הפעלת IAP באפליקציות מקומיות

בדף הזה מוסבר איך לאבטח אפליקציה מקומית שמבוססת על HTTP או HTTPS מחוץ ל-Google Cloud באמצעות Identity-Aware Proxy (IAP) על ידי פריסת מחבר IAP.

מידע נוסף על האופן שבו IAP מאבטח אפליקציות ומשאבים מקומיים זמין במאמר סקירה כללית על IAP לאפליקציות מקומיות.

לפני שמתחילים

לפני שמתחילים, צריך:

• אפליקציה מקומית שמבוססת על HTTP או HTTPS.

• חבר ב-Cloud Identity קיבל את התפקיד בעלים בפרויקט Google Cloud .

• סוכן שירות של Google APIs קיבל את תפקיד הבעלים.

• Google Cloud פרויקט שהחיוב בו מופעל.

• כתובת ה-URL החיצונית לשימוש כנקודת הכניסה לתעבורה אלGoogle Cloud. לדוגמה, hr.example.com.

• אישור SSL או TLS לשם המארח של DNS שמשמש כנקודת הכניסה לתנועה אל Google Cloud. אפשר להשתמש באישור קיים בניהול עצמי או באישור בניהול Google. אם אין לכם אישור, אתם יכולים ליצור אותו באמצעות Let's Encrypt.

• אם VPC Service Controls מופעל, רשת VPC עם מדיניות יציאה בפעולה cp עבור חשבון השירות של המכונה הווירטואלית לדלי gce-mesh בפרויקט 278958399328. המדיניות מעניקה לרשת ה-VPC הרשאה לאחזר את קובץ ה-Envoy הבינארי מקטגוריית gce-mesh. ההרשאה ניתנת כברירת מחדל, אם לא מופעל VPC Service Controls.

• כדי להשבית כתובת IP חיצונית, מבצעים את השלבים הבאים:

  • מפעילים גישה פרטית ל-Google ברשת המשנה של ה-VPC שמשמשת למחבר IAP. מידע נוסף זמין במאמר בנושא גישה פרטית ל-Google.

  • מוודאים שהגדרת חומת האש של רשת ה-VPC מאפשרת למכונות הווירטואליות לגשת לכתובות IP של שירותים וממשקי API של Google. כברירת מחדל, הגישה הזו ניתנת, אבל המשתמשים יכולים לשנות אותה באופן מפורש. במאמר כתובות IP לדומיינים שמוגדרים כברירת מחדל מוסבר איך למצוא את טווח כתובות ה-IP.

פריסת מחבר לאפליקציה מקומית

1. עוברים לדף של הרכישה מתוך האפליקציה.

   כניסה לדף IAP

2. כדי להתחיל בהגדרת הפריסה של המחבר לאפליקציה מקומית, לוחצים על Connect new application (חיבור אפליקציה חדשה) ובוחרים באפשרות Connect via on-prem connector (חיבור דרך מחבר מקומי).

3. כדי לוודא שממשקי ה-API הנדרשים מופעלים, לוחצים על הפעלת ממשקי API והמשך בחלונית בצד שמאל.

4. בוחרים את פרטי ההגדרה ולוחצים על הבא:

   • בוחרים אם הפריסה תשתמש באישור בניהול Google או באישור בניהול עצמי.

   • בוחרים את הרשת ואת רשת המשנה לפריסה (או בוחרים ליצור רשת חדשה).

5. ממלאים את הפרטים הבאים לגבי האפליקציה המקומית שרוצים להוסיף:

   • מזינים את כתובת ה-URL החיצונית של הבקשות שמגיעות אל Google Cloud. כתובת ה-URL הזו היא המקום שבו התנועה נכנסת לסביבה.

   • מזינים שם לאפליקציה, שישמש גם כשם של שירות קצה עורפי חדש מאחורי איזון העומסים.

   • צריך לבחור את האזור.

   • מציינים את סוג נקודת הקצה המקומית ואת הפרטים שלה:

     • שם דומיין שמוגדר במלואו (FQDN): הדומיין שאליו המחבר צריך להעביר את התנועה.

     • כתובת IP: אזור אחד או יותר שבהם צריך לפרוס את מחבר IAP (לדוגמה, us-central1-a). לכל אזור, מציינים את כתובת ה-IPv4 של היעד הפנימי של האפליקציה המקומית שאליה IAP מעביר תנועה אחרי שמשתמש מקבל הרשאה ועובר אימות.

   • בוחרים את הפרוטוקול שבו משתמשת נקודת הקצה המקומית.

   • מזינים את מספר היציאה שמשמש את נקודת הקצה המקומית, למשל 443 ל-HTTPS או 80 ל-HTTP.

6. כדי לשמור את הפרטים של האפליקציה, לוחצים על סיום. אפשר גם להגדיר אפליקציות נוספות מקומיות לפריסה.

7. כדי להתחיל בהפצת האפליקציות שהגדרתם, לוחצים על שליחה.

אחרי שהפריסה מסתיימת, אפליקציות המחברים המקומיות מופיעות בטבלה Applications ואפשר להפעיל את IAP.

אם בוחרים לאפשר ל-Google ליצור ולנהל את האישורים באופן אוטומטי, יכול להיות שיעברו כמה דקות עד שהאישורים יוקצו. אפשר לבדוק את הסטטוס בדף הפרטים של Cloud Load Balancing. מידע נוסף על הסטטוס זמין בדף פתרון הבעיות.

ניהול מחבר לאפליקציה מקומית

• כדי להוסיף עוד אפליקציות לפריסה, לוחצים על קישור אפליקציה חדשה ואז על קישור באמצעות מחבר מקומי.

• כדי למחוק את המחבר המקומי על ידי מחיקת הפריסה כולה:

  1. עוברים לדף Deployment Manager.

     מעבר אל Deployment Manager

  2. ברשימת הפריסות, מסמנים את התיבה לצד הפריסה on-prem-app-deployment.

  3. בחלק העליון של הדף, לוחצים על מחיקה.

• כדי למחוק אפליקציות בודדות, לוחצים על לחצן המחיקה בכרטיסייה Applications (אפליקציות). מחבר מקומי חייב להכיל לפחות אפליקציה אחת. כדי להסיר את כל האפליקציות, צריך למחוק את הפריסה כולה.