Mengaktifkan IAP untuk aplikasi lokal

Halaman ini menjelaskan cara mengamankan aplikasi lokal berbasis HTTP atau HTTPS di luar Google Cloud dengan Identity-Aware Proxy (IAP) dengan men-deploy konektor IAP.

Untuk mengetahui informasi selengkapnya tentang cara IAP mengamankan aplikasi dan resource lokal, lihat Ringkasan IAP untuk aplikasi lokal.

Sebelum memulai

Sebelum memulai, Anda memerlukan hal berikut:

Aplikasi lokal berbasis HTTP atau HTTPS.
Anggota Cloud Identity yang diberi peran Pemilik di project Google Cloud Anda.

Catatan: Peran dasar IAM adalah peran yang sangat permisif yang memberikan akses luas ke Google Cloud resource. Sebaiknya hindari pemberian peran dasar di lingkungan produksi. Anda dapat memberikan peran dasar dalam lingkungan pengembangan atau pengujian.
Agen Layanan Google API yang diberi peran pemilik.
Google Cloud Project dengan penagihan diaktifkan.
URL eksternal yang akan digunakan sebagai titik masuk untuk traffic ke Google Cloud. Contoh, hr.example.com.
Sertifikat SSL atau TLS untuk nama host DNS yang digunakan sebagai titik masuk untuk traffic ke Google Cloud. Sertifikat yang dikelola sendiri atau dikelola Google yang ada dapat digunakan. Jika Anda tidak memiliki sertifikat, buat sertifikat menggunakan Let's Encrypt.
Jika Kontrol Layanan VPC diaktifkan, jaringan VPC dengan kebijakan keluar pada tindakan cp untuk akun layanan VM ke bucket gce-mesh di project 278958399328. Kebijakan ini memberikan izin kepada jaringan VPC untuk mengambil file biner Envoy dari bucket gce-mesh. Izin diberikan secara default, jika Kontrol Layanan VPC tidak diaktifkan.
Nonaktifkan IP eksternal dengan menyelesaikan langkah-langkah berikut:
- Aktifkan Akses Google Pribadi di subnet VPC yang digunakan untuk konektor IAP. Untuk mengetahui informasi selengkapnya, lihat Akses Google Pribadi.
- Verifikasi bahwa konfigurasi firewall jaringan VPC memungkinkan VM mengakses alamat IP Google API dan layanan Google. Secara default, akses ini diberikan, tetapi pengguna dapat mengubahnya secara eksplisit. Untuk mengetahui informasi tentang cara menemukan rentang IP, lihat Alamat IP untuk domain default.

Men-deploy konektor untuk aplikasi lokal

Buka halaman IAP.

Buka IAP
Untuk mulai menyiapkan deployment konektor untuk aplikasi lokal, klik Connect new application, lalu pilih Connect via on-prem connector.
Untuk memastikan API yang diperlukan telah diaktifkan, klik Enable APIs and continue di panel sebelah kanan.
Pilih detail konfigurasi, lalu klik Berikutnya:
- Pilih apakah deployment harus menggunakan sertifikat yang dikelola Google atau sertifikat yang dikelola oleh Anda.
- Pilih jaringan dan subnet untuk deployment (atau pilih untuk membuat yang baru).
Lengkapi detail berikut untuk aplikasi lokal yang ingin Anda tambahkan:
- Masukkan URL eksternal permintaan yang masuk ke Google Cloud. URL ini adalah tempat traffic memasuki lingkungan.
- Masukkan nama untuk aplikasi, yang juga akan berfungsi sebagai nama untuk layanan backend baru di belakang load balancer.
- Pilih wilayah.
- Berikan jenis endpoint lokal dan detailnya:
  - Nama domain yang sepenuhnya memenuhi syarat (FQDN): Domain tempat konektor harus meneruskan traffic.
  - Alamat IP: Satu atau beberapa zona tempat konektor IAP harus di-deploy (misalnya, us-central1-a). Untuk setiap zona, tentukan alamat IPv4 tujuan internal untuk aplikasi lokal yang menjadi tujuan perutean traffic IAP setelah pengguna diberi otorisasi dan diautentikasi.
  Catatan: Jika endpoint lokal Anda adalah alamat IP, sebaiknya gunakan grup endpoint jaringan konektivitas hybrid secara langsung dengan load balancer, bukan menggunakan konektor lokal IAP.
- Pilih protokol yang digunakan oleh endpoint lokal.
- Masukkan nomor port yang digunakan oleh endpoint lokal, seperti 443 untuk HTTPS atau 80 untuk HTTP.
Untuk menyimpan detail aplikasi tersebut, klik Selesai. Anda juga dapat menentukan aplikasi lokal tambahan untuk deployment.
Untuk memulai deployment aplikasi yang telah Anda tentukan, klik Kirim.

Setelah deployment selesai, aplikasi konektor lokal Anda akan muncul di tabel Aplikasi dan Anda dapat mengaktifkan IAP.

Jika Anda memilih untuk mengizinkan Google membuat dan mengelola sertifikat secara otomatis, mungkin diperlukan waktu beberapa menit agar sertifikat dapat disediakan. Anda dapat memeriksa statusnya di halaman detail Cloud Load Balancing. Untuk mengetahui informasi selengkapnya tentang status, lihat halaman pemecahan masalah.

Mengelola konektor untuk aplikasi lokal

Untuk menambahkan lebih banyak aplikasi ke deployment Anda, klik Hubungkan aplikasi baru, lalu Hubungkan melalui konektor lokal.
Untuk menghapus konektor lokal dengan menghapus seluruh deployment, lakukan hal berikut:
1. Buka halaman Deployment Manager.
  
  Buka Deployment Manager
2. Dalam daftar deployment, centang kotak di samping deployment "on-prem-app-deployment".
3. Di bagian atas halaman, klik Hapus.
Untuk menghapus aplikasi satu per satu, klik tombol hapus di tab Aplikasi. Konektor lokal harus berisi minimal satu aplikasi. Untuk menghapus semua aplikasi, hapus seluruh deployment.