オンプレミス アプリでの IAP の有効化

このガイドでは、IAP コネクタをデプロイして、 Google Cloud の外部にある HTTP または HTTPS ベースのオンプレミス アプリを Identity-Aware Proxy(IAP)で保護する方法について説明します。

IAP がオンプレミスのアプリと リソースを保護する仕組みについては、 オンプレミス アプリ用 IAP の概要をご覧ください。

始める前に

始める前に、次のものが必要になります。

  • HTTP または HTTPS ベースのオンプレミス アプリ。

  • プロジェクトでオーナー ロール が付与されている Cloud Identity メンバー。 Google Cloud

  • オーナーロールが付与された Google API サービス エージェント

  • 課金が有効になっている プロジェクト。 Google Cloud

  • へのトラフィックの上り(内向き)ポイントとして使用する外部 URL Google Cloud。例: hr.example.com

  • Google Cloudへのトラフィックの受信ポイントとして使用する DNS ホスト名の SSL 証明書または TLS 証明書。既存のセルフマネージドまたは Google 管理の証明書を使用できます。証明書がない場合は、 Let's Encrypt を使用して証明書を作成してください。

  • VPC Service Controls が有効になっている場合、プロジェクト 278958399328gce-mesh バケットに対する VM サービス アカウントの cp アクションに対する 下り(外向き)ポリシー が設定された VPC ネットワーク。このポリシーにより、gce-mesh バケットから Envoy バイナリ ファイルを取得する権限が VPC ネットワークに付与されます。 この権限は、VPC Service Controls が有効になっていない場合、デフォルトで付与されます。

  • 次の手順を行って、外部 IP を無効にします。

    • IAP コネクタに使用される VPC サブネットでプライベート Google アクセスを有効にします。詳細については、限定公開の Google アクセスをご覧ください。

    • VPC ネットワークのファイアウォール構成で、VM が Google API とサービスの IP アドレスにアクセスできることを確認します。デフォルトでは、このアクセス権が付与されますが、ユーザーは明示的に変更できます。IP 範囲を確認する方法については、デフォルト ドメインの IP アドレスをご覧ください。

オンプレミス アプリのコネクタのデプロイ

  1. IAP ページに移動します。

    IAP に移動

  2. [Connect new application] をクリックし、[Connect via on-prem connector] を選択して、オンプレミス アプリのコネクタ デプロイの設定を開始します。

  3. 必要な API が有効になっていることを確認するには、右側のパネルで [Enable APIs and continue] をクリックします。

  4. 構成の詳細を選択して [次へ] をクリックします。

    • デプロイで Google が管理する証明書とユーザーが管理する証明書のどちらを使用するかを選択します。

    • デプロイのネットワークとサブネットを選択します(または新しいものを作成することを選択します)。

  5. 追加するオンプレミス アプリの次の詳細を入力します。

    • に送信されるリクエストの外部 URL を入力します Google Cloud。トラフィックはこの URL から環境内に入ります。

    • アプリの名前を入力します。これは、ロードバランサの背後にある新しい バックエンド サービスの名前としても使用されます。

    • リージョンを選択します。

    • オンプレミス エンドポイントのタイプとその詳細を入力します。

      • 完全修飾ドメイン名(FQDN): コネクタがトラフィックを転送するドメイン。

      • IP アドレス: IAP コネクタをデプロイする 1 つ以上のゾーン(例: us-central1-a)。各ゾーンで、ユーザーが承認および認証された後、IAP がトラフィックをルーティングするオンプレミス アプリの内部宛先の IPv4 アドレスを指定します。

    • オンプレミス エンドポイントで使用されるプロトコルを選択します。

    • オンプレミス エンドポイントで使用されるポート番号(HTTPS の場合は 443、HTTP の場合は 80 など)を入力します。

  6. [完了] をクリックしてアプリの詳細を保存します。デプロイ用のオンプレミス アプリを追加で定義することもできます。

  7. 定義したアプリのデプロイを開始するには、[送信] をクリックします。

デプロイが完了すると、オンプレミスのコネクタアプリが [Applications] テーブルに表示され、IAP を有効にできます。

Google に証明書の自動生成と管理を任せる場合は、証明書のプロビジョニングに数分かかることがあります。Cloud Load Balancing の詳細ページでステータスを確認できます。ステータスの詳細については、トラブルシューティング ページをご覧ください。

オンプレミス アプリのコネクタの管理

  • デプロイにアプリを追加するには、[Connect new application]、[Connect via on-prem connector] の順にクリックします。

  • デプロイ全体を削除してオンプレミス コネクタを削除するには、次の操作を行います。

    1. Deployment Manager のページに移動します。

      Deployment Manager に移動

    2. デプロイのリストで、「on-prem-app-deployment」デプロイの横にあるチェックボックスをオンにします。

    3. ページの上部にある [削除] をクリックします。

  • 個々のアプリを削除するには、[Applications] タブの削除ボタンをクリックします。 オンプレミス コネクタには少なくとも 1 つのアプリが含まれている必要があります。すべてのアプリを削除するには、デプロイ全体を削除してください。