פריסת אפליקציות אינטרנט פרטיות

יוצרים כתובת URL של Private Service Connect ‏ (PSC) כדי להתחבר לאפליקציות הפרטיות בסביבה שלכם.

כדי להגדיר את כתובת ה-URL של PSC, צריך ליצור מאזן עומסים פנימי ואז ליצור חיבור לשירות שמשתמש בכתובת IP פנימית.

יצירת מאזן עומסים פנימי

מומלץ לפרסם אפליקציות פרטיות ב-Google Workspace מאחורי מאזן עומסים פנימי עם גישה גלובלית מופעלת. פרטים נוספים מופיעים במאמר בנושא פרסום שירות עם אישור אוטומטי.

יצירת מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי למשאב Compute או GKE

לפני שמתחילים: כדי לאפשר תקשורת מאובטחת באמצעות HTTPS, צריך להגדיר קבוצת מופעים שתשרת בקשות ביציאה 443. בוחרים את קבוצת המופעים בכרטיסייה Backend configuration (הגדרות של קצה עורפי).

1. נכנסים לדף Load balancing במסוף Google Cloud.
2. לוחצים על Create Load Balancer (יצירת מאזן עומסים).
3. לוחצים על Start Configuration for Network Load Balancer (TCP/SSL) (התחלת ההגדרה של מאזן עומסים ברשת (TCP/SSL)) ובוחרים באפשרויות הבאות:
   1. בקטע סוג מאזן העומסים בוחרים באפשרות מאזן עומסים ברשת (TCP/UDP/SSL).
   2. עבור Proxy or passthrough (שרת proxy או העברת סיגנל ללא שינוי) – Passthrough (העברת סיגנל ללא שינוי).
   3. אם מדובר במערכת שפונה לאינטרנט או פנימית בלבד – פנימית.
   4. לוחצים על הבא.
   5. לוחצים על המשך.
4. מזינים את השם של מאזן העומסים ובוחרים את האזור והרשת שבהם יתבצע הפריסה של מאזן העומסים.
   חשוב: הרשת שבוחרים עבור מאזן העומסים צריכה להיות אותה רשת שבה משתמשת קבוצת המופעים.
5. לוחצים על הכרטיסייה Backend configuration.
   1. בשדה Protocol, בוחרים באפשרות TCP.
   2. בשדה IP stack type (סוג ערימת ה-IP) בוחרים באפשרות IPv4.
   3. בוחרים קבוצת מופעים.
      כדי ליצור קבוצה, עוברים אל Instance groups.
   4. בוחרים בדיקת תקינות מהרשימה. כדי ליצור בדיקת תקינות חדשה:
      1. לוחצים על יצירת בדיקת תקינות.
      2. מזינים שם לבדיקת תקינות (לדוגמה: ping-port).
      3. בוחרים באפשרות היקף אזורי.
      4. בשדה פרוטוקול, בוחרים באפשרות HTTPS.
      5. משאירים את היציאה כ-443.
      6. בקטע פרוטוקול שרת proxy, בוחרים באפשרות ללא.
      7. בקטע נתיב הבקשה, משאירים את הערך '/'.
      8. מפעילים את היומנים.
      9. משאירים את ערכי ברירת המחדל של קריטריוני הבריאות.
6. לוחצים על הכרטיסייה Frontend configuration.
   1. (אופציונלי) מזינים שם לקצה הקדמי.
   2. בשדה IP version, בוחרים באפשרות IPv4.
   3. בוחרים רשת משנה.
   4. בקטע מטרה של כתובת IP פנימית, בוחרים באפשרות לא משותפת.
   5. בקטע יציאות, בוחרים באפשרות יחיד.
   6. מזינים את מספר היציאה 443.
   7. בקטע גישה גלובלית, בוחרים באפשרות הפעלה.
7. לוחצים על הכרטיסייה בדיקה וסיום כדי לבדוק את הגדרות האיזון של עומס התנועה.
8. לוחצים על יצירה.

יצירת מאזן עומסים פנימי למשאב Cloud Run

1. נכנסים לדף Load balancing במסוף Google Cloud.
2. לוחצים על Create Load Balancer (יצירת מאזן עומסים).
3. לוחצים על Start Configuration for application load balancer (HTTP/S) (התחלת ההגדרה של מאזן עומסים של אפליקציות (HTTP/S)) ובוחרים באפשרויות הבאות.
   1. בקטע Type of load balancer (סוג מאזן העומסים), בוחרים באפשרות Application Load Balancer (HTTP/HTTPS) (מאזן עומסים של אפליקציות (HTTP/HTTPS)).
   2. אם מדובר במערכת שפונה לאינטרנט או במערכת פנימית בלבד – בוחרים באפשרות פנימית.
   3. בשדה Cross-region or single region deployment (פריסה חוצת אזורים או פריסה באזור יחיד) בוחרים באפשרות single region (אזור יחיד).
   4. לוחצים על הבא.
   5. לוחצים על Configure (הגדרה).
4. מזינים את השם של מאזן העומסים ובוחרים את האזור והרשת שבהם מאזן העומסים יופעל.
5. לוחצים על הכרטיסייה Backend configuration.
   1. יוצרים או בוחרים את השירות לקצה העורפי.
   2. אם יוצרים שירות, בקטע Backend type (סוג קצה עורפי) בוחרים באפשרות Serverless Network Endpoint Group (קבוצה של נקודות קצה ברשת ללא שרתים) ובוחרים קבוצה של נקודות קצה ברשת.
   3. אם אין לכם נקודת קצה של רשת ללא שרת, בוחרים באפשרות ליצור נקודת קצה חדשה.
      לפני שיוצרים את קבוצת נקודות הקצה ברשת ללא שרת, צריך ליצור שירות Cloud Run שאליו קבוצת נקודות הקצה תצביע.
6. לוחצים על הכרטיסייה Frontend configuration (הגדרות חזיתיות).
   1. בשדה Protocol, בוחרים באפשרות HTTPS.
   2. בוחרים את רשת המשנה.
   3. אם עדיין לא שריינתם רשת משנה, צריך להשלים את השלבים שמופיעים במסך.
   4. מפעילים גישה גלובלית.
   5. בקטע 'אישור', בוחרים באפשרות ליצור אישור חדש או בוחרים אישור קיים.
7. לוחצים על יצירה.

יצירת כתובת ה-URL של קובץ השירות

כדי להגדיר את כתובת ה-URL של PSC, צריך ליצור קובץ מצורף לשירות שמשתמש בכתובת IP פנימית.

1. במסוף Google Cloud, עוברים לדף Private Service Connect.
2. לוחצים על הכרטיסייה פרסום שירות.
3. לוחצים על פרסום השירות.
4. בוחרים את סוג מאזן העומסים בשירות שרוצים לפרסם:
   • מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי
   • מאזן עומסי רשת פנימי אזורי בשרת proxy
   • מאזן עומסים פנימי אזורי של אפליקציות (ALB)
5. בוחרים את מאזן העומסים הפנימי שמארח את השירות שרוצים לפרסם.
   השדות 'רשת' ו'אזור' מאוכלסים בפרטים של מאזן העומסים הפנימי שנבחר.
6. בשדה Service name, מזינים שם לחיבור השירות.
7. בוחרים רשתות משנה אחת או יותר לשירות. אם רוצים להוסיף תת-רשת חדשה, אפשר ליצור אחת:
   1. לוחצים על שמירת רשת משנה חדשה.
   2. מזינים שם ותיאור (אופציונלי) לרשת המשנה.
   3. בוחרים אזור לרשת המשנה.
   4. מזינים את טווח כתובות ה-IP שרוצים להשתמש בו עבור רשת המשנה ולוחצים על הוספה.
8. בשדה העדפת חיבור, בוחרים באפשרות אישור אוטומטי של כל החיבורים.
9. לוחצים על הוספת שירות.
10. לוחצים על השירות שפורסם. משתמשים בשם של קובץ השירות בשדה קובץ שירות כדי ליצור את כתובת ה-URL:
    https://www.googleapis.com/compute/v1/‎SERVICE_ATTACHMENT_NAME

כשמוסיפים את אפליקציית האינטרנט הפרטית ב-Google Workspace, משתמשים בכתובת ה-URL הזו. איך מוסיפים את אפליקציית האינטרנט לחשבון Workspace

כדי לחבר באופן מאובטח את הרשת בענן או את הרשת המקומית ל-Google Cloud, צריך להוסיף מחבר אפליקציות.

מחברי אפליקציות מאפשרים לכם לחבר באופן מאובטח את האפליקציה שלכם מעננים אחרים ל-Google, ללא רשת וירטואלית פרטית (VPN) בין אתרים.

יצירת מכונה וירטואלית ברשת שהיא לא של Google

צריך להתקין כל סוכן מרוחק של מחבר אפליקציות במכונה וירטואלית (VM) ייעודית או בכל שרת Bare Metal בסביבה שאינה של Google.

• כדי ליצור את ה-VM, אפשר לבקש עזרה מאדמין הרשת או לפעול לפי ההוראות שספק הענן מספק.
• כדי להריץ את הסוכן המרוחק, משתמשים ב-Docker בכל מכונה וירטואלית או שרת.
• מוודאים שחומת האש של הרשת במכונה הווירטואלית של הסוכן המרוחק מאפשרת את כל התנועה היוצאת שמתחילה ביציאה 443 לטווח כתובות ה-IP של IAP-TCP ‏35.235.240.0/20. במאמר אימות ההגדרה של חומת האש מפורטים דומיינים נוספים שחומת האש של המכונה הווירטואלית של הסוכן המרוחק צריכה לאפשר תעבורת נתונים יוצאת אליהם.

הוספה של מחבר אפליקציות והתקנה של הסוכן המרוחק

1. מוסיפים מחבר אפליקציות:

   1. במסוף Google Admin, נכנסים לתפריט   אפליקציותאפליקציות לאינטרנט ולניידים.

      לדף "אפליקציות לאינטרנט ולניידים"

      כדי לעשות את זה צריך הרשאת אדמין לניהול מכשירים ניידים.

   2. לוחצים על הכרטיסייה מחברי BeyondCorp Enterprise ‏ (BCE).
   3. לוחצים על הוספת מחבר.
   4. מזינים שם למחבר, לדוגמה: connect-myapp.
   5. בוחרים אזור שקרוב לסביבה שאינה של Google.
   6. לוחצים על הוספת מחבר.
   7. כדי לראות את הסטטוס, בפינה השמאלית העליונה, לוחצים על סמל שעון החולייה המשימות שלך.
2. יוצרים מכונה וירטואלית לאירוח הסוכן המרוחק.
   פועלים לפי ההוראות שקיבלתם ממנהל הרשת או מספק הענן. תוכלו להיעזר במאמר בנושא יצירת מכונה וירטואלית ברשת שאינה של Google.
3. מתקינים סוכן מרוחק.
   1. לוחצים על השם של מחבר האפליקציות.
   2. לוחצים על התקנת סוכן מרוחק.
   3. בסביבה שאינה של Google, מתקינים את הסוכן המרוחק:
      • יוצרים מכונה וירטואלית (VM) לאירוח הסוכן המרוחק. פועלים לפי ההוראות שקיבלתם ממנהל הרשת או מספק הענן.
      • מתקינים את Docker, שנדרש להרצת הסוכן המרוחק. הוראות מפורטות מופיעות במאמרי העזרה באינטרנט בנושא התקנת Docker Engine.
      • מתקינים את הסוכן המרוחק ורושמים אותו באמצעות פקודות ממשק שורת הפקודה (CLI) שמוצגות בדף מחבר האפליקציות של Google Workspace.
      • מעתיקים ומדביקים את המפתח הציבורי שמוצג אחרי שהסוכן המרוחק נרשם בהצלחה.
   4. לוחצים על שמירה.

בדף של מחבר האפליקציות מוצג שהוספתם מפתח ציבורי בהצלחה.

האדמין שיצר את אפליקציית האינטרנט יכול להחליט באילו תנאים משתמש יוכל לגשת לאפליקציה. לדוגמה, אפשר להגביל את הגישה למשתמשים מדומיין ספציפי או לאפשר גישה רק בשעות או בימים מסוימים. אם הגישה נדחית, המשתמש מופנה לדף ספציפי.

1. במסוף Google Admin, נכנסים לתפריט   אפליקציותאפליקציות לאינטרנט ולניידים.

   לדף "אפליקציות לאינטרנט ולניידים"

   כדי לעשות את זה צריך הרשאת אדמין לניהול מכשירים ניידים.

2. לוחצים על הכרטיסייה אפליקציות לוחצים על אפליקציה כדי לפתוח את דף הפרטים.
3. לוחצים על הגדרות מתקדמות.

• דף נחיתה עם שגיאה 403 – מזינים את כתובת האינטרנט שאליה המשתמשים יופנו אם הגישה שלהם לאפליקציה תידחה. משתמשים בפורמט https://‎<url>.
• דומיין אימות – מזינים את כתובת ה-URL של הכניסה היחידה (SSO) של הארגון כדי לאפשר למשתמשים להיכנס באמצעות פרטי הכניסה של הארגון. ההגדרה הזו גם מונעת גישה ממשתמשים שאין להם פרטי כניסה תקפים לדומיין Google Workspace שלכם. צריך להשתמש בפורמט sso.your.org.com.
• דומיינים מורשים – כדי להגביל את גישת המשתמשים רק לדומיינים שצוינו, מסמנים את התיבה הפעלת הדומיינים המורשים. מפרידים בין הערכים בפסיק, לדוגמה: test.your.org.com, prod.your.org.com.
• אימות מחדש – משתמשים באפשרויות האלה כדי לדרוש מהמשתמשים לעבור אימות מחדש אחרי פרק זמן מסוים. לדוגמה, המשתמשים יכולים לגעת במפתח אבטחה או להשתמש באימות דו-שלבי (2FA).
  • התחברות: המשתמשים נדרשים לבצע אימות מחדש באמצעות שם משתמש וסיסמה אחרי שהם מחוברים למשך פרק הזמן שצוין.
  • מפתח אבטחה: דורשים מהמשתמשים לבצע אימות מחדש באמצעות מפתח האבטחה שלהם.
  • אמצעי אימות דו-שלבי רשומים: מחייב את המשתמשים לבצע אימות מחדש באמצעות אימות דו-שלבי.

מידע נוסף זמין במאמר בנושא אימות מחדש של רכישות מתוך האפליקציה.