Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Como proteger aplicativos que não são do Google Cloud usando o conector no local

Nesta página, explicamos como proteger um app local baseado em HTTP ou HTTPS fora do Google Cloud com Identity-Aware Proxy (IAP) por meio da implantação de um conector do IAP.

Antes de começar

Antes de começar, os seguintes itens são necessários:

Um app local baseado em HTTP ou HTTPS.
Ter um membro do Cloud Identity com o papel proprietário no seu Google Cloud projeto.

Observação: os papéis básicos do IAM são altamente permissivos e oferecem amplo acesso aos Google Cloud recursos. Recomendamos que você evite conceder papéis básicos em um ambiente de produção. É possível conceder papéis básicos em um ambiente de desenvolvimento ou de teste.
O agente de serviço de APIs do Google com o papel de Proprietário.
Um Google Cloud projeto com o faturamento ativado.
O URL externo a ser usado como ponto de entrada para o tráfego no Google Cloud. Por exemplo, hr.example.com.
Ter um certificado SSL ou TLS para o nome do host de DNS que será usado como ponto de entrada do tráfego para o Google Cloud. É possível usar um certificado autogerenciado ou gerenciado pelo Google que você já tenha. Se você ainda não tem um certificado, crie um usando a Let's Encrypt.
Se o VPC Service Controls estiver ativado, use uma rede VPC com uma política de saída na ação cp da conta de serviço da VM para o bucket gce-mesh no projeto 278958399328. A política concede à rede VPC permissão para recuperar o arquivo binário Envoy do bucket gce-mesh. A permissão será concedida por padrão se o VPC Service Controls não estiver ativado.
Desative um IP externo concluindo as seguintes etapas:
- Ative o Acesso privado do Google na sub-rede VPC usada para o conector do IAP. Para mais informações, consulte Acesso privado do Google.
- Verifique se a configuração do firewall da rede VPC permite que as VMs acessem endereços IP das APIs e serviços do Google. Por padrão, esse acesso é concedido, mas os usuários podem mudá-lo explicitamente. Veja informações sobre como encontrar o intervalo de IP em Endereços IP para domínios padrão.

Implante um conector para um app no local

Acesse a página do IAP.

Acessar o IAP
Para começar a configurar a implantação do conector em um app no local, clique em Conectar novo aplicativo e selecione Conectar pelo conector no local.
Para garantir que as APIs necessárias estejam ativadas, clique em Ativar APIs e continuar no painel à direita.
Selecione os detalhes da configuração e clique em Próxima:
- Escolha se a implantação deve usar um certificado gerenciado pelo Google ou um gerenciado por você.
- Selecione a rede e a sub-rede para a implantação ou crie uma.
Insira os detalhes do app no local que você quer adicionar:
- Insira o URL externo das solicitações que chegam ao Google Cloud. Esse URL é por onde o tráfego entra no ambiente;
- Insira um nome para o app, que também será o nome de um novo serviço de back-end por trás do balanceador de carga.
- Selecione a região.
- Forneça o tipo de endpoint local e os detalhes dele:
  - Nome de domínio totalmente qualificado (FQDN, na sigla em inglês): o domínio para onde o conector deve encaminhar o tráfego.
  - Endereço IP: uma ou mais zonas em que o conector do IAP precisa ser implantado (por exemplo, us-central1-a). Para cada zona, especifique o endereço IPv4 do destino interno do app local em que o IAP encaminha o tráfego depois de o usuário ter sido autorizado e autenticado.
  Observação: se o endpoint no local for um endereço IP, considere usar um grupo de endpoints de rede de conectividade híbrida diretamente com um balanceador de carga em vez de usar o conector do IAP no local.
- Selecione o protocolo usado pelo endpoint no local.
- Insira o número da porta usado pelo endpoint no local, como 443 para HTTPS ou 80 para HTTP.
Para salvar os detalhes do app, clique em Concluído. Você também pode definir outros apps no local para a implantação.
Para iniciar a implantação dos apps definidos, clique em Enviar.

Após a conclusão da implantação, os apps de conector no local vão aparecer na tabela Aplicativos e você poderá ativar o IAP.

Se você optar por permitir que o Google gere e gerencie automaticamente os certificados, pode levar alguns minutos para que os certificados sejam provisionados. Verifique o status na página de detalhes do Cloud Load Balancing. Para mais informações sobre o status, consulte a página de solução de problemas.

Gerencie um conector para um app no local

Para adicionar mais apps à implantação, clique em Conectar novo aplicativo e em Conectar pelo conector no local.
Para excluir o conector no local excluindo toda a implantação, faça o seguinte:
1. Acesse a página do Deployment Manager.
  
  Acessar o Deployment Manager
2. Na lista de implantações, marque a caixa de seleção ao lado da implantação "on-prem-app-deployment".
3. No topo da página, clique em Excluir.
Para excluir apps individuais, clique no botão "Excluir" na guia Aplicativos. O conector no local precisa conter pelo menos um app. Para remover todos os apps, exclua toda a implantação.

Próximas etapas

Defina regras de contexto mais avançadas aplicando níveis de acesso.
Consulte os registros de auditoria do Acesso Baseado no Contexto nos Registros de auditoria do Cloud.
Saiba mais sobre o IAP.