本指南說明如何部署 IAP 連接器,藉此在Google Cloud 之外運用 Identity-Aware Proxy (IAP) 保護以 HTTP 或 HTTPS 為基礎的內部部署應用程式。
如要進一步瞭解 IAP 如何保護內部部署應用程式和資源,請參閱內部部署應用程式的 IAP 總覽。事前準備
開始之前,請先準備下列項目:
- 以 HTTP 或 HTTPS 為基礎的內部部署應用程式。
- 已獲得 Google Cloud 專案擁有者角色的 Cloud Identity 成員。
- 將擁有者角色授予 Google API 服務代理人。
- 已啟用計費功能的 Google Cloud 專案。
- 用來當做Google Cloud流量輸入點的外部網址。例如:
www.hr-domain.com。 - DNS 主機名稱所需的 SSL 或 TLS 憑證,該 DNS 主機名稱係用於當做 Google Cloud流量的輸入點。您可以使用現有的自行管理或 Google 代管憑證。若您沒有憑證,請使用 Let's Encrypt 建立一個。
- 如果啟用 VPC Service Controls,則 VPC 網路會為 VM 服務帳戶的
cp動作設定出口政策,將資料傳送至專案 278958399328 中的 gce-mesh 值區。這樣一來,VPC 網路就會授予權限,可從 gce-mesh 儲存桶擷取 Envoy 二進位檔案。如果未啟用 VPC Service Controls,系統會預設授予這項權限。 如要停用外部 IP,請完成下列步驟:
- 在用於 IAP 連接器的 VPC 子網路上啟用私人 Google 存取權,方法是勾選設定中的方塊。詳情請參閱「私人 Google 存取權」。
- 請確認 VPC 網路的防火牆設定允許 VM 存取 Google API 和服務使用的 IP 位址。根據預設,系統會隱含允許這項操作,但使用者可以明確變更設定。如要瞭解如何找出 IP 範圍,請參閱「預設網域的 IP 位址」。
為內部部署應用程式部署連接器
前往 IAP 管理員頁面。
按一下「內部部署連接器設定」,開始設定內部部署應用程式的連接器部署作業。
按一下「Enable APIs」,確認已載入必要的 API。
選擇部署作業應使用 Google 管理的憑證,還是由您管理的憑證,選取部署作業的網路和子網路 (或選擇建立新的網路和子網路),然後按一下「下一步」。
輸入要新增的內部部署應用程式詳細資料:
- 前往 Google Cloud的要求外部網址。這個網址是流量進入環境之處。
- 應用程式的名稱。這也會用來做為負載平衡器後方新後端服務的名稱。
地端部署端點類型及其詳細資料:
- 完整網域名稱 (FQDN):連接器應轉送流量的網域。
- IP 位址:一或多個應部署 IAP 連接器的區域 (例如
us-central1-a),以及每個區域內部部署應用程式內部目的地的 IPv4 位址,也就是使用者經過授權和驗證後,IAP 將流量轉送至的目的地。
內部端點使用的通訊協定。
內部端點使用的通訊埠號碼,例如 HTTPS 的 443 或 HTTP 的 80。
按一下「完成」即可儲存該應用程式的詳細資料。如有需要,您可以為部署作業定義其他內部部署應用程式。
準備就緒後,請按一下「提交」,開始部署您定義的應用程式。
部署完成後,內部部署連接器應用程式就會顯示在「HTTP 資源」表格中,您也可以啟用 IAP。
如果您選擇讓 Google 自動產生及管理憑證,憑證可能需要幾分鐘的時間才能佈建。您可以在 Cloud Load Balancing 詳細資料頁面查看狀態。如要進一步瞭解狀態,請參閱疑難排解頁面。
管理內部部署應用程式的連接器
- 您隨時可以點選內部部署連接器設定,為部署作業新增更多應用程式。
您可以刪除整個部署作業,藉此刪除內部部署的連接器:
在部署清單中,選取「on-prem-app-deployment」部署旁的核取方塊。
按一下頁面頂端的「刪除」
您可以點選內部部署連接器設定中的刪除按鈕,刪除個別應用程式。內部部署連接器必須包含至少一個應用程式。如要移除所有應用程式,請刪除整個部署作業。