Identity-Aware Proxy(IAP)を使用すると、Google Cloudの外部にある HTTP ベースのアプリへのアクセスを管理できます。これには、企業のデータセンター内にあるオンプレミスのアプリも含まれます。
IAP でオンプレミス アプリを保護する方法については、オンプレミス アプリで IAP を設定するをご覧ください。
はじめに
IAP は、IAP オンプレミス コネクタを使用してオンプレミス アプリをターゲットにします。オンプレミス コネクタは、Cloud Deployment Manager テンプレートを使用して、IAP オンプレミス コネクタをホストして IAP 対応のGoogle Cloud プロジェクトにデプロイするために必要なリソースを作成し、認証および承認済みのリクエストをオンプレミス アプリに転送します。
オンプレミス コネクタは、次のリソースを作成します。
- オンプレミス アプリのプロキシとして機能する Cloud Service Mesh のデプロイメント。
- リクエストに対する上り(内向き)コントローラとして機能する外部アプリケーション ロードバランサ。
- ルーティング ルール。
デプロイメントには、1 つの外部アプリケーション ロードバランサの裏で実行される複数の Cloud Service Mesh バックエンド サービスを含めることができます。バックエンド サービスはそれぞれ、個々のオンプレミス アプリにマッピングされます。
IAP オンプレミス コネクタがデプロイされ、新しく作成されたオンプレミス コネクタ バックエンド サービスで IAP が有効になっている場合、IAP は ID とコンテキスト ベースの ID アクセス管理(IAM)およびアクセス ポリシーでアプリを保護します。IAM のアクセス ポリシーはバックエンド サービスのリソースレベルで構成されるため、オンプレミス アプリごとに異なるアクセス制御リストを使用できます。つまり、複数のオンプレミス アプリへのアクセスを管理する場合でも、必要な Google Cloudプロジェクトは 1 つだけです。
オンプレミス アプリ用 IAP の仕組み
Google Cloudにホストされているアプリにリクエストが送信されると、IAP はユーザーのリクエストを認証して承認します。その後、 Google Cloud アプリへのアクセス権をユーザーに付与します。
リクエストがオンプレミス アプリに送信されると、IAP はユーザーのリクエストを認証して承認します。その後、リクエストを IAP オンプレミス コネクタにルーティングします。IAP オンプレミス コネクタは、ハイブリッド接続ネットワーク エンドポイント グループを介して、 Google Cloud からオンプレミス ネットワークにリクエストを転送します。
次の図は、Google Cloud アプリ(app1)とオンプレミス アプリ(app2)に対するウェブ リクエストのトラフィック フローの概要を示しています。
ルーティング ルール
IAP コネクタ デプロイを構成するときに、ルーティング ルールを構成します。ルーティング ルールにより、DNS ホスト名の受信ポイントに到達した認証および承認済みのウェブ リクエストを、その宛先となっている DNS ホスト名にルーティングします。
次の例は、IAP コネクタの Deployment Manager テンプレート用に定義された routing パラメータの例です。
routing: - name: hr mapping: - name: host source: www.hr-domain.com destination: hr-internal.domain.com - name: sub source: sheets.hr-domain.com destination: sheets.hr-internal.domain.com - name: finance mapping: - name: host source: www.finance-domain.com destination: finance-internal.domain.com
- それぞれの
routing名は、Ambassador で作成された新しい Compute Engine バックエンド サービス リソースに対応しています。 mappingパラメータには、バックエンド サービスの Ambassador ルーティング ルールのリストを指定します。- ルーティング ルールの
sourceはdestinationにマッピングされます。sourceはGoogle Cloudに送信されるリクエストの URL で、destinationはユーザーの認証と承認が完了した後に IAP がトラフィックをルーティングするオンプレミス アプリの URL です。
次の表に、www.hr-domain.com から hr-internal.domain.com に受信リクエストをルーティングするルールの例を示します。
| Compute Engine バックエンド サービス | ルーティング ルール名 | ソース | 宛先 |
|---|---|---|---|
| 時間 | hr-host | www.hr-domain.com | hr-internal.domain.com |
| hr-sub | sheets.hr-domain.com | sheets.hr-internal.domain.com | |
| 金融 | finance-host | www.finance-domain.com | finance-internal.domain.com |
次のステップ
- IAP でオンプレミス アプリを保護する方法を学習する。
- IAP の仕組みを学習する。