Mengamankan aplikasi non-Google Cloud menggunakan Konektor Lokal

Panduan ini menjelaskan cara mengamankan aplikasi lokal berbasis HTTP atau HTTPS di luar Google Cloud dengan Identity-Aware Proxy (IAP) dengan men-deploy konektor IAP.

Sebelum memulai

Sebelum memulai, Anda memerlukan hal berikut:

Aplikasi lokal berbasis HTTP atau HTTPS.
Anggota Cloud Identity yang diberi peran Pemilik di project Google Cloud Anda.
Memberikan peran pemilik kepada Agen Layanan Google API.
Google Cloud Project dengan penagihan diaktifkan.
URL eksternal yang akan digunakan sebagai titik masuk untuk traffic ke Google Cloud. Contoh, www.hr-domain.com.
Sertifikat SSL atau TLS untuk nama host DNS yang digunakan sebagai titik masuk untuk traffic ke Google Cloud. Sertifikat yang dikelola sendiri atau dikelola Google yang ada dapat digunakan. Jika Anda tidak memiliki sertifikat, buat sertifikat menggunakan Let's Encrypt.
Jika Kontrol Layanan VPC diaktifkan, jaringan VPC dengan kebijakan keluar pada tindakan cp untuk akun layanan VM ke bucket gce-mesh, yang ada di project 278958399328. Peran ini memberikan izin jaringan VPC untuk mengambil file biner Envoy dari bucket gce-mesh. Izin diberikan secara default, jika Kontrol Layanan VPC tidak diaktifkan.
Nonaktifkan IP eksternal dengan menyelesaikan langkah-langkah berikut:
1. Aktifkan Akses Google Pribadi di subnet VPC yang digunakan untuk konektor IAP dengan mencentang kotak dalam konfigurasi. Untuk informasi tambahan, lihat Akses Google Pribadi.
2. Pastikan konfigurasi firewall jaringan VPC mengizinkan akses dari VM ke alamat IP yang digunakan oleh Google API dan layanan Google. Hal ini diizinkan secara implisit secara default, tetapi dapat diubah oleh pengguna secara eksplisit. Untuk mengetahui informasi tentang cara menemukan rentang IP, lihat Alamat IP untuk domain default.

Men-deploy konektor untuk aplikasi lokal

Buka halaman admin IAP.

Buka halaman admin IAP
Mulai siapkan deployment konektor untuk aplikasi lokal dengan mengklik Penyiapan konektor lokal.
Pastikan API yang diperlukan dimuat dengan mengklik Enable APIs.
Pilih apakah deployment harus menggunakan sertifikat yang dikelola Google atau sertifikat yang dikelola oleh Anda, pilih jaringan dan subnet untuk deployment (atau pilih untuk membuat yang baru), lalu klik Berikutnya.
Masukkan detail untuk aplikasi lokal yang ingin Anda tambahkan:
- URL eksternal permintaan yang masuk ke Google Cloud. URL ini adalah tempat traffic memasuki lingkungan.
- Nama untuk aplikasi. Nama ini juga akan digunakan sebagai nama untuk layanan backend baru di belakang load balancer.
- Jenis endpoint on-prem dan detailnya:
  - Nama domain yang sepenuhnya memenuhi syarat (FQDN): Domain tempat konektor harus meneruskan traffic.
  - Alamat IP: Satu atau beberapa zona tempat konektor IAP harus di-deploy (misalnya, us-central1-a) dan, untuk setiap zona, alamat IPv4 tujuan internal untuk aplikasi lokal yang menjadi tujuan perutean traffic IAP setelah pengguna diberi otorisasi dan diautentikasi.
  Catatan: Jika endpoint lokal Anda adalah alamat IP, sebaiknya gunakan grup endpoint jaringan konektivitas hybrid secara langsung dengan load balancer, bukan menggunakan konektor lokal IAP.
- Protokol yang digunakan oleh endpoint on-prem.
- Nomor port yang digunakan oleh endpoint lokal, seperti 443 untuk HTTPS atau 80 untuk HTTP.
Klik Selesai untuk menyimpan detail aplikasi tersebut. Jika mau, Anda dapat menentukan aplikasi lokal tambahan untuk deployment.
Jika sudah siap, klik Kirimkan untuk memulai deployment aplikasi yang telah Anda tetapkan.

Setelah deployment selesai, aplikasi konektor lokal Anda akan muncul di tabel HTTP resources dan IAP dapat diaktifkan.

Jika Anda memilih untuk mengizinkan Google membuat dan mengelola sertifikat secara otomatis, mungkin diperlukan waktu beberapa menit agar sertifikat dapat disediakan. Anda dapat memeriksa statusnya di halaman detail Cloud Load Balancing. Untuk mengetahui informasi selengkapnya tentang status, lihat halaman pemecahan masalah.

Mengelola konektor untuk aplikasi lokal

Anda dapat menambahkan lebih banyak aplikasi ke deployment kapan saja dengan mengklik Penyiapan konektor lokal.
Anda dapat menghapus konektor lokal dengan menghapus seluruh deployment:
1. Buka halaman Deployment Manager.
  
  Buka halaman Deployment Manager
2. Dalam daftar deployment, centang kotak di samping deployment "on-prem-app-deployment".
3. Di bagian atas halaman, klik Hapus
Anda dapat menghapus aplikasi satu per satu dengan mengklik tombol hapus di Penyiapan konektor lokal Konektor lokal harus berisi minimal satu aplikasi. Untuk menghapus semua aplikasi, hapus seluruh deployment.

Langkah berikutnya

Tetapkan aturan konteks yang lebih lengkap dengan menerapkan tingkat akses.
Lihat Log Akses Kontekstual di Cloud Audit Logs.
Pelajari IAP lebih lanjut.