Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Habilita IAP para aplicaciones locales

En esta página, se explica cómo proteger una app local basada en HTTP o HTTPS fuera deGoogle Cloud con Identity-Aware Proxy (IAP) implementando un conector IAP.

Para obtener más información sobre cómo IAP protege los recursos y las apps locales, consulta la descripción general de IAP para las aplicaciones locales.

Antes de comenzar

Antes de comenzar, necesitas lo siguiente:

Una app local basada en HTTP o HTTPS.
Que un miembro de Cloud Identity haya otorgado la función Propietario a tu proyecto Google Cloud

Nota: Los roles básicos de IAM son roles muy permisivos que brindan acceso amplio a los recursos de Google Cloud . Te recomendamos que evites otorgar roles básicos en un entorno de producción. Puedes otorgar roles básicos en un entorno de desarrollo o de prueba.
El agente de servicio de las APIs de Google tiene el rol de propietario.
Un proyecto de Google Cloud con la facturación habilitada
Es la URL externa que se usará como punto de entrada para el tráfico aGoogle Cloud. Por ejemplo, hr.example.com
Un certificado SSL o TLS para el nombre de host DNS que se usa como punto de entrada para el tráfico a Google Cloud. Se puede usar un certificado autoadministrado o administrado por Google existente. Si no tienes un certificado, crea uno con Let's Encrypt.
Si los Controles del servicio de VPC están habilitados, una red de VPC con una política de salida en la acción cp para la cuenta de servicio de la VM en el bucket gce-mesh del proyecto 278958399328. La política otorga permiso a la red de VPC para recuperar el archivo binario de Envoy del bucket de gce-mesh. El permiso se otorga de forma predeterminada si no están habilitados los Controles del servicio de VPC.
Para inhabilitar una IP externa, completa los siguientes pasos:
- Habilita el Acceso privado a Google en la subred de VPC que se usa para el conector IAP. Para obtener más información, consulta Acceso privado a Google.
- Verifica que la configuración del firewall de la red de VPC permita que las VMs accedan a las direcciones IP de las APIs y los servicios de Google. De forma predeterminada, se otorga este acceso, pero los usuarios pueden cambiarlo de forma explícita. Para obtener información sobre cómo encontrar el rango de IP, consulta Direcciones IP para dominios predeterminados.

Implementa un conector para una app local

Ve a la página de IAP.

Ve a IAP
Para comenzar a configurar la implementación del conector para una app local, haz clic en Conectar una aplicación nueva y selecciona Conectar a través de un conector local.
Para asegurarte de que las APIs requeridas estén habilitadas, haz clic en Habilitar APIs y continuar en el panel lateral derecho.
Selecciona los detalles de configuración y haz clic en Siguiente:
- Elige si la implementación debe usar un certificado administrado por Google o uno administrado por ti.
- Selecciona la red y la subred para la implementación (o elige crear una nueva).
Completa los siguientes detalles de la app local que deseas agregar:
- Ingresa la URL externa de las solicitudes que llegan a Google Cloud. Esta URL es por donde ingresa el tráfico al entorno.
- Ingresa un nombre para la app, que también servirá como nombre para un nuevo servicio de backend detrás del balanceador de cargas.
- Selecciona la región.
- Proporciona el tipo de extremo local y sus detalles:
  - Nombre de dominio completamente calificado (FQDN): Es el dominio al que el conector debe reenviar el tráfico.
  - Dirección IP: Una o más zonas en las que se debe implementar el conector IAP (por ejemplo, us-central1-a). Para cada zona, especifica la dirección IPv4 del destino interno de la app local a la que IAP enruta el tráfico después de que se autoriza y autentica un usuario.
  Nota: Si tu extremo local es una dirección IP, considera usar un grupo de extremos de red de conectividad híbrida directamente con un balanceador de cargas en lugar de usar el conector local de IAP.
- Selecciona el protocolo que usa el extremo local.
- Ingresa el número de puerto que usa el extremo local, como 443 para HTTPS o 80 para HTTP.
Para guardar los detalles de esa app, haz clic en Listo. También puedes definir apps locales adicionales para la implementación.
Para comenzar la implementación de las apps que definiste, haz clic en Enviar.

Una vez completada la implementación, tus aplicaciones de conectores locales aparecerán en la tabla Aplicaciones y podrás habilitar IAP.

Si eliges permitir que Google genere y administre los certificados automáticamente, es posible que el aprovisionamiento de los certificados tarde unos minutos. Puedes verificar el estado en la página de detalles de Cloud Load Balancing. Para obtener más información sobre el estado, consulta la página de solución de problemas.

Administra un conector para una app local

Para agregar más apps a tu implementación, haz clic en Conectar una aplicación nueva y, luego, en Conectar a través de un conector local.
Para borrar el conector local, borra toda la implementación. Para ello, haz lo siguiente:
1. Ve a la página Deployment Manager.
  
  Ir a Deployment Manager
2. En la lista de implementaciones, selecciona la casilla de verificación junto a la implementación "on-prem-app-deployment".
3. En la parte superior de la página, haz clic en Borrar.
Para borrar apps individuales, haz clic en el botón de borrar en la pestaña Aplicaciones. El conector local debe contener al menos una app. Para quitar todas las apps, borra toda la implementación.