نشر تطبيقات الويب الخاصة

يمكنك إنشاء عنوان URL لخدمة Private Service Connect (PSC) لربط التطبيقات الخاصة في بيئتك.

لإعداد عنوان URL لخدمة PSC، أنشِئ جهاز موازنة حمل داخلي ثم أنشئ مرفق خدمة يستخدم عنوان IP داخليًا.

إنشاء جهاز موازنة حمل داخلي

يجب نشر التطبيقات الخاصة في Google Workspace باستخدام جهاز موازنة الحمل الداخلي مع تفعيل إمكانية الوصول العام. لمعرفة التفاصيل، يُرجى الاطّلاع على نشر خدمة مع الموافقة التلقائية.

إنشاء جهاز موازنة حمل شبكة داخلي يستخدم نقطة مرور لمورد Compute أو GKE

قبل البدء: للسماح باتصال آمن عبر HTTPS، يجب إعداد مجموعة أجهزة افتراضية مضبوطة على تقديم الطلبات في المنفذ 443. اختَر مجموعة الأجهزة الافتراضية في علامة التبويب "ضبط الواجهة الخلفية".

1. في وحدة تحكّم Google Cloud، انتقِل إلى صفحة موازنة الحمل.
2. انقر على إنشاء جهاز موازنة الحمل.
3. انقر على بدء إعداد جهاز موازنة حمل الشبكة (TCP/SSL) واختَر ما يلي:
   1. بالنسبة إلى نوع جهاز موازنة الحمل، اختَر جهاز موازنة حمل الشبكة (TCP/UDP/SSL).
   2. بالنسبة إلى الخادم الوكيل أو العبور، اختَر العبور.
   3. بالنسبة إلى الأجهزة المتصلة بواجهة الإنترنت أو الداخلية فقط، اختَر داخلية.
   4. انقر على التالي.
   5. انقر على متابعة.
4. أدخِل اسم جهاز موازنة الحمل، واختَر المنطقة والشبكة التي سيُنشر جهاز موازنة الحمل فيها.
   ملاحظة مهمة: يجب أن تكون الشبكة التي تختارها لجهاز موازنة الحمل هي الشبكة نفسها التي تستخدمها مجموعة الأجهزة الافتراضية.
5. انقر على علامة التبويب ضبط الواجهة الخلفية.
   1. بالنسبة إلى البروتوكول، اختَر TCP.
   2. بالنسبة إلى نوع تكديس IP، اختَر IPv4.
   3. اختَر مجموعة أجهزة افتراضية.
      لإنشاء مجموعة، انتقِل إلى مجموعات الأجهزة.
   4. اختَر التحقّق من الصحة من القائمة. لإنشاء عملية تحقّق جديدة من الصحة، اتّبِع الخطوات التالية:
      1. انقر على إنشاء عملية تحقّق من الصحة.
      2. أدخِل اسمًا لعملية التحقّق من الصحة (على سبيل المثال: ping-port).
      3. اختَر النطاق الإقليمي.
      4. بالنسبة إلى البروتوكول، اختَر HTTPS.
      5. احتفظ بالمنفذ على 443.
      6. بالنسبة إلى بروتوكول الخادم الوكيل، اختَر NONE (بدون).
      7. بالنسبة إلى مسار الطلب، اترك "/".
      8. فعِّل السجلات.
      9. احتفظ بالقيم التلقائية للمعايير الصحية.
6. انقر على علامة التبويب إعدادات الواجهة الأمامية.
   1. (اختياري) أدخل اسمًا للواجهة الأمامية.
   2. بالنسبة إلى إصدار IP، اختَر IPv4.
   3. اختَر شبكة فرعية.
   4. بالنسبة إلى الغرض من عنوان IP الداخلي، اختَر غير مشارَك.
   5. بالنسبة إلى المنافذ، اختَر Single (فردي).
   6. أدخِل رقم المنفذ 443.
   7. بالنسبة إلى الوصول العام، اختَر تفعيل.
7. انقر على علامة التبويب المراجعة والإنهاء لمراجعة إعدادات ضبط جهاز موازنة الحمل.
8. انقر على إنشاء.

إنشاء جهاز موازنة حمل داخلي لمورد Cloud Run

1. في وحدة تحكّم Google Cloud، انتقِل إلى صفحة موازنة الحمل.
2. انقر على إنشاء جهاز موازنة الحمل.
3. انقر على بدء إعداد جهاز موازنة حمل التطبيقات (HTTP/S) واختَر ما يلي:
   1. بالنسبة إلى نوع جهاز موازنة الحمل، اختَر جهاز موازنة حمل التطبيقات (HTTP/HTTPS).
   2. بالنسبة إلى الأجهزة المتصلة بواجهة الإنترنت أو الداخلية فقط، اختَر داخلية.
   3. بالنسبة إلى النشر على مستوى منطقة أو منطقة واحدة، اختَر منطقة واحدة.
   4. انقر على التالي.
   5. انقر على ضبط.
4. أدخِل اسم جهاز موازنة الحمل واختَر المنطقة والشبكة التي سيستخدم الجهاز فيها.
5. انقر على علامة التبويب ضبط الواجهة الخلفية.
   1. إنشاء خدمة الخلفية أو اختيارها
   2. في حال إنشاء خدمة، اختَر Serverless Network Endpoint Group (مجموعة نقاط نهاية الشبكة بدون خادم) في نوع الخلفية واختَر مجموعة نقاط نهاية الشبكة.
   3. إذا لم تكن لديك نقطة نهاية شبكة بدون خادم، حدِّد الخيار لإنشاء نقطة نهاية جديدة.
      قبل إنشاء مجموعة نقاط نهاية الشبكة بدون خادم، يجب إنشاء خدمة Cloud Run التي ستشير إليها مجموعة نقاط النهاية.
6. انقر على علامة التبويب ضبط الواجهة الأمامية.
   1. بالنسبة إلى البروتوكول، اختَر HTTPS.
   2. اختَر الشبكة الفرعية.
   3. إذا لم تحجز شبكة فرعية بعد، أكمل الخطوات الظاهرة على الشاشة.
   4. فعِّل الوصول العام.
   5. بالنسبة إلى الشهادة، اختَر إنشاء شهادة جديدة أو اختيار شهادة حالية.
7. انقر على إنشاء.

إنشاء عنوان URL لمرفق الخدمة

لإعداد عنوان URL لخدمة PSC، يجب إنشاء مرفق خدمة يستخدم عنوان IP داخلي.

1. في وحدة تحكّم Google Cloud، انتقِل إلى صفحة Private Service Connect.
2. انقر على علامة التبويب نشر الخدمة.
3. انقر على نشر الخدمة.
4. اختَر نوع جهاز موازنة الحمل للخدمة التي تريد نشرها:
   • جهاز موازنة حمل الشبكة الذي يستخدم نقطة مرور داخلية
   • جهاز موازنة حمل الشبكة للخادم الوكيل الداخلي الإقليمي
   • جهاز موازنة حمل التطبيق الداخلي الإقليمي
5. اختَر جهاز موازنة الحمل الداخلي الذي يستضيف الخدمة التي تريد نشرها.
   تتم تعبئة حقلَي الشبكة والمنطقة بتفاصيل جهاز موازنة الحمل الداخلي الذي اخترته.
6. بالنسبة إلى اسم الخدمة، أدخِل اسمًا لمرفق الخدمة.
7. اختَر شبكة فرعية واحدة أو أكثر للخدمة. إذا أردت إضافة شبكة فرعية جديدة، يمكنك إنشاء شبكة فرعية عبر اتّباع الخطوات التالية:
   1. انقر على حجز شبكة فرعية جديدة.
   2. أدخِل اسمًا ووصفًا اختياريًا للشبكة الفرعية.
   3. اختَر منطقة للشبكة الفرعية.
   4. أدخِل نطاق IP المطلوب استخدامه للشبكة الفرعية وانقر على إضافة.
8. بالنسبة إلى إعدادات الاتصال المفضَّلة، اختَر قبول جميع الاتصالات تلقائيًا.
9. انقر على إضافة خدمة.
10. انقر على الخدمة المنشورة. استخدِم اسم مرفق الخدمة في الحقل مرفق الخدمة لإنشاء عنوان URL:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

عند إضافة تطبيق الويب الخاص في Google Workspace، استخدِم عنوان URL هذا. يُرجى الاطّلاع على إضافة تطبيق الويب إلى حسابك على Workspace.

إذا أردت ربط الشبكة السحابية أو الشبكة داخل الشركة بأمان بخدمة Google Cloud، يمكنك إضافة موصِّل تطبيقات.

تسمح لك موصِّلات التطبيقات بربط تطبيقاتك بأمان من خدمات السحابة الإلكترونية الأخرى بخدمة Google بدون استخدام شبكة افتراضية خاصة (VPN) من موقع إلى موقع.

إنشاء جهاز افتراضي على الشبكة غير التابعة لشركة Google

يجب تثبيت كل وكيل بعيد لموصِّل التطبيقات على جهاز افتراضي (VM) مخصَّص أو على أي خادم Bare Metal في بيئة غير تابعة لشركة Google.

• لإنشاء الجهاز الافتراضي، يمكنك طلب المساعدة من المشرف على الشبكة أو اتّباع التعليمات التي يقدّمها مقدّم خدمات السحابة الإلكترونية.
• لتشغيل الوكيل البعيد، استخدِم Docker على كل جهاز افتراضي أو خادم.
• يُرجى التأكّد من أنّ جدار الحماية بين الشبكات الخاص بالجهاز الافتراضي للوكيل البعيد يسمح بجميع حركة البيانات الصادرة التي تبدأ في المنفذ 443 لنطاق IP لبروتوكول IAP-TCP 35.235.240.0/20. يُرجى مراجعة التحقّق من ضبط جدار الحماية للنطاقات الأخرى التي يجب أن يسمح جدار حماية الجهاز الافتراضي (VM) الخاص بالوكيل البعيد بها بالزيارات الصادرة.

إضافة موصِّل تطبيقات وتثبيت الوكيل البعيد

1. إضافة موصِّل تطبيقات:

   1. في "وحدة تحكّم المشرف" من Google، انتقِل إلى رمز القائمة   التطبيقاتتطبيقات الويب والتطبيقات المتوافقة مع الأجهزة الجوّالة.

      الانتقال إلى "تطبيقات الويب وتطبيقات الأجهزة الجوّالة"

      يتطلب هذا الإجراء الحصول على امتيازات المشرف لإدارة الأجهزة الجوّالة.

   2. انقر على علامة التبويب موصِّلات BeyondCorp Enterprise (BCE).
   3. انقر على إضافة موصِّل.
   4. أدخِل اسمًا للموصل، مثل connect-myapp.
   5. اختَر منطقة قريبة من البيئة غير التابعة لشركة Google.
   6. انقر على إضافة موصِّل.
   7. للاطّلاع على الحالة، انقر في أعلى يسار الصفحة على رمز الساعة الزجاجية مهامك.
2. يمكنك إنشاء مثيل جهاز افتراضي (VM) لاستضافة الوكيل البعيد.
   يُرجى اتّباع التعليمات التي يقدّمها المشرف على الشبكة أو مقدّم خدمات السحابة الإلكترونية. يُرجى الاطّلاع على إنشاء جهاز افتراضي على الشبكة غير التابعة لشركة Google.
3. يجب تثبيت وكيل بعيد.
   1. انقر على اسم موصِّل التطبيقات.
   2. انقر على تثبيت الوكيل البعيد.
   3. في بيئة غير تابعة لشركة Google، ثبِّت الوكيل البعيد:
      • يمكنك إنشاء مثيل جهاز افتراضي (VM) لاستضافة الوكيل البعيد. يُرجى اتّباع التعليمات التي يقدّمها المشرف على الشبكة أو مقدّم خدمات السحابة الإلكترونية.
      • يُرجى تثبيت Docker، حيث أنّها خدمة مطلوبة لتشغيل الوكيل البعيد. للحصول على التعليمات، يُرجى مراجعة الوثائق المنشورة على الإنترنت الخاصة بتثبيت Docker Engine.
      • يمكنك تثبيت الوكيل البعيد وتسجيله باستخدام أوامر واجهة سطر الأوامر (CLI) المعروضة في صفحة موصِّل تطبيقات Google Workspace.
      • يمكنك نسخ ولصق المفتاح العام الذي يُعرض بعد تسجيل الوكيل البعيد بنجاح.
   4. انقر على حفظ.

تُظهر صفحة موصِّل التطبيقات أنّه تمت إضافة مفتاح عام بنجاح.

يمكن للمشرف الذي أنشأ تطبيق الويب أن يقرر متى يجب أن يتمكن المستخدم من الوصول إلى التطبيق؛ على سبيل المثال، يمكنك حصر إمكانية الوصول على مستخدمين من نطاق محدد أو عدم السماح بالوصول إلا خلال أوقات أو أيام محددة. وإذا رُفض إذن الوصول، يعاد توجيه المستخدم إلى صفحة محدَّدة.

1. في "وحدة تحكّم المشرف" من Google، انتقِل إلى رمز القائمة   التطبيقاتتطبيقات الويب والتطبيقات المتوافقة مع الأجهزة الجوّالة.

   الانتقال إلى "تطبيقات الويب وتطبيقات الأجهزة الجوّالة"

   يتطلب هذا الإجراء الحصول على امتيازات المشرف لإدارة الأجهزة الجوّالة.

2. انقر على علامة التبويب التطبيقات انقر على تطبيق لفتح صفحة التفاصيل.
3. انقر على الإعدادات المتقدمة.

• 403 الصفحة المقصودة: يمكنك إدخال عنوان الويب الذي يعاد توجيه المستخدمين إليه إذا رُفض وصولهم إلى التطبيق. يُرجى استخدام التنسيق https://<url>.
• نطاق المصادقة: أدخِل عنوان URL الخاص بالدخول المُوحَّد (SSO) في مؤسستك من أجل السماح للمستخدمين بتسجيل الدخول باستخدام بيانات اعتماد مؤسساتهم. يؤدي ذلك أيضًا إلى رفض وصول المستخدمين الذين ليس لديهم بيانات اعتماد صالحة لنطاق Google Workspace. استخدِم التنسيق sso.your.org.com.
• النطاقات المسموح بها: لتقييد وصول المستخدمين إلى النطاقات المحدَّدة فقط، ضَع علامة في المربّع تفعيل النطاقات المسموح بها. يجب الفصل بين الإدخالات بفاصلة، على سبيل المثال: test.your.org.com, prod.your.org.com.
• إعادة المصادقة: يمكنك استخدام هذه الخيارات لمطالبة المستخدمين بإعادة المصادقة بعد فترة زمنية. على سبيل المثال، يمكن للمستخدمين لمس مفتاح أمان أو استخدام المصادقة الثنائية (2FA).
  • تسجيل الدخول: يمكنك مطالبة المستخدمين بإعادة المصادقة باستخدام اسم مستخدم وكلمة مرور بعد تسجيل الدخول للفترة الزمنية المحدّدة.
  • مفتاح الأمان: يمكنك مطالبة المستخدمين بإعادة المصادقة باستخدام مفتاح الأمان.
  • العوامل الثانية المسجّلة: يمكنك مطالبة المستخدمين بإعادة المصادقة باستخدام المصادقة الثنائية.

لمزيد من المعلومات، يُرجى الاطّلاع على إعادة مصادقة الشراء داخل التطبيق.