Anwendungen, die nicht zu Google Cloud gehören, mit dem On-Premises-Connector sichern

Auf dieser Seite wird erläutert, wie Sie eine HTTP- oder HTTPS-basierte lokale Anwendung außerhalb von Google Cloud mit Identity-Aware Proxy (IAP) sichern und dafür einen IAP-Connector bereitstellen.

Hinweis

Für den Start ist Folgendes erforderlich:

Eine HTTP- oder HTTPS-basierte lokale Anwendung.
Ein Cloud Identity-Mitglied, dem im Projekt die Rolle Inhaber zugewiesen wurde. Google Cloud

Hinweis: Einfache IAM-Rollen sind sehr permissive Rollen, die umfassenden Zugriff auf Google Cloud Ressourcen gewähren. Wir empfehlen, in einer Produktionsumgebung keine einfachen Rollen zuzuweisen. In einer Entwicklungs- oder Testumgebung können Sie einfache Rollen zuweisen.
Dem Google APIs-Dienst-Agent wurde die Rolle „Inhaber“ zugewiesen.
Ein Google Cloud Projekt mit aktivierter Abrechnung.
Die externe URL, die als Eingangspunkt für den Traffic zu Google Cloudverwendet werden soll. Beispiel: hr.example.com.
Ein SSL- oder TLS-Zertifikat für den DNS-Hostnamen, der als Eingangspunkt für den Traffic zu verwendet wird Google Cloud. Hierfür kann ein vorhandenes selbstverwaltetes oder von Google verwaltetes Zertifikat verwendet werden. Wenn Sie kein Zertifikat haben, erstellen Sie ein Zertifikat mit Let's Encrypt.
Wenn VPC Service Controls aktiviert ist, ein VPC-Netzwerk mit einer Richtlinie für ausgehenden Traffic für die Aktion cp für das VM-Dienstkonto zum Bucket gce-mesh im Projekt 278958399328. Die Richtlinie erteilt dem VPC-Netzwerk die Berechtigung, die Envoy-Binärdatei aus dem gce-mesh-Bucket abzurufen. Die Berechtigung wird standardmäßig erteilt, wenn VPC Service Controls nicht aktiviert ist.
Deaktivieren Sie eine externe IP-Adresse. Gehen Sie dazu so vor:
- Aktivieren Sie den privaten Google-Zugriff in dem VPC-Subnetz, das für den IAP-Connector verwendet wird. Weitere Informationen finden Sie unter Privater Google-Zugriff.
- Prüfen Sie, ob die Firewallkonfiguration des VPC-Netzwerk den Zugriff von VMs auf IP-Adressen von Google APIs und Google-Diensten zulässt. Standardmäßig ist dieser Zugriff gewährt, Nutzer können ihn aber explizit ändern. Informationen zum Ermitteln des IP-Bereichs finden Sie unter IP-Adressen für Standarddomains.

Connector für eine lokale Anwendung bereitstellen

Zur Seite „IAP“.

Zu IAP
Klicken Sie zum Einrichten der Connector-Bereitstellung für eine lokale Anwendung auf Neue Anwendung verbinden und wählen Sie Über lokalen Connector verbinden aus.
Klicken Sie im rechten Seitenbereich auf APIs aktivieren und fortfahren , um sicherzustellen, dass die erforderlichen APIs aktiviert sind.
Wählen Sie die Konfigurationsdetails aus und klicken Sie auf Weiter:
- Wählen Sie aus, ob die Bereitstellung ein von Google verwaltetes oder von Ihnen verwaltetes Zertifikat verwenden soll.
- Wählen Sie das Netzwerk und das Subnetz für die Bereitstellung aus (oder erstellen Sie ein neues).
Geben Sie die folgenden Details für die lokale Anwendung ein, die Sie hinzufügen möchten:
- Geben Sie die externe URL von Anfragen ein, die an gesendet werden Google Cloud. Über diese URL wird der Traffic in die Umgebung geleitet.
- Geben Sie einen Namen für die Anwendung ein, der auch als Name für einen neuen Backend-Dienst hinter dem Load Balancer verwendet wird.
- Wählen Sie die Region aus.
- Geben Sie den lokalen Endpunkttyp und seine Details an:
  - Voll qualifizierter Domainname (FQDN): Die Domain, an die der Connector den Traffic weiterleiten soll.
  - IP-Adresse: Eine oder mehrere Zonen, in denen der IAP-Connector bereitgestellt werden soll (z. B. us-central1-a). Geben Sie für jede Zone die IPv4-Adresse des internen Ziels der lokalen Anwendung an, zu der IAP den Traffic weiterleitet, nachdem ein Nutzer autorisiert und authentifiziert wurde.
  Hinweis: Wenn Ihr lokaler Endpunkt eine IP-Adresse ist, sollten Sie stattdessen eine Netzwerk-Endpunktgruppe für die Hybridkonnektivität direkt mit einem Load-Balancer verwenden, anstatt den lokalen IAP-Connector zu verwenden.
- Wählen Sie das Protokoll aus, das vom lokalen Endpunkt verwendet wird.
- Geben Sie die Portnummer ein, die vom lokalen Endpunkt verwendet wird, z. B. 443 für HTTPS oder 80 für HTTP.
Klicken Sie auf Fertig, um die Details für diese Anwendung zu speichern. Sie können auch zusätzliche lokale Anwendungen für die Bereitstellung definieren.
Klicken Sie auf Senden, um mit der Bereitstellung der von Ihnen definierten Anwendungen zu beginnen.

Nach Abschluss der Bereitstellung werden Ihre lokalen Connector-Anwendungen in der Tabelle Anwendungen angezeigt und Sie können IAP aktivieren.

Wenn Sie Google die Zertifikate automatisch generieren und verwalten lassen, kann es einige Minuten dauern, bis die Zertifikate bereitgestellt werden. Sie können den Status auf der Detailseite von Cloud Load Balancing prüfen. Weitere Informationen zum Status finden Sie auf der Seite zur Fehlerbehebung.

Connector für eine lokale Anwendung verwalten

Wenn Sie Ihrer Bereitstellung weitere Anwendungen hinzufügen möchten, klicken Sie auf Neue Anwendung verbinden und dann auf Über lokalen Connector verbinden.
So löschen Sie den lokalen Connector, indem Sie die gesamte Bereitstellung löschen:
1. Rufen Sie die Deployment Manager-Seite auf.
  
  Deployment Manager aufrufen
2. Klicken Sie in der Liste der Bereitstellungen auf das Kästchen neben der Bereitstellung „on-prem-app-deployment“.
3. Klicken Sie oben auf der Seite auf Löschen.
Wenn Sie einzelne Anwendungen löschen möchten, klicken Sie auf dem Tab Anwendungen auf die Schaltfläche „Löschen“. Der lokale Connector muss mindestens eine Anwendung enthalten. Wenn Sie alle Anwendungen entfernen möchten, löschen Sie die gesamte Bereitstellung.

Nächste Schritte

Umfassendere Kontextregeln durch Anwenden von Zugriffsebenen festlegen
Protokolle für den kontextsensitiven Zugriff in Cloud-Audit-Logs ansehen.
Weitere Informationen zu IAP.