Men-deploy aplikasi web pribadi

Buat URL Private Service Connect (PSC) untuk menghubungkan aplikasi pribadi di lingkungan Anda.

Untuk menyiapkan URL PSC, buat load balancer internal, lalu buat lampiran layanan yang menggunakan alamat IP internal.

Membuat load balancer internal

Anda harus memublikasikan aplikasi pribadi di Google Workspace di belakang load balancer internal dengan akses global yang diaktifkan. Untuk mengetahui detailnya, lihat Memublikasikan layanan dengan persetujuan otomatis.

Membuat Load Balancer Jaringan passthrough internal untuk resource Compute atau GKE

Sebelum memulai: Agar komunikasi HTTPS aman, siapkan grup instance yang dikonfigurasi untuk melayani permintaan di port 443. Pilih grup instance di tab Backend configuration.

1. Di konsol Google Cloud, buka halaman Load balancing.
2. Klik Create Load Balancer.
3. Klik Start Configuration for Network Load Balancer (TCP/SSL), lalu pilih opsi berikut:
   1. Untuk Type of load balancer—Network Load Balancer (TCP/UDP/SSL).
   2. Untuk Proxy or passthrough—Passthrough.
   3. Untuk Internet facing or internal only—Internal.
   4. Klik Berikutnya.
   5. Klik Lanjutkan.
4. Masukkan nama load balancer, lalu pilih region dan jaringan tempat Anda akan men-deploy load balancer.
   Penting: Jaringan yang Anda pilih untuk load balancer harus sama dengan jaringan yang digunakan oleh grup instance.
5. Klik tab Backend configuration.
   1. Untuk Protocol—Pilih TCP.
   2. Untuk IP stack type—Pilih IPv4.
   3. Pilih grup instance.
      Untuk membuatnya, buka Instance groups.
   4. Pilih health check dari daftar. Untuk membuat health check baru:
      1. Pilih Create health check.
      2. Masukkan nama untuk health check Anda (misalnya: ping-port).
      3. Pilih regional scope.
      4. Untuk protocol, pilih HTTPS.
      5. Biarkan port sebagai 443.
      6. Untuk Proxy protocol, pilih NONE.
      7. Untuk Request path, masukkan "/".
      8. Aktifkan log.
      9. Pertahankan nilai default untuk kriteria kesehatan.
6. Klik tab Frontend configuration.
   1. (Opsional) Masukkan nama untuk frontend.
   2. Untuk IP version, pilih IPv4.
   3. Pilih subnetwork.
   4. Untuk internal IP purpose, pilih Non-shared.
   5. Untuk port, pilih Single.
   6. Masukkan nomor port 443.
   7. Untuk Global access, pilih Enable.
7. Klik tab Review and finalize untuk meninjau setelan konfigurasi load balancer Anda.
8. Klik Buat.

Membuat Load Balancer internal untuk resource Cloud Run

1. Di konsol Google Cloud, buka halaman Load balancing.
2. Klik Create Load Balancer.
3. Klik Start Configuration for application load balancer (HTTP/S), lalu pilih opsi berikut.
   1. Untuk Type of load balancer—Pilih Application Load Balancer (HTTP/HTTPS).
   2. Untuk Internet facing or internal only—Pilih internal.
   3. Untuk Cross-region or single region deployment—Pilih single region.
   4. Klik Berikutnya.
   5. Klik Configure.
4. Masukkan nama load balancer, lalu pilih region dan jaringan tempat load balancer akan di-deploy.
5. Klik tab Backend configuration.
   1. Buat atau pilih layanan backend.
   2. Jika membuat layanan, untuk Backend type, pilih Serverless Network Endpoint Group, lalu pilih grup endpoint jaringan.
   3. Jika Anda belum memiliki endpoint jaringan serverless, pilih opsi untuk membuat endpoint baru.
      Sebelum membuat grup endpoint jaringan serverless, buat layanan Cloud Run yang akan diarahkan oleh grup endpoint.
6. Klik tab Frontend configuration
   1. Untuk Protocol—Pilih HTTPS.
   2. Pilih subnetwork.
   3. Jika Anda belum memesan subnet, selesaikan langkah-langkah di layar.
   4. Aktifkan akses global.
   5. Untuk sertifikat, pilih untuk membuat yang baru atau memilih sertifikat yang ada.
7. Klik Buat.

Buat URL lampiran layanan

Untuk menyiapkan URL PSC, buat lampiran layanan yang menggunakan alamat IP internal.

1. Di Konsol Google Cloud, buka halaman Private Service Connect.
2. Klik tab Publish service.
3. Klik Publish service.
4. Pilih Load balancer type untuk layanan yang ingin dipublikasikan:
   • Load Balancer Jaringan passthrough internal
   • Load Balancer Jaringan proxy internal regional
   • Load Balancer Aplikasi internal regional
5. Pilih Load balancer internal yang menghosting layanan yang ingin dipublikasikan.
   Kolom jaringan dan region diisi dengan detail untuk load balancer internal yang dipilih.
6. Untuk Nama layanan, masukkan nama lampiran layanan.
7. Pilih satu atau beberapa Subnet untuk layanan tersebut. Jika ingin menambahkan subnet baru, Anda dapat membuatnya:
   1. Klik Reserve new subnet.
   2. Masukkan Nama dan Deskripsi opsional untuk subnet.
   3. Pilih Region untuk subnet.
   4. Masukkan Rentang IP yang akan digunakan untuk subnet, lalu klik Add.
8. Untuk Connection preference, pilih Automatically accept all connections.
9. Klik Add service.
10. Klik layanan yang dipublikasikan. Gunakan nama lampiran layanan di kolom Service attachment untuk membuat URL:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Saat Anda menambahkan aplikasi web pribadi di Google Workspace, gunakan URL ini. Lihat Menambahkan aplikasi web ke akun Workspace Anda.

Untuk menghubungkan jaringan cloud atau lokal ke Google Cloud dengan aman, tambahkan konektor aplikasi.

Konektor aplikasi memungkinkan Anda menghubungkan aplikasi dengan aman dari cloud lain ke Google tanpa Virtual Private Network (VPN) site-to-site.

Membuat VM di jaringan non-Google

Anda harus menginstal setiap remote agent konektor aplikasi di virtual machine (VM) khusus atau pada server bare metal apa pun di lingkungan non-Google.

• Untuk membuat VM, minta bantuan administrator jaringan Anda atau ikuti petunjuk yang diberikan oleh penyedia cloud.
• Untuk menjalankan remote agent, gunakan Docker di setiap VM atau server.
• Pastikan firewall jaringan untuk VM remote agent mengizinkan semua traffic keluar yang dimulai di port 443 untuk rentang IP IAP-TCP 35.235.240.0/20. Lihat Memverifikasi konfigurasi firewall untuk domain lain yang harus diizinkan oleh firewall bagi remote agent VM untuk traffic keluar.

Menambahkan konektor aplikasi dan menginstal remote agent

1. Tambahkan konektor aplikasi:

   1. Di konsol Google Admin, buka Menu   AplikasiAplikasi web dan seluler.

      Buka Aplikasi web dan seluler

      Anda harus memiliki hak istimewa administrator Pengelolaan Perangkat Seluler.

   2. Klik tab BeyondCorp Enterprise (BCE) Connectors.
   3. Klik Add connector.
   4. Masukkan nama untuk konektor, misalnya: connect-myapp.
   5. Pilih region yang dekat dengan lingkungan non-Google.
   6. Klik Add connector.
   7. Untuk melihat status, di kanan atas, klik Jam Pasir Tugas Anda.
2. Buat instance VM untuk menghosting remote agent.
   Ikuti petunjuk yang diberikan oleh administrator jaringan atau penyedia cloud Anda. Lihat Membuat VM di jaringan non-Google.
3. Instal remote agent.
   1. Klik nama konektor aplikasi.
   2. Klik Instal remote agent.
   3. Di lingkungan non-Google, instal remote agent:
      • Buat instance virtual machine (VM) untuk menghosting remote agent. Ikuti petunjuk yang diberikan oleh administrator jaringan atau penyedia cloud Anda.
      • Instal Docker, yang diperlukan untuk menjalankan remote agent. Untuk mengetahui petunjuknya, lihat dokumentasi online untuk menginstal Docker Engine.
      • Instal dan daftarkan remote agent menggunakan perintah antarmuka command line (CLI) yang ditampilkan di halaman konektor aplikasi Google Workspace.
      • Salin dan tempel kunci publik yang ditampilkan setelah remote agent berhasil didaftarkan.
   4. Klik Simpan.

Halaman konektor aplikasi akan menampilkan bahwa Anda berhasil menambahkan kunci publik.

Admin yang membuat aplikasi web dapat memutuskan dalam kondisi apa pengguna dapat mengakses aplikasi. Misalnya, Anda dapat membatasi akses untuk pengguna dari domain tertentu atau hanya mengizinkan akses selama waktu atau hari tertentu. Jika akses ditolak, pengguna akan dialihkan ke halaman tertentu.

1. Di konsol Google Admin, buka Menu   AplikasiAplikasi web dan seluler.

   Buka Aplikasi web dan seluler

   Anda harus memiliki hak istimewa administrator Pengelolaan Perangkat Seluler.

2. Klik tab Aplikasi klik aplikasi untuk membuka halaman detail.
3. Klik Setelan lanjutan.

• Halaman landing 403—Masukkan alamat web tempat pengguna akan dialihkan jika mereka ditolak mengakses aplikasi. Gunakan format https://<url>.
• Domain autentikasi—Masukkan URL single sign-on (SSO) untuk organisasi Anda agar pengguna dapat login menggunakan kredensial organisasi mereka. Tindakan ini juga menolak akses bagi pengguna yang tidak memiliki kredensial yang valid untuk domain Google Workspace Anda. Gunakan format sso.your.org.com.
• Domain yang diizinkan—Untuk membatasi akses pengguna hanya ke domain yang ditentukan, centang kotak Aktifkan domain yang diizinkan. Pisahkan entri dengan koma, misalnya: test.your.org.com, prod.your.org.com.
• Autentikasi ulang—Gunakan opsi ini untuk mewajibkan pengguna melakukan autentikasi ulang setelah jangka waktu tertentu. Misalnya, pengguna dapat menyentuh kunci keamanan atau menggunakan Autentikasi 2 Faktor (2FA).
  • Login: Wajibkan pengguna untuk melakukan autentikasi ulang dengan nama pengguna dan sandi setelah login selama jangka waktu yang ditentukan.
  • Kunci aman: Wajibkan pengguna untuk melakukan autentikasi ulang menggunakan kunci keamanan mereka.
  • Faktor kedua yang terdaftar: Wajibkan pengguna untuk melakukan autentikasi ulang menggunakan 2FA.

Untuk mengetahui informasi selengkapnya, lihat Autentikasi ulang IAP.