Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Como ativar o IAP para apps locais

Nesta página, explicamos como proteger um app local baseado em HTTP ou HTTPS fora do Google Cloud com Identity-Aware Proxy (IAP) por meio da implantação de um conector do IAP.

Para mais informações sobre como o IAP protege apps e recursos locais, consulte a visão geral do IAP para apps locais.

Antes de começar

Antes de começar, os seguintes itens são necessários:

Um app local baseado em HTTP ou HTTPS.
Ter um membro do Cloud Identity com o papel proprietário no seu Google Cloud projeto.

Observação: os papéis básicos do IAM são altamente permissivos e oferecem amplo acesso aos Google Cloud recursos. Recomendamos que você evite conceder papéis básicos em um ambiente de produção. É possível conceder papéis básicos em um ambiente de desenvolvimento ou de teste.
O agente de serviço de APIs do Google com o papel de proprietário.
Um Google Cloud projeto com o faturamento ativado.
O URL externo a ser usado como ponto de entrada para o tráfego para Google Cloud. Por exemplo, hr.example.com.
Ter um certificado SSL ou TLS para o nome do host de DNS que será usado como ponto de entrada do tráfego para o Google Cloud Google Cloud. É possível usar um certificado autogerenciado ou gerenciado pelo Google que você já tenha. Se você ainda não tem um certificado, crie um usando a Let's Encrypt.
Se o VPC Service Controls estiver ativado, use uma rede VPC com uma política de saída na ação cp da conta de serviço da VM para o bucket gce-mesh no projeto 278958399328. A política concede à rede VPC permissão para recuperar o arquivo binário Envoy do bucket gce-mesh. A permissão será concedida por padrão se o VPC Service Controls não estiver ativado.
Desative um IP externo concluindo as seguintes etapas:
- Ative o Acesso privado do Google na sub-rede VPC usada para o conector do IAP. Para mais informações, consulte Acesso privado do Google.
- Verifique se a configuração do firewall da rede VPC permite que as VMs acessem endereços IP das APIs e serviços do Google. Por padrão, esse acesso é concedido, mas os usuários podem mudá-lo explicitamente. Veja informações sobre como encontrar o intervalo de IP em Endereços IP para domínios padrão.

Implante um conector para um app no local

Acesse a página do IAP.

Acessar o IAP
Para começar a configurar a implantação do conector em um app no local, clique em Conectar novo aplicativo e selecione Conectar pelo conector no local.
Para garantir que as APIs necessárias estejam ativadas, clique em Ativar APIs e continuar no painel à direita.
Selecione os detalhes da configuração e clique em Próxima:
- Escolha se a implantação deve usar um certificado gerenciado pelo Google ou um gerenciado por você.
- Selecione a rede e a sub-rede para a implantação (ou crie uma nova).
Insira os detalhes do app no local que você quer adicionar:
- Insira o URL externo das solicitações que chegam ao Google Cloud Google Cloud. Esse URL é por onde o tráfego entra no ambiente;
- Insira um nome para o app, que também será o nome de um novo serviço de back-end por trás do balanceador de carga.
- Selecione a região.
- Forneça o tipo de endpoint local e os detalhes dele:
  - Nome de domínio totalmente qualificado (FQDN, na sigla em inglês): o domínio para onde o conector deve encaminhar o tráfego.
  - Endereço IP: uma ou mais zonas em que o conector do IAP precisa ser implantado (por exemplo, us-central1-a). Para cada zona, especifique o endereço IPv4 do destino interno do app local em que o IAP encaminha o tráfego depois de o usuário ter sido autorizado e autenticado.
  Observação: se o endpoint local for um endereço IP, considere usar um grupo de endpoints de rede de conectividade híbrida diretamente com um balanceador de carga em vez de usar o conector local do IAP.
- Selecione o protocolo usado pelo endpoint no local.
- Insira o número da porta usado pelo endpoint no local, como 443 para HTTPS ou 80 para HTTP.
Para salvar os detalhes do app, clique em Concluído. Também é possível definir outros apps locais para a implantação.
Para iniciar a implantação dos apps definidos, clique em Enviar.

Após a conclusão da implantação, os apps de conector no local vão aparecer na tabela Aplicativos , e o IAP poderá ser ativado.

Se você optar por permitir que o Google gere e gerencie automaticamente os certificados, pode levar alguns minutos para que os certificados sejam provisionados. Verifique o status na página de detalhes do Cloud Load Balancing. Para mais informações sobre o status, consulte a página de solução de problemas.

Gerencie um conector para um app no local

Para adicionar mais apps à sua implantação, clique em Conectar novo aplicativo e em Conectar pelo conector no local.
Para excluir o conector local excluindo toda a implantação, faça o seguinte:
1. Acesse a página do Deployment Manager.
  
  Acessar o Deployment Manager
2. Na lista de implantações, marque a caixa de seleção ao lado da implantação "on-prem-app-deployment".
3. No topo da página, clique em Excluir.
Para excluir apps individuais, clique no botão "Excluir" na guia Aplicativos. O conector local precisa conter pelo menos um app. Para remover todos os apps, exclua toda a implantação.