برنامه‌های وب خصوصی را مستقر کنید

برای اتصال برنامه‌های خصوصی در محیط خود، یک آدرس اینترنتی اتصال سرویس خصوصی (PSC) ایجاد کنید.

برای تنظیم PSC URL، یک متعادل‌کننده بار داخلی ایجاد کنید و سپس یک پیوست سرویس ایجاد کنید که از یک آدرس IP داخلی استفاده کند.

ایجاد یک متعادل‌کننده بار داخلی

شما باید برنامه‌های خصوصی را در Google Workspace پشت یک متعادل‌کننده بار داخلی با دسترسی سراسری فعال منتشر کنید. برای جزئیات بیشتر، به «انتشار سرویس با تأیید خودکار» مراجعه کنید.

ایجاد یک متعادل‌کننده بار شبکه داخلی برای منابع محاسباتی یا GKE

قبل از شروع: برای فعال کردن ارتباط امن HTTPS، یک گروه نمونه تنظیم کنید که برای ارائه درخواست‌ها روی پورت ۴۴۳ پیکربندی شده باشد. گروه نمونه را در تب پیکربندی Backend انتخاب کنید.

1. در کنسول گوگل کلود، به صفحه Load balancing بروید.
2. روی ایجاد متعادل‌کننده بار کلیک کنید.
3. روی «شروع پیکربندی» برای «متعادل‌کننده بار شبکه (TCP/SSL)» کلیک کنید و موارد زیر را انتخاب کنید:
   1. برای نوع متعادل‌کننده بار — متعادل‌کننده بار شبکه (TCP/UDP/SSL) .
   2. برای پروکسی یا گذرگاه — گذرگاه .
   3. فقط برای اتصال به اینترنت یا داخلی - داخلی .
   4. روی بعدی کلیک کنید.
   5. روی ادامه کلیک کنید.
4. نام متعادل‌کننده بار را وارد کنید و منطقه و شبکه‌ای را که می‌خواهید متعادل‌کننده بار را در آن مستقر کنید، انتخاب کنید.
   مهم: شبکه‌ای که برای متعادل‌کننده بار انتخاب می‌کنید باید همان شبکه‌ای باشد که توسط گروه نمونه شما استفاده می‌شود.
5. روی برگه پیکربندی Backend کلیک کنید.
   1. برای پروتکل — TCP را انتخاب کنید.
   2. برای نوع پشته IP — IPv4 را انتخاب کنید.
   3. یک گروه نمونه انتخاب کنید.
      برای ایجاد یکی، به گروه‌های نمونه (Instance groups) بروید.
   4. یک بررسی سلامت از لیست انتخاب کنید. برای ایجاد یک بررسی سلامت جدید:
      1. ایجاد بررسی سلامت را انتخاب کنید.
      2. یک نام برای بررسی سلامت خود وارد کنید (برای مثال: ping-port).
      3. دامنه منطقه‌ای را انتخاب کنید.
      4. برای پروتکل ، HTTPS را انتخاب کنید.
      5. پورت را روی ۴۴۳ نگه دارید.
      6. برای پروتکل پروکسی ، گزینه NONE را انتخاب کنید.
      7. برای مسیر درخواست ، علامت "/" را بگذارید.
      8. فعال کردن لاگ‌ها.
      9. مقادیر پیش‌فرض را برای معیارهای سلامت نگه دارید.
6. روی برگه پیکربندی Frontend کلیک کنید.
   1. (اختیاری) یک نام برای frontend وارد کنید.
   2. برای نسخه IP ، IPv4 را انتخاب کنید.
   3. یک زیرشبکه انتخاب کنید.
   4. برای IP داخلی ، گزینه Non-shared را انتخاب کنید.
   5. برای پورت‌ها ، Single را انتخاب کنید.
   6. شماره پورت ۴۴۳ را وارد کنید.
   7. برای دسترسی سراسری ، گزینه فعال کردن (Enable) را انتخاب کنید.
7. برای بررسی تنظیمات پیکربندی متعادل‌کننده بار، روی برگه « بررسی و نهایی کردن» کلیک کنید.
8. روی ایجاد کلیک کنید.

ایجاد یک متعادل‌کننده بار داخلی برای یک منبع Cloud Run

1. در کنسول گوگل کلود، به صفحه Load balancing بروید.
2. روی ایجاد متعادل‌کننده بار کلیک کنید.
3. روی «شروع پیکربندی» برای «متعادل‌کننده بار برنامه» (HTTP/S) کلیک کنید و موارد زیر را انتخاب کنید.
   1. برای نوع متعادل‌کننده بار — متعادل‌کننده بار برنامه (HTTP/HTTPS) را انتخاب کنید.
   2. فقط برای اتصال به اینترنت یا داخلی — داخلی را انتخاب کنید.
   3. برای استقرار بین منطقه‌ای یا تک منطقه‌ای — تک منطقه‌ای را انتخاب کنید.
   4. روی بعدی کلیک کنید.
   5. روی پیکربندی کلیک کنید.
4. نام متعادل‌کننده بار را وارد کنید و منطقه و شبکه‌ای را که قرار است متعادل‌کننده بار در آن مستقر شود، انتخاب کنید.
5. روی برگه پیکربندی Backend کلیک کنید.
   1. سرویس بک‌اند را ایجاد یا انتخاب کنید.
   2. در صورت ایجاد سرویس، برای نوع Backend ، گزینه Serverless Network Endpoint Group را انتخاب کرده و یک گروه نقطه پایانی شبکه را انتخاب کنید.
   3. اگر نقطه پایانی شبکه بدون سرور ندارید، گزینه ایجاد یک نقطه پایانی جدید را انتخاب کنید.
      قبل از ایجاد گروه نقطه پایانی شبکه بدون سرور، یک سرویس Cloud Run ایجاد کنید که گروه نقطه پایانی به آن اشاره کند.
6. روی برگه پیکربندی Frontend کلیک کنید
   1. برای پروتکل — HTTPS را انتخاب کنید.
   2. زیرشبکه را انتخاب کنید.
   3. اگر هنوز زیرشبکه‌ای رزرو نکرده‌اید، مراحل روی صفحه را تکمیل کنید.
   4. دسترسی جهانی را فعال کنید.
   5. برای گواهی، گزینه ایجاد گواهی جدید یا انتخاب گواهی موجود را انتخاب کنید.
7. روی ایجاد کلیک کنید.

ایجاد URL پیوست سرویس

برای تنظیم PSC URL، یک پیوست سرویس ایجاد کنید که از یک آدرس IP داخلی استفاده کند.

1. در کنسول گوگل کلود، به صفحه Private Service Connect بروید.
2. روی برگه «انتشار سرویس» کلیک کنید.
3. روی انتشار سرویس کلیک کنید.
4. نوع متعادل‌کننده بار را برای سرویسی که می‌خواهید منتشر کنید، انتخاب کنید:
   • متعادل‌کننده بار شبکه داخلی
   • متعادل کننده بار شبکه پروکسی داخلی منطقه ای
   • متعادل‌کننده بار برنامه داخلی منطقه‌ای
5. متعادل‌کننده بار داخلی که میزبان سرویسی است که می‌خواهید منتشر کنید، انتخاب کنید.
   فیلدهای شبکه و منطقه با جزئیات مربوط به متعادل‌کننده بار داخلی انتخاب‌شده پر می‌شوند.
6. برای نام سرویس ، نامی برای پیوست سرویس وارد کنید.
7. یک یا چند زیرشبکه (Subnet) برای سرویس انتخاب کنید. اگر می‌خواهید یک زیرشبکه جدید اضافه کنید، می‌توانید یکی ایجاد کنید:
   1. روی رزرو زیرشبکه جدید کلیک کنید.
   2. یک نام و توضیحات اختیاری برای زیرشبکه وارد کنید.
   3. یک منطقه برای زیرشبکه انتخاب کنید.
   4. محدوده IP مورد استفاده برای زیرشبکه را وارد کنید و روی افزودن کلیک کنید.
8. برای تنظیمات اتصال ، گزینه «پذیرش خودکار همه اتصالات» را انتخاب کنید.
9. روی افزودن سرویس کلیک کنید.
10. روی سرویس منتشر شده کلیک کنید. از نام پیوست سرویس در فیلد پیوست سرویس برای ایجاد URL استفاده کنید:
    https://www.googleapis.com/compute/v1/ SERVICE_ATTACHMENT_NAME

وقتی برنامه وب خصوصی خود را در Google Workspace اضافه می‌کنید، از این URL استفاده کنید. به بخش «افزودن برنامه وب به حساب Workspace» مراجعه کنید.

برای اتصال ایمن فضای ابری یا شبکه داخلی خود به Google Cloud، یک رابط برنامه اضافه کنید.

رابط‌های برنامه به شما این امکان را می‌دهند که برنامه خود را از سایر ابرها به صورت ایمن و بدون نیاز به شبکه خصوصی مجازی (VPN) سایت به سایت به گوگل متصل کنید.

ایجاد یک ماشین مجازی در شبکه غیر گوگلی

شما باید هر عامل از راه دور رابط برنامه را روی یک ماشین مجازی اختصاصی (VM) یا روی هر سرور فیزیکی ساده در محیط غیر گوگل نصب کنید.

• برای ایجاد ماشین مجازی، از مدیر شبکه خود کمک بخواهید یا دستورالعمل‌های ارائه شده توسط ارائه دهنده فضای ابری خود را دنبال کنید.
• برای اجرای عامل از راه دور، از Docker روی هر ماشین مجازی یا سرور استفاده کنید.
• اطمینان حاصل کنید که فایروال شبکه برای ماشین مجازی عامل راه دور، تمام ترافیک خروجی آغاز شده در پورت ۴۴۳ را برای محدوده IP IAP-TCP 35.235.240.0/20 مجاز می‌داند. برای سایر دامنه‌هایی که فایروال برای ماشین مجازی عامل راه دور باید ترافیک خروجی را به آنها اجازه دهد، به بخش «تأیید پیکربندی فایروال» مراجعه کنید.

یک رابط برنامه اضافه کنید و عامل راه دور را نصب کنید

1. یک رابط برنامه اضافه کنید:

   1. در کنسول مدیریت گوگل، به منو بروید برنامه‌ها اپلیکیشن‌های وب و موبایل .

      به وب و برنامه‌های تلفن همراه بروید

      نیاز به داشتن امتیاز مدیر مدیریت دستگاه تلفن همراه دارد.

   2. روی برگه اتصالات BeyondCorp Enterprise (BCE) کلیک کنید.
   3. روی افزودن کانکتور کلیک کنید.
   4. یک نام برای کانکتور وارد کنید، مثلاً: connect-myapp.
   5. منطقه‌ای نزدیک به محیط غیر گوگل را انتخاب کنید.
   6. روی افزودن کانکتور کلیک کنید.
   7. برای مشاهده وضعیت، در بالا سمت راست، روی «ساعت شنی» کلیک کنید وظایف شما .
2. یک نمونه ماشین مجازی برای میزبانی عامل راه دور ایجاد کنید.
   دستورالعمل‌های ارائه شده توسط مدیر شبکه یا ارائه دهنده خدمات ابری خود را دنبال کنید. به بخش ایجاد ماشین مجازی در شبکه غیر گوگل مراجعه کنید.
3. یک عامل از راه دور نصب کنید.
   1. روی نام رابط برنامه کلیک کنید.
   2. روی نصب عامل از راه دور کلیک کنید.
   3. در محیط غیر گوگل، عامل راه دور را نصب کنید:
      • یک نمونه ماشین مجازی (VM) برای میزبانی عامل از راه دور ایجاد کنید. دستورالعمل‌های ارائه شده توسط مدیر شبکه یا ارائه دهنده ابر خود را دنبال کنید.
      • نصب Docker که برای اجرای عامل از راه دور لازم است. برای دستورالعمل‌ها، به مستندات آنلاین برای نصب Docker Engine مراجعه کنید.
      • با استفاده از دستورات رابط خط فرمان (CLI) که در صفحه رابط برنامه Google Workspace نمایش داده می‌شود، عامل راه دور را نصب و ثبت کنید.
      • کلید عمومی نمایش داده شده پس از ثبت موفقیت‌آمیز عامل راه دور را کپی و جای‌گذاری کنید.
   4. روی ذخیره کلیک کنید.

صفحه اتصال برنامه نشان می‌دهد که شما با موفقیت یک کلید عمومی اضافه کرده‌اید.

مدیری که برنامه وب را ایجاد کرده است می‌تواند تصمیم بگیرد که تحت چه شرایطی یک کاربر باید به برنامه دسترسی داشته باشد. به عنوان مثال، می‌توانید دسترسی کاربران را از یک دامنه خاص محدود کنید یا فقط در زمان‌ها یا روزهای خاصی اجازه دسترسی دهید. در صورت رد دسترسی، کاربر به صفحه خاصی هدایت می‌شود.

1. در کنسول مدیریت گوگل، به منو بروید برنامه‌ها اپلیکیشن‌های وب و موبایل .

   به وب و برنامه‌های تلفن همراه بروید

   نیاز به داشتن امتیاز مدیر مدیریت دستگاه تلفن همراه دارد.

2. روی برگه برنامه‌ها کلیک کنید برای باز کردن صفحه جزئیات، روی یک برنامه کلیک کنید.
3. روی تنظیمات پیشرفته کلیک کنید.

• صفحه فرود ۴۰۳ — آدرس وبی را که در صورت عدم دسترسی کاربران به برنامه، به آن هدایت می‌شوند، وارد کنید. از قالب <url> https:// استفاده کنید.
• دامنه احراز هویت — آدرس اینترنتی ورود یکپارچه (SSO) را برای سازمان خود وارد کنید تا کاربران بتوانند با استفاده از اعتبارنامه‌های سازمانی خود وارد سیستم شوند. این امر همچنین دسترسی کاربرانی را که اعتبارنامه‌های معتبری برای دامنه Google Workspace شما ندارند، مسدود می‌کند. از قالب sso.your.org.com استفاده کنید.
• دامنه‌های مجاز — برای محدود کردن دسترسی کاربر فقط به دامنه‌های مشخص شده، کادر «فعال کردن دامنه‌های مجاز» را علامت بزنید. ورودی‌ها را با کاما از هم جدا کنید، برای مثال: test.your.org.com، prod.your.org.com.
• احراز هویت مجدد — از این گزینه‌ها برای ملزم کردن کاربران به احراز هویت مجدد پس از یک دوره زمانی استفاده کنید. به عنوان مثال، کاربران می‌توانند یک کلید امنیتی را لمس کنند یا از احراز هویت دو مرحله‌ای (2FA) استفاده کنند.
  • ورود : کاربران را ملزم می‌کند که پس از ورود به سیستم برای مدت زمان مشخص، با نام کاربری و رمز عبور مجدداً احراز هویت کنند.
  • کلید امن : کاربران را ملزم به احراز هویت مجدد با استفاده از کلید امنیتی خود می‌کند.
  • فاکتورهای دوم ثبت‌شده : کاربران را ملزم به احراز هویت مجدد با استفاده از 2FA می‌کند.

برای اطلاعات بیشتر، به احراز هویت مجدد IAP مراجعه کنید.