本页介绍如何通过部署 IAP 连接器使用Google Cloud Identity-Aware Proxy (IAP) 保护Google Cloud 外部基于 HTTP 或 HTTPS 的本地应用的安全。
如需详细了解 IAP 如何保护本地应用和资源,请参阅在本地应用中使用 Cloud IAP 概览。准备工作
在开始之前,您需要做好以下准备:
基于 HTTP 或 HTTPS 的本地应用。
Cloud Identity 成员已授予您 Google Cloud 项目的 Owner 角色。
已向 Google API 服务代理授予所有者角色。
用作Google Cloud流量入站点的外部网址。例如
hr.example.com。DNS 主机名的 SSL 或 TLS 证书,用作到 Google Cloud的流量入站点。可以使用现有的自行管理证书或由 Google 管理的证书。如果您没有证书,请使用 Let's Encrypt 创建一个。
如果启用了 VPC Service Controls,则 VPC 网络将出站流量政策on
cp虚拟机服务账号对项目278958399328中的gce-mesh存储桶的操作。该政策授予 VPC 网络从 gce-mesh 存储桶检索 Envoy 二进制文件的权限。如果未启用 VPC Service Controls,则默认授予权限。通过完成以下步骤停用外部 IP:
在用于 IAP 连接器的 VPC 子网上启用专用 Google 访问通道。如需了解详情,请参阅专用 Google 访问通道。
验证 VPC 网络的防火墙配置是否允许虚拟机访问 Google API 和服务的 IP 地址。默认情况下,系统会授予此访问权限,但用户可以明确更改。如需了解如何查找 IP 范围,请参阅默认网域的 IP 地址。
为本地应用部署连接器
前往 IAP 页面。
如需开始为本地应用设置连接器部署,请点击连接新应用,然后选择通过本地连接器连接。
为确保已启用必需的 API,请点击右侧面板中的启用 API 并继续。
选择配置详细信息,然后点击下一步:
选择部署应使用 Google 管理的证书还是由您管理的证书。
选择部署的网络和子网(或选择创建新的网络和子网)。
填写要添加的本地应用的以下详细信息:
输入发往 Google Cloud的请求的外部网址。该网址是流量进入环境的位置。
输入应用的名称,该名称还将用作负载平衡器后的新后端服务的名称。
选择区域。
提供本地端点类型及其详细信息:
完全限定域名 (FQDN):连接器应转发流量的网域。
IP 地址:IAP 连接器应部署到的一个或多个可用区(例如
us-central1-a)。对于每个可用区,请指定本地应用的内部目标位置的 IPv4 地址,当用户获得授权并进行身份验证后,IAP 会将流量路由到这些地址。
选择本地端点使用的协议。
输入本地端点使用的端口号,例如 443(对于 HTTPS)或 80(对于 HTTP)。
如需保存该应用的详细信息,请点击完成。您还可以为部署定义其他本地应用。
如需开始部署您已定义的应用,请点击提交。
部署完成后,本地连接器应用将显示在应用表中,并且您可以启用 IAP。
如果您选择让 Google 自动生成和管理证书,供应证书可能需要几分钟时间。您可以在 Cloud Load Balancing 详细信息页面上查看状态。如需详细了解这些状态,请参阅“问题排查”页面。
管理本地应用的连接器
如需向部署添加更多应用,请依次点击连接新应用和通过本地连接器连接。
如需通过删除整个部署来删除本地连接器,请执行以下操作:
转到 Deployment Manager 页面。
在部署列表中,选中“on-prem-app-deployment”部署旁边的复选框。
点击页面顶部的删除。
如需删除单个应用,请点击应用标签页中的“删除”按钮。 本地连接器必须至少包含一个应用。如需移除所有应用,请删除整个部署。