Private Web-Apps bereitstellen

Erstellen Sie eine Private Service Connect-URL (PSC), um die privaten Apps in Ihrer Umgebung zu verbinden.

Um die PSC-URL einzurichten, erstellen Sie einen internen Load-Balancer und dann eine Dienstanhängevorrichtung, die eine interne IP-Adresse verwendet.

Internen Load Balancer erstellen

Sie sollten interne Apps in Google Workspace hinter einem internen Load Balancer mit aktiviertem globalen Zugriff veröffentlichen. Weitere Informationen finden Sie unter Dienst mit automatischer Genehmigung veröffentlichen.

Internen Passthrough-Network-Load-Balancer für eine Compute- oder GKE-Ressource erstellen

Hinweis:Wenn Sie eine sichere HTTPS-Kommunikation zulassen möchten, richten Sie eine Instanzgruppe ein, die so konfiguriert ist, dass Anfragen an Port 443 bearbeitet werden. Wählen Sie die Instanzgruppe auf dem Tab „Backend-Konfiguration“ aus.

1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.
2. Klicken Sie auf Load Balancer erstellen.
3. Klicken Sie auf Konfiguration für Network Load Balancer (TCP/SSL) starten und wählen Sie Folgendes aus:
   1. Wählen Sie unter Typ des Load Balancers die Option Network Load Balancer (TCP/UDP/SSL) aus.
   2. Wählen Sie für Proxy oder Passthrough die Option Passthrough aus.
   3. Wählen Sie unter Internet oder nur intern die Option Intern aus.
   4. Klicken Sie auf Weiter.
   5. Klicken Sie auf Weiter.
4. Geben Sie den Namen des Load-Balancers ein und wählen Sie die Region und das Netzwerk aus, in denen Sie den Load-Balancer bereitstellen möchten.
   Wichtig:Das Netzwerk, das Sie für den Load Balancer auswählen, muss dasselbe Netzwerk sein, das von Ihrer Instanzgruppe verwendet wird.
5. Klicken Sie auf den Tab Backend-Konfiguration.
   1. Wählen Sie für Protokoll die Option TCP aus.
   2. Wählen Sie für IP-Stack-Typ die Option IPv4 aus.
   3. Wählen Sie eine Instanzgruppe aus.
       Wenn Sie eine erstellen möchten, rufen Sie die Instanzgruppen auf.
   4. Wählen Sie eine Systemdiagnose aus der Liste aus. So erstellen Sie eine neue Systemdiagnose:
      1. Wählen Sie Systemdiagnose erstellen aus.
      2. Geben Sie einen Namen für die Systemdiagnose ein, z. B. „ping-port“.
      3. Wählen Sie regionaler Umfang aus.
      4. Wählen Sie als Protokoll HTTPS aus.
      5. Behalten Sie den Port 443 bei.
      6. Wählen Sie für Proxyprotokoll die Option NONE aus.
      7. Lassen Sie Anforderungspfad auf „/“ eingestellt.
      8. Aktivieren Sie Protokolle.
      9. Behalten Sie die Standardwerte für die Systemdiagnosekriterien bei.
6. Klicken Sie auf den Tab Frontend-Konfiguration.
   1. (Optional) Geben Sie einen Namen für das Frontend ein.
   2. Wählen Sie für IP-Version die Option IPv4 aus.
   3. Wählen Sie ein Subnetzwerk aus.
   4. Wählen Sie unter Zweck der internen IP-Adresse die Option Nicht freigegeben aus.
   5. Wählen Sie für Ports die Option Einzeln aus.
   6. Geben Sie die Portnummer 443 ein.
   7. Wählen Sie für Globaler Zugriff die Option Aktivieren aus.
7. Klicken Sie auf den Tab Prüfen und abschließen, um die Konfigurationseinstellungen des Load Balancers zu prüfen.
8. Klicken Sie auf Erstellen.

Internen Load Balancer für eine Cloud Run-Ressource erstellen

1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.
2. Klicken Sie auf Load Balancer erstellen.
3. Klicken Sie auf Konfiguration für Application Load Balancer (HTTP/S) starten und wählen Sie Folgendes aus.
   1. Wählen Sie unter Typ des Load Balancers die Option Application Load Balancer (HTTP/HTTPS) aus.
   2. Wählen Sie unter Internet oder nur intern die Option intern aus.
   3. Wählen Sie für Regionsübergreifende oder regionsspezifische Bereitstellung die Option einzelne Region aus.
   4. Klicken Sie auf Weiter.
   5. Klicken Sie auf Konfigurieren.
4. Geben Sie den Namen des Load-Balancers ein und wählen Sie die Region und das Netzwerk aus, in dem der Load-Balancer bereitgestellt werden soll.
5. Klicken Sie auf den Tab Backend-Konfiguration.
   1. Erstellen Sie den Backend-Dienst oder wählen Sie ihn aus.
   2. Wenn Sie einen Dienst erstellen, wählen Sie für Backend-Typ die Option Endpunktgruppe in serverlosem Netzwerk aus und wählen Sie eine Netzwerk-Endpunktgruppe aus.
   3. Wenn Sie keinen serverlosen Netzwerkendpunkt haben, wählen Sie die Option zum Erstellen eines neuen Endpunkts aus.
       Bevor Sie die serverlose Netzwerk-Endpunktgruppe erstellen, erstellen Sie einen Cloud Run-Dienst, auf den die Endpunktgruppe verweist.
6. Klicken Sie auf den Tab Frontend-Konfiguration.
   1. Wählen Sie für Protokoll die Option HTTPS aus.
   2. Wählen Sie das Subnetz aus.
   3. Wenn Sie noch kein Subnetz reserviert haben, folgen Sie der Anleitung auf dem Bildschirm.
   4. Aktivieren Sie den globalen Zugriff.
   5. Wählen Sie aus, ob Sie ein neues Zertifikat erstellen oder ein vorhandenes Zertifikat verwenden möchten.
7. Klicken Sie auf Erstellen.

URL des Dienstanhangs erstellen

Um die PSC-URL einzurichten, erstellen Sie eine Dienstanhangressource, die eine interne IP-Adresse verwendet.

1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.
2. Klicken Sie auf den Tab Dienst veröffentlichen.
3. Klicken Sie auf Dienst veröffentlichen.
4. Wählen Sie den Load-Balancer-Typ für den Dienst aus, den Sie veröffentlichen möchten:
   • Interner Passthrough-Network Load Balancer
   • Regionaler interner Proxy-Network Load Balancer
   • Regionaler interner Application Load Balancer
5. Wählen Sie den internen Load-Balancer aus, der den Dienst hostet, den Sie veröffentlichen möchten.
   Die Felder für Netzwerk und Region werden mit den Details für den ausgewählten internen Load-Balancer ausgefüllt.
6. Geben Sie unter Dienstname einen Namen für den Dienstanhang ein.
7. Wählen Sie ein oder mehrere Subnetze für den Dienst aus. Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:
   1. Klicken Sie auf Neues Subnetz reservieren.
   2. Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
   3. Wählen Sie eine Region für das Subnetz aus.
   4. Geben Sie den IP-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.
8. Wählen Sie unter Verbindungseinstellung die Option Alle Verbindungen automatisch akzeptieren aus.
9. Klicken Sie auf Dienst hinzufügen.
10. Klicken Sie auf den veröffentlichten Dienst. Verwenden Sie den Namen der Dienstanhänge im Feld Dienstanhang, um die URL zu erstellen:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Verwenden Sie diese URL, wenn Sie Ihre private Web-App in Google Workspace hinzufügen. Weitere Informationen

Wenn Sie Ihr Cloud- oder lokales Netzwerk sicher mit Google Cloud verbinden möchten, fügen Sie einen App-Connector hinzu.

Mit App-Connectors können Sie Ihre Anwendung aus anderen Clouds sicher mit Google verbinden, ohne dass ein Site-to-Site-VPN (Virtual Private Network) erforderlich ist.

VM im Nicht-Google-Netzwerk erstellen

Sie müssen jeden Remote-Agent des App-Connectors auf einer dedizierten virtuellen Maschine (VM) oder auf einem beliebigen Bare-Metal-Server in der Umgebung außerhalb von Google installieren.

• Bitten Sie Ihren Netzwerkadministrator um Unterstützung beim Erstellen der VM oder folgen Sie der Anleitung Ihres Cloud-Anbieters.
• Um den Remote-Agent auszuführen, verwenden Sie Docker auf jeder VM oder jedem Server.
• Achten Sie darauf, dass die Netzwerkfirewall für die Remote-Agent-VM den gesamten ausgehenden Traffic zulässt, der an Port 443 für den IAP-TCP-IP-Bereich 35.235.240.0/20 initiiert wird. Informationen zu anderen Domains, zu denen die Firewall für die Remote-Agent-VM ausgehenden Traffic zulassen soll, finden Sie unter Firewallkonfiguration prüfen.

App-Connector hinzufügen und Remote-Agent installieren

1. App-Connector hinzufügen:

   1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  AppsWeb- und mobile Apps.

      Web- und mobile Apps aufrufen

      Hierfür ist die Administratorberechtigung „Mobilgeräteverwaltung“ erforderlich.

   2. Klicken Sie auf den Tab BeyondCorp Enterprise-Connectors (BCE).
   3. Klicken Sie auf Connector hinzufügen.
   4. Geben Sie einen Namen für den Connector ein, z. B. „connect-myapp“.
   5. Wählen Sie eine Region in der Nähe der Nicht-Google-Umgebung aus.
   6. Klicken Sie auf Connector hinzufügen.
   7. Klicken Sie zum Anzeigen des Status rechts oben auf die Sanduhr Meine Aufgaben.
2. Erstellen Sie eine VM-Instanz, auf der der Remote-Agent gehostet werden soll.
    Folgen Sie der Anleitung Ihres Netzwerkadministrators oder Cloud-Anbieters. Weitere Informationen finden Sie unter VM im Nicht-Google-Netzwerk erstellen.
3. Installieren Sie einen Remote-Agent.
   1. Klicken Sie auf den Namen des App-Connectors.
   2. Klicken Sie auf Remote-Agent installieren.
   3. Installieren Sie den Remote-Agent in der Nicht-Google-Umgebung:
      • Erstellen Sie eine VM-Instanz, um den Remote-Agent zu hosten. Folgen Sie der Anleitung Ihres Netzwerkadministrators oder Cloud-Anbieters.
      • Installieren Sie Docker, das zum Ausführen des Remote-Agents erforderlich ist. Eine Anleitung finden Sie in der Online-Dokumentation zur Installation von Docker Engine.
      • Installieren und registrieren Sie den Remote-Agenten mit den Befehlszeilenbefehlen, die auf der Seite „Google Workspace-App-Connector“ angezeigt werden.
      • Kopieren Sie den öffentlichen Schlüssel, der nach der erfolgreichen Registrierung des Remote-Agents angezeigt wird, und fügen Sie ihn ein.
   4. Klicken Sie auf Speichern.

Auf der Seite „App-Connector“ wird angezeigt, dass Sie einen öffentlichen Schlüssel hinzugefügt haben.

Der Administrator, der die Webanwendung erstellt hat, kann festlegen, unter welchen Bedingungen ein Nutzer auf die App zugreifen darf. Sie können den Zugriff beispielsweise auf Nutzer einer bestimmten Domain beschränken oder den Zugriff nur zu bestimmten Zeiten oder an bestimmten Tagen zulassen. Wenn der Zugriff verweigert wird, wird der Nutzer zu einer bestimmten Seite weitergeleitet.

1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  AppsWeb- und mobile Apps.

   Web- und mobile Apps aufrufen

   Hierfür ist die Administratorberechtigung „Mobilgeräteverwaltung“ erforderlich.

2. Klicken Sie auf den Tab Apps  klicken Sie auf eine App, um die Detailseite zu öffnen.
3. Klicke auf Erweiterte Einstellungen.

• 403-Landingpage: Geben Sie die Webadresse ein, zu der Nutzer weitergeleitet werden, wenn ihnen der Zugriff auf die App verweigert wird. Verwenden Sie das Format https://<url>.
• Authentifizierungsdomain: Geben Sie die SSO-URL (Einmalanmeldung) für Ihre Organisation ein, damit sich Nutzer mit den Anmeldedaten ihrer Organisation anmelden können. Dadurch wird auch der Zugriff für Nutzer verweigert, die keine gültigen Anmeldedaten für Ihre Google Workspace-Domain haben. Verwenden Sie das Format sso.Ihr.Unternehmen.de.
• Zulässige Domains: Wenn Sie den Nutzerzugriff auf die angegebenen Domains beschränken möchten, setzen Sie ein Häkchen neben Zulässige Domains aktivieren. Trennen Sie Einträge durch Kommas, z.B.test.IhrUnternehmen.de, prod.IhrUnternehmen.de.
• Erneute Authentifizierung: Mit diesen Optionen können Sie festlegen, dass Nutzer sich nach einem bestimmten Zeitraum noch einmal authentifizieren müssen. Nutzer können beispielsweise einen Sicherheitsschlüssel berühren oder die 2‑Faktor-Authentifizierung (2FA) verwenden.
  • Anmeldung: Nutzer müssen sich nach dem angegebenen Zeitraum noch einmal mit einem Nutzernamen und einem Passwort authentifizieren.
  • Sicherer Schlüssel: Nutzer müssen sich mit ihrem Sicherheitsschlüssel noch einmal authentifizieren.
  • Registrierte zweite Faktoren: Sie können festlegen, dass Nutzer sich mit der 2FA noch einmal authentifizieren müssen.

Weitere Informationen finden Sie unter IAP-Reauthentifizierung.