Wdrażanie prywatnych aplikacji internetowych

Utwórz adres URL usługi Private Service Connect (PSC), aby połączyć aplikacje prywatne w Twoim środowisku.

Aby skonfigurować adres URL usługi PSC, utwórz wewnętrzny system równoważenia obciążenia, a następnie przyłącze usługi korzystające z wewnętrznego adresu IP.

Tworzenie wewnętrznego systemu równoważenia obciążenia

Aplikacje prywatne w Google Workspace powinny być publikowane z uwzględnieniem wewnętrznego systemu równoważenia obciążenia z włączonym dostępem globalnym. Więcej informacji znajdziesz w artykule Publikowanie usługi z automatycznym zatwierdzaniem.

Tworzenie wewnętrznego przekazującego sieciowego systemu równoważenia obciążenia dla zasobu Compute Engine lub GKE

Zanim zaczniesz: aby umożliwić bezpieczną komunikację HTTPS, skonfiguruj grupę instancji skonfigurowaną do obsługi żądań przez port 443. Na karcie Konfiguracja backendu wybierz grupę instancji.

1. W konsoli Google Cloud otwórz stronę Równoważenie obciążenia.
2. Kliknij Utwórz system równoważenia obciążenia.
3. Kliknij Start Configuration for Network Load Balancer (TCP/SSL) (Rozpocznij konfigurację sieciowego systemu równoważenia obciążenia (TCP/SSL)) i wybierz:
   1. W polu Typ systemu równoważenia obciążenia wybierz Sieciowy system równoważenia obciążenia (TCP/UDP/SSL).
   2. W polu Proxy lub przekazywanie wybierz Przekazywanie.
   3. W sekcji Dostępny z internetu lub tylko wewnętrzny wybierz Wewnętrzny.
   4. Kliknij Dalej.
   5. Kliknij Dalej.
4. Wpisz nazwę systemu równoważenia obciążenia i wybierz region oraz sieć, w których chcesz go wdrożyć.
   Ważne: sieć wybrana dla systemu równoważenia obciążenia musi być tą samą siecią, z której korzysta grupa instancji.
5. Kliknij kartę Konfiguracja backendu.
   1. W polu Protokół wybierz TCP.
   2. W polu Typ stosu IP wybierz IPv4.
   3. Wybierz grupę instancji.
       Aby utworzyć grupę instancji, otwórz stronę Grupy instancji.
   4. Wybierz z listy test sprawdzający stan usługi. Aby utworzyć nową kontrolę stanu:
      1. Kliknij Utwórz kontrolę stanu.
      2. Wpisz nazwę kontroli stanu (np. ping-port).
      3. Wybierz zakres regionalny.
      4. W polu Protokół wybierz HTTPS.
      5. Zachowaj port 443.
      6. W polu Protokół proxy wybierz BRAK.
      7. W przypadku Ścieżki żądania pozostaw „/”.
      8. Włącz dzienniki.
      9. Zachowaj wartości domyślne kryteriów stanu.
6. Kliknij kartę Konfiguracja frontendu.
   1. (Opcjonalnie) Wpisz nazwę interfejsu.
   2. W sekcji Wersja IP wybierz IPv4.
   3. Wybierz podsieć.
   4. W polu Przeznaczenie wewnętrznego adresu IP wybierz Niewspółdzielony.
   5. W polu ports (porty) wybierz Single (Pojedynczy).
   6. Wpisz 443 jako numer portu.
   7. W sekcji Dostęp globalny kliknij Włącz.
7. Aby sprawdzić ustawienia konfiguracyjne systemu równoważenia obciążenia, kliknij kartę Przejrzyj i zakończ.
8. Kliknij Utwórz.

Tworzenie wewnętrznego systemu równoważenia obciążenia dla zasobu Cloud Run

1. W konsoli Google Cloud otwórz stronę Równoważenie obciążenia.
2. Kliknij Utwórz system równoważenia obciążenia.
3. Kliknij Start Configuration for application load balancer (HTTP/S) (Rozpocznij konfigurację systemu równoważenia obciążenia aplikacji (HTTP/S)) i wybierz poniższe opcje.
   1. W sekcji Typ systemu równoważenia obciążenia wybierz System równoważenia obciążenia aplikacji (HTTP/HTTPS).
   2. W polu Dostępny z internetu lub tylko wewnętrzny wybierz wewnętrzny.
   3. W polu Wdrożenie w wielu regionach lub w jednym regionie wybierz w jednym regionie.
   4. Kliknij Dalej.
   5. Kliknij Configure (Skonfiguruj).
4. Wpisz nazwę systemu równoważenia obciążenia i wybierz region oraz sieć, w których zostanie on wdrożony.
5. Kliknij kartę Konfiguracja backendu.
   1. Utwórz lub wybierz usługę backendu.
   2. Jeśli tworzysz usługę, w polu Backend type (Typ backendu) wybierz Serverless Network Endpoint Group (Bezserwerowa grupa punktów końcowych sieci) i wybierz grupę punktów końcowych sieci.
   3. Jeśli nie masz bezserwerowego punktu końcowego sieci, wybierz opcję utworzenia nowego.
      Zanim utworzysz bezserwerową grupę punktów końcowych sieci, utwórz w Cloud Run usługę, do której będzie kierowana grupa punktów końcowych.
6. Kliknij kartę Konfiguracja frontendu.
   1. W polu Protokół wybierz HTTPS.
   2. Wybierz podsieć.
   3. Jeśli nie masz jeszcze zarezerwowanego zakresu adresów IP, wykonaj czynności wyświetlane na ekranie.
   4. Włącz dostęp globalny.
   5. W przypadku certyfikatu wybierz opcję utworzenia nowego lub użycia istniejącego.
7. Kliknij Utwórz.

Utwórz adres URL przyłącza usługi

Aby skonfigurować adres URL usługi PSC, utwórz przyłącze usługi, które korzysta z wewnętrznego adresu IP.

1. W konsoli Google Cloud otwórz stronę Private Service Connect.
2. Kliknij kartę Publikowanie usługi.
3. Kliknij Opublikuj usługę.
4. Wybierz Typ systemu równoważenia obciążenia dla usługi, którą chcesz opublikować:
   • Wewnętrzny przekazujący sieciowy system równoważenia obciążenia
   • Regionalny wewnętrzny sieciowy system równoważenia obciążenia serwera proxy
   • Regionalny wewnętrzny system równoważenia obciążenia aplikacji
5. Wybierz wewnętrzny system równoważenia obciążenia, który hostuje usługę, którą chcesz opublikować.
    Pola sieci i regionu są wypełnione szczegółami wybranego wewnętrznego systemu równoważenia obciążenia.
6. W polu Nazwa usługi wpisz nazwę przyłącza usługi.
7. Wybierz co najmniej jedną podsieć dla usługi. Jeśli chcesz dodać nową podsieć, możesz ją utworzyć:
   1. Kliknij Zarezerwuj nową podsieć.
   2. Wpisz nazwę i opcjonalny opis podsieci.
   3. Wybierz Region podsieci.
   4. Wpisz zakres adresów IP, który ma być używany w podsieci, i kliknij Dodaj.
8. W sekcji Preferencje połączenia wybierz Automatycznie akceptuj wszystkie połączenia.
9. Kliknij Dodaj usługę.
10. Kliknij opublikowaną usługę. Aby utworzyć adres URL, użyj nazwy przyłącza usługi w polu Przyłącze usługi:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Gdy dodajesz prywatną aplikację internetową w Google Workspace, użyj tego adresu URL. Zapoznaj się z artykułem Dodawanie aplikacji internetowej do konta Workspace.

Aby bezpiecznie połączyć sieć w chmurze lub sieć lokalną z Google Cloud, dodaj oprogramowanie sprzęgające aplikacji.

Oprogramowanie sprzęgające aplikacji umożliwia bezpieczne łączenie aplikacji z innych chmur z Google bez użycia sieci VPN typu site-to-site.

Tworzenie maszyny wirtualnej w sieci innej niż Google

Każdy zdalny agent oprogramowania sprzęgającego aplikacji musi być zainstalowany na dedykowanej maszynie wirtualnej lub na dowolnym serwerze Bare Metal w środowisku innym niż Google.

• Aby utworzyć maszynę wirtualną, poproś o pomoc administratora sieci lub postępuj zgodnie z instrukcjami dostawcy usług w chmurze.
• Aby uruchomić agenta zdalnego, użyj Dockera w przypadku każdej maszyny wirtualnej lub każdego serwera.
• Sprawdź, czy zapora sieciowa maszyny wirtualnej agenta zdalnego zezwala na cały ruch wychodzący zainicjowany na porcie 443 dla zakresu adresów IP IAP-TCP 35.235.240.0/20. Zapoznaj się z sekcją Sprawdzanie konfiguracji zapory sieciowej dla innych domen, na które zapora sieciowa maszyny wirtualnej agenta zdalnego ma zezwalać na ruch wychodzący.

Dodawanie oprogramowania sprzęgającego aplikacji i instalowanie agenta zdalnego

1. Dodawanie oprogramowania sprzęgającego aplikacji:

   1. W konsoli administracyjnej Google otwórz Menu  AplikacjeAplikacje internetowe i mobilne.

      Otwórz stronę Aplikacje internetowe i mobilne

      Wymaga uprawnień administratora Zarządzanie urządzeniami mobilnymi.

   2. Kliknij kartę Oprogramowanie sprzęgające BeyondCorp Enterprise (BCE).
   3. Kliknij Dodaj oprogramowanie sprzęgające.
   4. Wpisz nazwę łącznika, np. connect-myapp.
   5. Wybierz region w pobliżu środowiska innego niż Google.
   6. Kliknij Dodaj oprogramowanie sprzęgające.
   7. Aby wyświetlić stan, w prawym górnym rogu kliknij Klepsydra Twoje zadania.
2. Utwórz instancję maszyny wirtualnej, która będzie hostować zdalnego agenta.
    Postępuj zgodnie z instrukcjami administratora sieci lub dostawcy usług w chmurze. Zobacz informacje na temat tworzenia maszyny wirtualnej w sieci innej niż Google.
3. Zainstaluj agenta zdalnego.
   1. Kliknij nazwę oprogramowania sprzęgającego aplikację.
   2. Kliknij Zainstaluj agenta zdalnego.
   3. W środowisku innym niż Google zainstaluj agenta zdalnego:
      • Utwórz instancję maszyny wirtualnej do hostowania zdalnego agenta. Postępuj zgodnie z instrukcjami administratora sieci lub dostawcy usług w chmurze.
      • Zainstaluj Dockera, który jest wymagany do uruchamiania agenta zdalnego. Instrukcje znajdziesz w dokumentacji online dotyczącej instalacji Docker Engine.
      • Zainstaluj i zarejestruj zdalnego agenta za pomocą poleceń interfejsu wiersza poleceń wyświetlanych na stronie oprogramowania sprzęgającego aplikacji Google Workspace.
      • Skopiuj i wklej klucz publiczny, który wyświetli się po zarejestrowaniu agenta zdalnego.
   4. Kliknij Zapisz.

Na stronie oprogramowania sprzęgającego aplikacji wyświetli się informacja, że klucz publiczny został dodany.

Administrator, który utworzył aplikację internetową, może zdecydować o warunkach, w których użytkownik będzie mógł uzyskać do niej dostęp. Możesz na przykład zezwolić na dostęp użytkownikom z określonej domeny lub zezwolić na dostęp tylko o określonych godzinach lub w określone dni. W przypadku odmowy dostępu użytkownik zostanie przekierowany na konkretną stronę.

1. W konsoli administracyjnej Google otwórz Menu  AplikacjeAplikacje internetowe i mobilne.

   Otwórz stronę Aplikacje internetowe i mobilne

   Wymaga uprawnień administratora Zarządzanie urządzeniami mobilnymi.

2. Kliknij kartę Aplikacje  kliknij aplikację, aby otworzyć stronę z informacjami o niej.
3. Kliknij Ustawienia zaawansowane.

• Strona docelowa 403 – wpisz adres internetowy, na który użytkownicy będą przekierowywani, jeśli odmówią dostępu do aplikacji. Użyj formatu https://<url>.
• Domena uwierzytelniania – wpisz adres URL logowania jednokrotnego (SSO) w Twojej organizacji, aby umożliwić użytkownikom logowanie się przy użyciu danych logowania w organizacji. Dzięki temu zostanie zablokowany dostęp użytkownikom, którzy nie mają prawidłowych danych logowania do Twojej domeny Google Workspace. Użyj formatu sso.twoja.organizacja.com.
• Dozwolone domeny – aby ograniczyć dostęp użytkowników tylko do określonych domen, zaznacz pole Włącz dozwolone domeny. Poszczególne wpisy oddziel przecinkami, np. test.twoja.organizacja.com, prod.twoja.organizacja.com.
• Ponowne uwierzytelnianie – użyj tych opcji, aby wymagać od użytkowników ponownego uwierzytelniania po upływie określonego czasu. Użytkownicy mogą na przykład dotknąć klucza bezpieczeństwa lub użyć uwierzytelniania dwuskładnikowego.
  • Logowanie: wymagaj od użytkowników ponownego uwierzytelnienia przy użyciu nazwy użytkownika i hasła po upływie określonego czasu.
  • Klucz bezpieczeństwa: wymagaj od użytkowników ponownego uwierzytelnienia przy użyciu klucza bezpieczeństwa.
  • Zarejestrowane drugie składniki: wymagaj od użytkowników ponownego uwierzytelnienia przy użyciu uwierzytelniania dwuskładnikowego.

Więcej informacji znajdziesz w artykule Ponowne uwierzytelnianie IAP.