Mengaktifkan IAP untuk aplikasi lokal

Panduan ini menjelaskan cara mengamankan aplikasi lokal berbasis HTTP atau HTTPS di luar Google Cloud dengan Identity-Aware Proxy (IAP) dengan men-deploy konektor IAP.

Untuk informasi selengkapnya tentang cara IAP mengamankan aplikasi dan resource lokal, lihat ringkasan IAP untuk aplikasi lokal.

Sebelum memulai

Sebelum memulai, Anda memerlukan hal berikut:

  • Aplikasi lokal berbasis HTTP atau HTTPS.
  • Anggota Cloud Identity memberikan peran Pemilik di project Google Cloud Anda.
  • Memberikan peran pemilik kepada Agen Layanan Google API.
  • Project Google Cloud dengan penagihan diaktifkan.
  • URL eksternal yang akan digunakan sebagai titik masuk untuk traffic keGoogle Cloud. Contoh, www.hr-domain.com.
  • Sertifikat SSL atau TLS untuk nama host DNS yang digunakan sebagai titik masuk untuk traffic ke Google Cloud. Sertifikat yang dikelola sendiri atau dikelola Google yang ada dapat digunakan. Jika Anda tidak memiliki sertifikat, buat sertifikat menggunakan Let's Encrypt.
  • Jika Kontrol Layanan VPC diaktifkan, jaringan VPC dengan kebijakan keluar pada tindakan cp untuk akun layanan VM ke bucket gce-mesh, yang berada di project 278958399328. Tindakan ini akan memberikan izin jaringan VPC untuk mengambil file biner Envoy dari bucket gce-mesh. Izin diberikan secara default, jika Kontrol Layanan VPC tidak diaktifkan.

  • Nonaktifkan IP eksternal dengan menyelesaikan langkah-langkah berikut:

    1. Aktifkan Akses Google Pribadi di subnet VPC yang digunakan untuk konektor IAP dengan mencentang kotak di konfigurasi. Untuk informasi tambahan, lihat Akses Google Pribadi.
    2. Pastikan konfigurasi firewall jaringan VPC mengizinkan akses dari VM ke alamat IP yang digunakan oleh Google API dan layanan Google. Hal ini secara implisit diizinkan secara default, tetapi dapat diubah oleh pengguna secara eksplisit. Untuk mengetahui informasi tentang cara menemukan rentang IP, lihat Alamat IP untuk domain default.

Men-deploy konektor untuk aplikasi lokal

  1. Buka halaman admin IAP.

    Buka halaman admin IAP

  2. Mulai siapkan deployment konektor untuk aplikasi lokal dengan mengklik Penyiapan konektor lokal.

  3. Pastikan API yang diperlukan dimuat dengan mengklik Aktifkan API.

  4. Pilih apakah deployment harus menggunakan sertifikat yang dikelola Google atau yang dikelola oleh Anda, pilih jaringan dan subnet untuk deployment (atau pilih untuk membuat yang baru), lalu klik Berikutnya.

  5. Masukkan detail untuk aplikasi lokal yang ingin Anda tambahkan:

    • URL eksternal permintaan yang masuk ke Google Cloud. URL ini adalah tempat traffic memasuki lingkungan.
    • Nama untuk aplikasi. Nama ini juga akan digunakan sebagai nama untuk layanan backend baru di belakang load balancer.

    • Jenis endpoint on-prem dan detailnya:

      • Nama domain yang sepenuhnya memenuhi syarat (FQDN): Domain tempat konektor harus meneruskan traffic.
      • Alamat IP: Satu atau beberapa zona tempat konektor IAP harus di-deploy (misalnya, us-central1-a) dan, untuk setiap zona, alamat IPv4 tujuan internal untuk aplikasi lokal tempat IAP merutekan traffic setelah pengguna diberi otorisasi dan diautentikasi.

    • Protokol yang digunakan oleh endpoint on-prem.

    • Nomor port yang digunakan oleh endpoint on-premise, seperti 443 untuk HTTPS atau 80 untuk HTTP.

  6. Klik Selesai untuk menyimpan detail aplikasi tersebut. Jika mau, Anda dapat menentukan aplikasi on-premise tambahan untuk deployment.

  7. Jika sudah siap, klik Kirimkan untuk memulai deployment aplikasi yang telah Anda tentukan.

Setelah deployment selesai, aplikasi konektor lokal Anda akan muncul di tabel resource HTTP dan IAP dapat diaktifkan.

Jika Anda memilih untuk mengizinkan Google membuat dan mengelola sertifikat secara otomatis, mungkin perlu waktu beberapa menit untuk menyediakan sertifikat. Anda dapat memeriksa statusnya di halaman detail Cloud Load Balancing. Untuk mengetahui informasi selengkapnya tentang status, lihat halaman pemecahan masalah.

Mengelola konektor untuk aplikasi lokal

  • Anda dapat menambahkan lebih banyak aplikasi ke deployment kapan saja dengan mengklik Penyiapan konektor on-prem.

  • Anda dapat menghapus konektor on-premise dengan menghapus seluruh deployment:

    1. Buka halaman Deployment Manager.

      Buka halaman Deployment Manager

    2. Dalam daftar deployment, centang kotak di samping deployment "on-prem-app-deployment".

    3. Di bagian atas halaman, klik Hapus

  • Anda dapat menghapus aplikasi satu per satu dengan mengklik tombol hapus di Penyiapan konektor on-prem Konektor on-premise harus berisi minimal satu aplikasi. Untuk menghapus semua aplikasi, hapus seluruh deployment.