Identity-Aware Proxy (IAP) ti consente di gestire l'accesso alle app basate su HTTP al di fuori di Google Cloud. Sono incluse le app on-premise nei data center della tua azienda.
Per scoprire come proteggere le app on-premise con IAP, consulta Configurare IAP per le app on-premise.
Introduzione
IAP prende di mira le app on-premise con il IAP On-Prem Connector. Il connettore On-Prem utilizza un modello di Cloud Deployment Manager per creare le risorse necessarie per ospitare ed eseguire il deployment del connettore IAP On-Prem in un progetto abilitato a IAP,Google Cloud inoltrando le richieste autenticate e autorizzate alle app on-premise.
Il connettore On-Prem crea le seguenti risorse:
- Un deployment di Cloud Service Mesh che funge da proxy per l'app on-premise.
- Un bilanciatore del carico delle applicazioni esterno che funge da controller di ingresso per le richieste.
- Regole di routing.
Un deployment può avere più servizi di backend di Cloud Service Mesh in esecuzione dietro un bilanciatore del carico delle applicazioni esterno. Ogni servizio di backend esegue il mapping a una singola app on-premise.
Quando viene eseguito il deployment del connettore IAP On-Prem e IAP è abilitato per il servizio di backend del connettore On-Prem appena creato, IAP protegge l'app con policy di accesso IAM (Identity and Access Management) basate su identità e contesto. Poiché una policy di accesso IAM è configurata a livello di risorsa del servizio di backend, puoi avere elenchi di controllo dell'accesso diversi per ciascuna delle tue app on-premise. Ciò significa che è necessario un solo Google Cloud progetto per gestire l'accesso a più app on-premise.
Come funziona IAP per le app on-premise
Quando una richiesta viene inviata a un'app ospitata su Google Cloud, IAP autentica e autorizza le richieste dell'utente. Poi concede all'utente l'accesso all' Google Cloud app.
Quando una richiesta viene inviata a un'app on-premise, IAP autentica e autorizza la richiesta dell'utente. Poi instrada la richiesta al connettore IAP On-Prem. Il connettore IAP On-Prem inoltra la richiesta tramite un gruppo di endpoint di rete a connettività ibrida da Google Cloud alla rete on-premise.
Il seguente diagramma mostra il flusso di traffico di alto livello di una richiesta web per un' Google Cloud app (app1) e un'app on-premise (app2).
Regole di routing
Quando configuri un deployment del connettore IAP, configuri le regole di routing. Queste regole instradano le richieste web autenticate e autorizzate che arrivano al punto di ingresso del nome host DNS al nome host DNS di destinazione.
Di seguito è riportato un esempio di parametri routing definiti per un modello di Deployment Manager del connettore IAP.
routing: - name: hr mapping: - name: host source: www.hr-domain.com destination: hr-internal.domain.com - name: sub source: sheets.hr-domain.com destination: sheets.hr-internal.domain.com - name: finance mapping: - name: host source: www.finance-domain.com destination: finance-internal.domain.com
- Ogni nome
routingcorrisponde a una nuova risorsa del servizio di backend di Compute Engine creata da Ambassador. - Il parametro
mappingspecifica un elenco di regole di routing di Ambassador per un servizio di backend. - L'
sourcedi una regola di routing viene mappata a unadestination, dovesourceè l'URL delle richieste in arrivo Google Cloud, edestinationè l'URL dell'app on-premise a cui IAP instrada il traffico dopo che un utente è stato autorizzato e autenticato.
La seguente tabella mostra le regole di esempio per instradare le richieste in entrata da www.hr-domain.com a hr-internal.domain.com:
| Servizio di backend di Compute Engine | Nome regola di routing | Origine | Destinazione |
|---|---|---|---|
| hr | hr-host | www.hr-domain.com | hr-internal.domain.com |
| hr-sub | sheets.hr-domain.com | sheets.hr-internal.domain.com | |
| finance | finance-host | www.finance-domain.com | finance-internal.domain.com |
Passaggi successivi
- Scopri come proteggere le app on-premise con IAP.
- Scopri di più su come funziona IAP.