IAP für lokale Anwendungen aktivieren

Auf dieser Seite wird erläutert, wie Sie eine HTTP- oder HTTPS-basierte lokale Anwendung außerhalb vonGoogle Cloud mit Identity-Aware Proxy (IAP) sichern und dafür einen IAP-Connector bereitstellen.

Weitere Informationen zur Sicherung lokaler Anwendungen und Ressourcen durch IAP finden Sie unter Übersicht über Cloud IAP für lokale Anwendungen.

Hinweis

Für den Start ist Folgendes erforderlich:

Eine HTTP- oder HTTPS-basierte lokale Anwendung.
Ein Cloud Identity-Mitglied hat Ihrem Google Cloud -Projekt die Rolle Inhaber gewährt.

Hinweis :Einfache IAM-Rollen sind sehr permissive Rollen, die umfassenden Zugriff auf Google Cloud Ressourcen gewähren. Wir empfehlen, in einer Produktionsumgebung keine einfachen Rollen zuzuweisen. In einer Entwicklungs- oder Testumgebung können Sie einfache Rollen zuweisen.
Dem Google APIs-Dienst-Agenten wurde die Inhaberrolle zugewiesen.
Ein Google Cloud -Projekt mit aktivierter Abrechnung.
Die externe URL, die als Eingangspunkt für den Traffic zuGoogle Cloudverwendet werden soll, Beispiel: hr.example.com.
Ein SSL- oder TLS-Zertifikat für den DNS-Hostnamen, der als Eingangspunkt für den Traffic zu Google Cloudverwendet wird. Es kann auch ein vorhandenes selbstverwaltetes oder von Google verwaltetes Zertifikat verwendet werden. Wenn Sie kein Zertifikat haben, erstellen Sie ein Zertifikat mit Let's Encrypt.
Wenn VPC Service Controls aktiviert ist, ein VPC-Netzwerk mit einer Richtlinie für ausgehenden Traffic für die Aktion cp für das VM-Dienstkonto zum Bucket gce-mesh im Projekt 278958399328. Die Richtlinie erteilt dem VPC-Netzwerk die Berechtigung, die Envoy-Binärdatei aus dem gce-mesh-Bucket abzurufen. Die Berechtigung wird standardmäßig erteilt, wenn VPC Service Controls nicht aktiviert ist.
Deaktivieren Sie eine externe IP-Adresse. Gehen Sie dazu so vor:
- Aktivieren Sie den privaten Google-Zugriff in dem VPC-Subnetz, das für den IAP-Connector verwendet wird. Weitere Informationen finden Sie unter Privater Google-Zugriff.
- Prüfen Sie, ob die Firewallkonfiguration des VPC-Netzwerk den Zugriff der VMs auf IP-Adressen von Google APIs und Google-Diensten zulässt. Standardmäßig wird dieser Zugriff gewährt, Nutzer können ihn aber explizit ändern. Informationen zum Ermitteln des IP-Bereichs finden Sie unter IP-Adressen für Standarddomains.

Connector für eine lokale Anwendung bereitstellen

Rufen Sie die IAP-Seite auf.

Zu IAP
Klicken Sie zum Einrichten der Connector-Bereitstellung für eine lokale Anwendung auf Neue Anwendung verbinden und wählen Sie Über lokalen Connector verbinden aus.
Klicken Sie in der Seitenleiste auf APIs aktivieren und fortfahren, um sicherzustellen, dass die erforderlichen APIs aktiviert sind.
Wählen Sie die Konfigurationsdetails aus und klicken Sie auf Weiter:
- Wählen Sie aus, ob die Bereitstellung ein von Google verwaltetes oder von Ihnen verwaltetes Zertifikat verwenden soll.
- Wählen Sie das Netzwerk und das Subnetz für die Bereitstellung aus (oder erstellen Sie ein neues).
Geben Sie die folgenden Details für die lokale Anwendung ein, die Sie hinzufügen möchten:
- Geben Sie die externe URL von Anfragen ein, die an Google Cloudgesendet werden. Über diese URL wird der Traffic in die Umgebung geleitet.
- Geben Sie einen Namen für die App ein. Er wird auch als Name für einen neuen Backend-Dienst hinter dem Load-Balancer verwendet.
- Wählen Sie die Region aus.
- Geben Sie den lokalen Endpunkttyp und seine Details an:
  - Voll qualifizierter Domainname (FQDN): Die Domain, an die der Connector den Traffic weiterleiten soll.
  - IP-Adresse: Eine oder mehrere Zonen, in denen der IAP-Connector bereitgestellt werden soll (z. B. us-central1-a). Geben Sie für jede Zone die IPv4-Adresse des internen Ziels der lokalen Anwendung an, zu der IAP den Traffic weiterleitet, nachdem ein Nutzer autorisiert und authentifiziert wurde.
  Hinweis :Wenn Ihr lokaler Endpunkt eine IP-Adresse ist, sollten Sie direkt eine Hybridkonnektivitäts-Netzwerkendpunktgruppe mit einem Load Balancer verwenden, anstatt den lokalen IAP-Connector zu nutzen.
- Wählen Sie das Protokoll aus, das vom lokalen Endpunkt verwendet wird.
- Geben Sie die Portnummer ein, die vom lokalen Endpunkt verwendet wird, z. B. 443 für HTTPS oder 80 für HTTP.
Klicken Sie auf Fertig, um die Details für diese App zu speichern. Sie können auch zusätzliche lokale Apps für die Bereitstellung definieren.
Klicken Sie auf Senden, um mit der Bereitstellung der von Ihnen definierten Apps zu beginnen.

Wenn die Bereitstellung abgeschlossen ist, werden Ihre lokalen Connector-Apps in der Tabelle Anwendungen angezeigt und Sie können IAP aktivieren.

Wenn Sie Google die Zertifikate automatisch generieren und verwalten lassen, kann es einige Minuten dauern, bis die Zertifikate bereitgestellt werden. Sie können den Status auf der Detailseite von Cloud Load Balancing prüfen. Weitere Informationen zum Status finden Sie auf der Seite zur Fehlerbehebung.

Connector für eine lokale Anwendung verwalten

Wenn Sie Ihrer Bereitstellung weitere Anwendungen hinzufügen möchten, klicken Sie auf Neue Anwendung verbinden und dann auf Über lokalen Connector verbinden.
So löschen Sie den lokalen Connector, indem Sie die gesamte Bereitstellung löschen:
1. Rufen Sie die Deployment Manager-Seite auf.
  
  Deployment Manager aufrufen
2. Klicken Sie in der Liste der Bereitstellungen auf das Kästchen neben der Bereitstellung „on-prem-app-deployment“.
3. Klicken Sie oben auf der Seite auf Löschen.
Wenn Sie einzelne Apps löschen möchten, klicken Sie auf dem Tab Anwendungen auf die Schaltfläche zum Löschen. Der lokale Connector muss mindestens eine App enthalten. Wenn Sie alle Apps entfernen möchten, löschen Sie die gesamte Bereitstellung.