本指南說明如何部署 IAP 連接器,藉此在Google Cloud 之外運用 Identity-Aware Proxy (IAP) 保護以 HTTP 或 HTTPS 為基礎的內部部署應用程式。
事前準備
開始之前,請先確認您具備下列項目:
- 以 HTTP 或 HTTPS 為基礎的內部部署應用程式。
- 已獲得 Google Cloud 專案擁有者角色的 Cloud Identity 成員。
- 已將擁有者角色授予 Google API 服務代理人。
- 已 Google Cloud 啟用計費功能的專案。
- 用來當做Google Cloud流量輸入點的外部網址。例如:
www.hr-domain.com。 - DNS 主機名稱所需的 SSL 或 TLS 憑證,該 DNS 主機名稱係用於當做 Google Cloud流量的輸入點。可使用自行管理或 Google 代管的現有憑證。如果沒有憑證,請使用 Let's Encrypt 建立一個。
- 如果啟用 VPC Service Controls,虛擬私有雲網路會對 VM 服務帳戶在 gce-mesh bucket (位於專案 278958399328 中) 上的
cp動作,套用輸出政策。這樣一來,虛擬私有雲網路就有權從 gce-mesh bucket 擷取 Envoy 二進位檔。如果未啟用 VPC Service Controls,系統預設會授予這項權限。 如要停用外部 IP,請完成下列步驟:
- 勾選設定中的核取方塊,在用於 IAP 連接器的 VPC 子網路上啟用 Private Google Access。詳情請參閱私人 Google 存取權。
- 請確認虛擬私有雲網路的防火牆設定允許 VM 存取 Google API 和服務使用的 IP 位址。根據預設,系統會隱含允許這項操作,但使用者可以明確變更設定。如要瞭解如何找出 IP 範圍,請參閱「預設網域的 IP 位址」。
部署內部部署應用程式的連接器
前往 IAP 管理員頁面。
按一下「On-prem connectors setup」(內部部署連接器設定),開始設定內部部署應用程式的連接器部署作業。
按一下「啟用 API」,確認已載入必要的 API。
選擇部署作業應使用 Google 管理的憑證或您管理的憑證,選取部署作業的網路和子網路 (或選擇建立新的網路和子網路),然後按一下「下一步」。
輸入要新增的內部部署應用程式詳細資料:
- 前往 Google Cloud的要求外部網址。流量會從這個網址進入環境。
- 應用程式的名稱。這個名稱也會用來做為負載平衡器後方新後端服務的名稱。
地端部署端點類型及其詳細資料:
- 完整網域名稱 (FQDN):連接器應轉送流量的網域。
- IP 位址:IAP 連接器應部署的一或多個區域 (例如
us-central1-a),以及每個區域的內部目的地 IPv4 位址。使用者通過授權和驗證後,IAP 會將流量轉送至內部部署應用程式。
地端端點使用的通訊協定。
地端端點使用的通訊埠號碼,例如 HTTPS 的 443 或 HTTP 的 80。
按一下「完成」,儲存該應用程式的詳細資料。視需要為部署作業定義其他內部部署應用程式。
準備就緒後,按一下「提交」,即可開始部署您定義的應用程式。
部署完成後,地端部署連接器應用程式會顯示在「HTTP 資源」表格中,且可啟用 IAP。
如果您選擇讓 Google 自動產生及管理憑證,系統可能需要幾分鐘才能佈建憑證。您可以在 Cloud Load Balancing 詳細資料頁面查看狀態。如要進一步瞭解狀態,請參閱疑難排解頁面。
管理內部部署應用程式的連接器
- 如要隨時在部署作業中新增更多應用程式,請按一下「On-prem connectors setup」(內部部署連接器設定)。
如要刪除地端連接器,請刪除整個部署作業:
在部署清單中,選取「on-prem-app-deployment」部署作業旁的核取方塊。
按一下頁面頂端的「刪除」。
如要刪除個別應用程式,請按一下「On-prem connectors setup」(內部部署連接器設定) 中的刪除按鈕。內部部署連接器必須至少包含一個應用程式。如要移除所有應用程式,請刪除整個部署作業。
後續步驟
- 套用存取層級,設定更精細的情境規則。
- 請參閱「在 Cloud 稽核記錄中查看情境感知存取權記錄」。
- 進一步瞭解 IAP。