Abilitare IAP per le app on-premise

Questa pagina spiega come proteggere un'app on-premise basata su HTTP o HTTPS esterna a Google Cloud con Identity-Aware Proxy (IAP) eseguendo il deployment di un connettore IAP.

Per ulteriori informazioni su come IAP protegge le app e le risorse on-premise, consulta la panoramica di IAP per le app on-premise.

Prima di iniziare

Prima di iniziare, devi disporre di quanto segue:

Un'app on-premise basata su HTTP o HTTPS.
Un membro di Cloud Identity a cui è stato concesso il ruolo di Proprietario sul tuo Google Cloud progetto.

Nota: i ruoli di base IAM sono ruoli altamente permissivi che forniscono un ampio accesso alle Google Cloud risorse. Ti consigliamo di evitare di concedere ruoli di base in un ambiente di produzione. Puoi concedere ruoli di base in un ambiente di sviluppo o di test.
L'agente di servizio API di Google con il ruolo di proprietario.
Un Google Cloud progetto con la fatturazione abilitata.
L'URL esterno da utilizzare come punto di ingresso per il traffico verso Google Cloud. Ad esempio, hr.example.com.
Un certificato SSL o TLS per il nome host DNS utilizzato come punto di ingresso per il traffico verso Google Cloud. È possibile utilizzare un certificato esistente con gestione indipendente o gestito da Google. Se non hai un certificato, creane uno utilizzando Let's Encrypt.
Se i Controlli di servizio VPC sono abilitati, una rete VPC con un criterio di uscita sull'azione cp per l'account di servizio della VM nel bucket gce-mesh nel progetto 278958399328. Il criterio concede alla rete VPC l'autorizzazione per recuperare il file binario Envoy dal bucket gce-mesh. L'autorizzazione viene concessa per impostazione predefinita se i Controlli di servizio VPC non sono abilitati.
Disattiva un IP esterno completando i seguenti passaggi:
- Abilita l'accesso privato Google sulla subnet VPC utilizzata per il connettore IAP. Per ulteriori informazioni, consulta Accesso privato Google.
- Verifica che la configurazione del firewall della rete VPC consenta alle VM di accedere agli indirizzi IP delle API e dei servizi di Google. Per impostazione predefinita, questo accesso viene concesso, ma gli utenti possono modificarlo in modo esplicito. Per informazioni su come trovare l'intervallo IP, consulta Indirizzi IP per i domini predefiniti.

Esegui il deployment di un connettore per un'app on-premise

Vai alla pagina IAP.

Vai a IAP
Per iniziare a configurare il deployment del connettore per un'app on-premise, fai clic su Connetti nuova applicazione e seleziona Connetti tramite connettore on-premise.
Per assicurarti che le API richieste siano abilitate, fai clic su Abilita API e continua nel riquadro a destra.
Seleziona i dettagli di configurazione e fai clic su Avanti:
- Scegli se il deployment deve utilizzare un certificato gestito da Google o uno gestito da te.
- Seleziona la rete e la subnet per il deployment (o scegli di crearne una nuova).
Inserisci i seguenti dettagli per l'app on-premise che vuoi aggiungere:
- Inserisci l'URL esterno delle richieste in entrata Google Cloud. Questo URL è il punto di ingresso del traffico nell'ambiente.
- Inserisci un nome per l'app, che fungerà anche da nome per un nuovo servizio di backend dietro il bilanciatore del carico.
- Seleziona la regione.
- Fornisci il tipo di endpoint on-premise e i relativi dettagli:
  - Nome di dominio completo (FQDN): il dominio in cui il connettore deve inoltrare il traffico.
  - Indirizzo IP: una o più zone in cui deve essere eseguito il deployment del connettore IAP (ad esempio, us-central1-a). Per ogni zona, specifica l'indirizzo IPv4 della destinazione interna per l'app on-premise a cui IAP instrada il traffico dopo che un utente è stato autorizzato e autenticato.
  Nota: se l'endpoint on-premise è un indirizzo IP, valuta la possibilità di utilizzare un gruppo di endpoint di rete di connettività ibrida direttamente con un bilanciatore del carico anziché utilizzare il connettore on-premise IAP.
- Seleziona il protocollo utilizzato dall'endpoint on-premise.
- Inserisci il numero di porta utilizzato dall'endpoint on-premise, ad esempio 443 per HTTPS o 80 per HTTP.
Per salvare i dettagli dell'app, fai clic su Fine. Puoi anche definire altre app on-premise per il deployment.
Per avviare il deployment delle app che hai definito, fai clic su Invia.

Al termine del deployment, le app del connettore on-premise vengono visualizzate nella tabella Applicazioni e puoi abilitare IAP.

Se scegli di consentire a Google di generare e gestire automaticamente i certificati, il provisioning dei certificati potrebbe richiedere alcuni minuti. Puoi controllare lo stato nella pagina dei dettagli di Cloud Load Balancing. Per ulteriori informazioni sullo stato, consulta la pagina per la risoluzione dei problemi.

Gestisci un connettore per un'app on-premise

Per aggiungere altre app al deployment, fai clic su Connetti nuova applicazione e poi su Connetti tramite connettore on-premise.
Per eliminare il connettore on-premise eliminando l'intero deployment:
1. Vai alla pagina Deployment Manager.
  
  Vai a Deployment Manager
2. Nell'elenco dei deployment, seleziona la casella di controllo accanto al deployment "on-prem-app-deployment".
3. Nella parte superiore della pagina, fai clic su Elimina.
Per eliminare le singole app, fai clic sul pulsante Elimina nella scheda Applicazioni. Il connettore on-premise deve contenere almeno un'app. Per rimuovere tutte le app, elimina l'intero deployment.