Identity-Aware Proxy (IAP) ermöglicht Ihnen, den Zugriff auf HTTP-basierte Anwendungen außerhalb von Google Cloudzu verwalten. Dazu gehören auch Anwendungen im Rechenzentrum Ihres Unternehmens.
Informationen zum Schutz lokaler Anwendungen mit IAP finden Sie unter Cloud IAP für lokale Anwendungen aktivieren.
Einführung
Grundlage für die Anwendung von IAP für lokale Anwendungen ist der IAP On-Prem Connector. Der On-Prem-Connector verwendet eine Cloud Deployment Manager Vorlage, um die Ressourcen zu erstellen, die zum Hosten und Bereitstellen des IAP-On-Prem-Connectors in einem IAP-fähigen Google Cloud Projekt erforderlich sind. Authentifizierte und autorisierte Anfragen werden damit an lokale Anwendungen weitergeleitet.
Der On-Prem-Connector erstellt die folgenden Ressourcen:
- Ein Cloud Service Mesh-Deployment, das als Proxy für die lokale Anwendung fungiert.
- Ein externer Application Load Balancer der als Ingress-Controller für Anfragen fungiert.
- Routingregeln
Ein Deployment kann mehrere Cloud Service Mesh-Back-End-Dienste haben, die im Hintergrund eines externen Application Load Balancers ausgeführt werden. Jeder Back-End-Dienst ist einer einzelnen lokalen Anwendung zugeordnet.
Wenn der IAP-On-Prem-Connector bereitgestellt und IAP für den neu erstellten Back-End-Dienst des On-Prem-Connectors aktiviert ist, schützt IAP die Anwendung mit identitäts und kontextbasierten Identitäts- und Zugriffsverwaltungsrichtlinien (IAM). Da eine IAM-Zugriffsrichtlinie auf der Ressourcenebene des Back-End-Dienstes konfiguriert wird, können Sie für jede Ihrer lokalen Anwendungen unterschiedliche Zugriffssteuerungslisten verwenden. Dies bedeutet, dass nur ein Google Cloud Projekt erforderlich ist, um den Zugriff auf mehrere lokale Anwendungen zu verwalten.
Funktionsweise von IAP für lokale Anwendungen
Wenn eine Anfrage an eine Anwendung gesendet wird, die auf gehostet wird Google Cloud, authentifiziert und autorisiert IAP die Nutzeranfragen. Anschließend gewährt IAP dem Nutzer Zugriff auf die Google Cloud Anwendung.
Wenn eine Anfrage an eine lokale Anwendung gesendet wird, authentifiziert und autorisiert IAP die Nutzeranfrage. Anschließend wird die Anfrage an den IAP-On-Prem-Connector weitergeleitet. Der IAP-On-Prem-Connector leitet die Anfrage über eine Hybrid Connectivity Network Endpoint Group von Google Cloud an das lokale Netzwerk weiter.
Das folgende Diagramm zeigt den übergeordneten Trafficfluss einer Webanfrage für eine Google Cloud Anwendung (app1) und eine lokale Anwendung (app2).
Routingregeln
Beim Konfigurieren der Bereitstellung eines IAP-Connectors müssen Sie auch Routingregeln konfigurieren. Anhand dieser Regeln werden authentifizierte und autorisierte Webanfragen, die am Eingangspunkt des DNS-Hostnamens ankommen, an den DNS-Hostnamen weitergeleitet, der als Ziel angegeben ist.
Das folgende Beispiel zeigt routing-Parameter, die für eine Deployment Manager-Vorlage eines IAP-Connectors definiert sind.
routing: - name: hr mapping: - name: host source: www.hr-domain.com destination: hr-internal.domain.com - name: sub source: sheets.hr-domain.com destination: sheets.hr-internal.domain.com - name: finance mapping: - name: host source: www.finance-domain.com destination: finance-internal.domain.com
- Jeder
routing-Name entspricht einer neuen, von Ambassador erstellten Back-End-Dienst-Ressource von Compute Engine. - Der Parameter
mappinggibt eine Liste von Ambassador-Routingregeln für einen Back-End-Dienst an. - Das
sourceeiner Routingregel wird einemdestinationzugeordnet, wobeisourcedie URL von Anfragen an Google Cloudunddestinationdie URL für Ihre lokale Anwendung ist, an die von IAP Traffic weitergeleitet wird, nachdem ein Nutzer autorisiert und authentifiziert wurde.
In der folgenden Tabelle sind Beispielregeln aufgeführt, mit denen eingehende Anfragen von www.hr-domain.com an hr-internal.domain.com weitergeleitet werden:
| Back-End-Dienst von Compute Engine | Name der Routingregel | Quelle | Ziel |
|---|---|---|---|
| hr | hr-host | www.hr-domain.com | hr-internal.domain.com |
| hr-sub | sheets.hr-domain.com | sheets.hr-internal.domain.com | |
| finance | finance-host | www.finance-domain.com | finance-internal.domain.com |