefügt haben). Die IP-Bereiche sind auf der Zulassungsliste, da dies eine Voraussetzung für die Kommunikation des Load Balancers mit Back-Ends ist.
  - 130.211.0.0/22
  - 35.191.0.0/16
- Protokolle und Ports:
  - Angegebene Protokolle und Ports
  - tcp:80
Wenn Sie mit dem Aktualisieren der Werte fertig sind, klicken Sie auf Erstellen.

IAP einrichten

So richten Sie IAP für Ihr Projekt ein:

Rufen Sie in der Google Cloud Console die Seite Sicherheit > Identity-Aware Proxy auf und wählen Sie das Projekt aus, für das Sie IAP aktivieren möchten.
ZUR SEITE "IDENTITY-AWARE PROXY"
Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts noch nicht konfiguriert haben, werden Sie jetzt dazu aufgefordert.
Hinweis:Geben Sie im OAuth-Zustimmungsbildschirm keine vertraulichen Informationen ein. Die Informationen, die Sie im OAuth-Zustimmungsbildschirm speichern, sind für alle Personen sichtbar, die auf Ihre URL zugreifen. So werden z. B. E-Mail- und Produktdetails auf dem Anmeldebildschirm angezeigt. Dies gilt auch, wenn jemand versucht, ohne entsprechende Berechtigung auf eine Ressource zuzugreifen.
1. Öffnen Sie den OAuth-Zustimmungsbildschirm.
  Zustimmungsbildschirm konfigurieren
2. Wählen Sie unter Support-E-Mail-Adresse die E-Mail-Adresse aus, die als öffentlicher Kontakt angezeigt werden soll. Die E-Mail-Adresse muss dem Konto des aktuell angemeldeten Nutzers oder einer Google-Gruppe gehören, deren Administrator oder Inhaber der aktuell angemeldete Nutzer ist.
3. Geben Sie den Namen der Anwendung ein, der angezeigt werden soll.
4. Fügen Sie nach Belieben weitere Details hinzu.
5. Klicken Sie auf Speichern.
Zum Ändern von Informationen im OAuth-Zustimmungsbildschirm wie Produktname oder E-Mail-Adresse müssen Sie die vorherigen Schritte zur Konfiguration des Zustimmungsbildschirms wiederholen.
Aktivieren bzw. deaktivieren Sie neben my-backend-service,
Klicken Sie im eingeblendeten Fenster IAP aktivieren auf das Kästchen neben "Ich habe die Konfigurationsanforderungen gelesen und meine Compute Engine-Ressource entsprechend der Dokumentation konfiguriert."
Klicken Sie auf Aktivieren.

Hauptkonten zur Zugriffsliste hinzufügen

Als Nächstes fügen Sie der IAP-Zugriffsliste für Ihr Projekt Hauptkonten hinzu.

Klicken Sie unter IAM & Verwaltung > Identity-Aware Proxy auf der rechten Seite im Abschnitt Zugriff auf Hinzufügen.
Geben Sie die Hauptkonten ein, denen Sie Zugriff gewähren möchten, einschließlich sich selbst, und weisen Sie ihnen die Rolle Nutzer von IAP-gesicherten Web-Apps zu. Hauptkonten können folgendermaßen sein:
- Google-Konten: user@gmail.com
- Google Groups: admins@googlegroups.com
- Dienstkonten: server@beispiel.gserviceaccount.com
- Google Workspace-Domains: example.com

Schritt 6: IAP testen

Testen Sie, ob IAP korrekt funktioniert mit folgenden Schritten:

Rufen Sie in einem Webbrowser Ihre Domain auf.
1. Wenn "Nicht autorisierte Anfrage" angezeigt wird, versuchen Sie es in einigen Minuten wieder.
Wenn eine Google-Anmeldeseite aufgerufen, melden Sie sich mit dem Google-Konto an, dem Sie im vorherigen Schritt Zugriff gewährt haben.
Es sollte eine Meldung wie "Hi, user@example.com. I am my-managed-instance-group-29z6" angezeigt werden.
Versuchen Sie, die Seite zu aktualisieren. Der Browser sollte die Namen der 3 Maschinen in Ihrer verwalteten Instanzgruppe anzeigen. Das ist der Load-Balancer, der Traffic über die VMs in der Gruppe verteilt.

Das wars! Sie haben einen Dienst mit Load-Balancing mithilfe von IAP aktiviert.

Bereinigen

Damit Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen.

Nachdem Sie IAP für Compute Engine eingerichtet haben, können Sie die von Ihnen in Google Cloud erstellten Ressourcen bereinigen, damit Ihnen diese künftig nicht mehr in Rechnung gestellt werden. In den folgenden Abschnitten erfahren Sie, wie Sie diese Ressourcen löschen oder deaktivieren.

Projekt löschen

Am einfachsten vermeiden Sie weitere Kosten, wenn Sie das zum Ausführen der Anleitung erstellte Projekt löschen.

So löschen Sie das Projekt:

Achtung: Das Löschen von Projekten hat folgende Auswirkungen:

Alle Inhalte des Projekts werden gelöscht. Wenn Sie für die Aufgaben in diesem Dokument ein bereits bestehendes Projekt verwendet haben und dieses löschen, werden auch alle anderen im Rahmen des Projekts erstellten Daten gelöscht.
Benutzerdefinierte Projekt-IDs gehen verloren. Beim Erstellen dieses Projekts haben Sie möglicherweise eine benutzerdefinierte Projekt-ID erstellt, die Sie weiterhin verwenden möchten. Damit die URLs, die die Projekt-ID nutzen, z. B. eine appspot.com-URL, erhalten bleiben, sollten Sie ausgewählte Ressourcen innerhalb des Projekts löschen, statt das gesamte Projekt.

Wenn Sie mehrere Architekturen, Anleitungen und Kurzanleitungen durcharbeiten möchten, können Sie die Überschreitung von Projektkontingenten verhindern, indem Sie Projekte wiederverwenden.

In the Google Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Instanzen löschen

So löschen Sie eine Compute Engine-Instanz:

In the Google Cloud console, go to the VM instances page.
Go to VM instances
Select the checkbox for the instance that you want to delete.
To delete the instance, click More actions, click Delete, and then follow the instructions.

Firewallregeln für das Standardnetzwerk löschen

So löschen Sie eine Firewallregel:

In the Google Cloud console, go to the Firewall page.
Go to Firewall
Select the checkbox for the firewall rule that you want to delete.
To delete the firewall rule, click Delete.

Nächste Schritte

Die in dieser Anleitung verwendete Beispielanwendung ändern, um andere Daten bereitzustellen
Lesen Sie unter Best Practices, wie Sie eigene Anwendungen schreiben und mit IAP schützen können.