Identity-Aware Proxy (IAP) 可讓您管理在Google Cloud之外以 HTTP 為基礎的應用程式存取權,這包含您企業資料中心內的內部部署應用程式。
如要瞭解如何使用 IAP 保護內部部署應用程式,請參閱「為內部部署應用程式設定 IAP」一文。
簡介
IAP 會透過 IAP 內部部署連接器將內部部署應用程式設為目標。內部部署連接器會使用 Cloud Deployment Manager 範本,建立所需資源,以便代管及部署 IAP 內部部署連接器至已啟用 IAP 的Google Cloud 專案,將經過驗證和授權的要求轉送至內部部署應用程式。
內部部署連接器會建立下列資源:
- Cloud Service Mesh 部署作業,可做為地端應用程式的 Proxy。
- 外部應用程式負載平衡器,可做為要求的輸入控制器。
- 轉送規則。
一次部署作業可包含多個 Cloud Service Mesh 後端服務,在一個外部應用程式負載平衡器後方執行。每個後端服務會對應至個別內部部署應用程式。
當 IAP 內部部署連接器,並為新建立的內部部署連接器後端服務啟用 IAP 時,IAP 會運用身分識別資訊及以情境為基礎的 Identity and Access Management (IAM) 存取政策,保護您的應用程式。由於 IAM 存取政策會設定在後端服務的資源層級上,因此每個內部部署應用程式均可有不同的存取控制清單。這表示只需要一個 Google Cloud專案,即可管理多個內部部署應用程式的存取權。
內部部署應用程式適用的 IAP 運作方式
當要求傳送至 Google Cloud上代管的應用程式時,IAP 會驗證並授權使用者要求,接著即可將 Google Cloud 應用程式的存取權授予使用者。
當要求傳送至內部部署應用程式時,IAP 會驗證並授權使用者要求。接著會將要求轉送至 IAP 內部部署連接器。IAP 內部部署連接器會透過混合式連線網路端點群組,將要求從 Google Cloud 轉送至內部部署網路。
下圖說明高階的網路要求流量如何傳遞至Google Cloud 應用程式 (app1) 及內部部署應用程式 (app2)。
轉送規則
設定 IAP 連接器部署時,您要設定轉送規則。這些規則會將抵達您 DNS 主機名稱輸入點的已驗證及已授權網路要求,轉送至做為目的地的 DNS 主機名稱。
以下範例為針對 IAP 連接器 Deployment Manager 範本所定義的 routing 參數。
routing: - name: hr mapping: - name: host source: www.hr-domain.com destination: hr-internal.domain.com - name: sub source: sheets.hr-domain.com destination: sheets.hr-internal.domain.com - name: finance mapping: - name: host source: www.finance-domain.com destination: finance-internal.domain.com
- 每個
routing名稱會對應至 Ambassador 建立的全新 Compute Engine 後端服務資源。 mapping參數會指定後端服務適用之 Ambassador 轉送規則清單。- 轉送規則的
source會對應至destination,其中source為抵達Google Cloud之要求的網址,而destination為您內部部署應用程式的網址,使用者經過授權及驗證後,IAP 即會將流量轉送至其中。
下表範例規則會將傳入要求從 www.hr-domain.com 轉送至 hr-internal.domain.com:
| Compute Engine 後端服務 | 轉送規則名稱 | 來源 | 目的地 |
|---|---|---|---|
| hr | hr-host | www.hr-domain.com | hr-internal.domain.com |
| hr-sub | sheets.hr-domain.com | sheets.hr-internal.domain.com | |
| finance | finance-host | www.finance-domain.com | finance-internal.domain.com |
後續步驟
- 瞭解如何使用 IAP 保護內部部署應用程式。
- 進一步瞭解IAP 的運作方式。