本頁面說明如何部署 IAP 連接器,藉此在Google Cloud 之外運用 Identity-Aware Proxy (IAP) 保護以 HTTP 或 HTTPS 為基礎的內部部署應用程式。
如要進一步瞭解 IAP 如何保護地端部署應用程式和資源,請參閱「地端部署應用程式的 IAP 總覽」。事前準備
開始之前,請先確認您具備以下項目:
以 HTTP 或 HTTPS 為基礎的地端部署應用程式。
已獲得 Google Cloud 專案擁有者角色的 Cloud Identity 成員。
獲授予擁有者角色的 Google API 服務代理人。
用來當做Google Cloud流量輸入點的外部網址。例如:
hr.example.com。DNS 主機名稱所需的 SSL 或 TLS 憑證,該 DNS 主機名稱係用於當做 Google Cloud流量的輸入點。可使用自行管理或 Google 代管的現有憑證。如果沒有憑證,請使用 Let's Encrypt 建立一個。
如果已啟用 VPC Service Controls,則虛擬私有雲網路會對 VM 服務帳戶的
cp動作,以及專案278958399328中的gce-meshbucket 執行輸出政策。這項政策會授予虛擬私有雲網路權限,從 gce-mesh bucket 擷取 Envoy 二進位檔案。如果未啟用 VPC Service Controls,系統預設會授予這項權限。如要停用外部 IP,請完成下列步驟:
在用於 IAP 連接器的 VPC 子網路上啟用 Private Google Access。詳情請參閱Private Google Access。
確認虛擬私有雲網路的防火牆設定允許 VM 存取 Google API 和服務的 IP 位址。預設會授予這項存取權,但使用者可以明確變更。如要瞭解如何找出 IP 範圍,請參閱「預設網域的 IP 位址」。
部署地端部署應用程式的連接器
前往 IAP 頁面。
如要開始設定地端部署應用程式的連接器部署作業,請按一下「Connect new application」(連結新應用程式),然後選取「Connect via on-prem connector」(透過地端部署連接器連結)。
如要確保已啟用必要的 API,請按一下右側面板中的「啟用 API 並繼續」。
選取設定詳細資料,然後按一下「下一步」:
選擇部署作業要使用 Google 代管的憑證,還是您管理的憑證。
選取部署作業的網路和子網路 (或選擇建立新的網路和子網路)。
請為要新增的地端部署應用程式填寫下列詳細資料:
輸入傳送至 Google Cloud的要求外部網址。流量會從這個網址進入環境。
輸入應用程式的名稱,這也會做為負載平衡器後方新後端服務的名稱。
選取地區。
提供地端部署端點類型及其詳細資料:
完整網域名稱 (FQDN):連接器應轉送流量的網域。
IP 位址:要部署 IAP 連接器的一或多個區域 (例如
us-central1-a)。請為每個區域指定內部目的地 IPv4 位址,使用者通過授權和驗證後,IAP 會將流量轉送至該內部目的地,也就是地端部署應用程式。
選取地端部署端點使用的通訊協定。
輸入地端部署端點使用的通訊埠號碼,例如 HTTPS 的 443 或 HTTP 的 80。
如要儲存該應用程式的詳細資料,請按一下「完成」。您也可以為部署作業定義其他地端部署應用程式。
如要開始部署您定義的應用程式,請按一下「提交」。
部署完成後,您的地端部署連接器應用程式會顯示在「應用程式」資料表中,您也可以啟用 IAP。
如果您選擇讓 Google 自動產生及管理憑證,系統可能需要幾分鐘才能佈建憑證。您可以在 Cloud Load Balancing 詳細資料頁面查看狀態。如要進一步瞭解狀態,請參閱疑難排解頁面。
管理地端部署應用程式的連接器
如要將更多應用程式新增至部署作業,請依序點按「Connect new application」和「Connect via 地端部署 connector」。
如要刪除整個部署作業,藉此刪除地端部署連接器,請按照下列步驟操作:
前往 Deployment Manager 頁面。
在部署清單中,選取「地端部署應用程式部署作業」部署作業旁的核取方塊。
按一下頁面頂端的 [Delete] (刪除)。
如要刪除個別應用程式,請按一下「應用程式」分頁中的刪除按鈕。 地端部署連接器必須至少包含一個應用程式。如要移除所有應用程式,請刪除整個部署作業。