Развертывание частных веб-приложений

Создайте URL-адрес Private Service Connect (PSC) для подключения частных приложений в вашей среде.

Для настройки URL-адреса PSC создайте внутренний балансировщик нагрузки, а затем создайте подключение к службе, использующее внутренний IP-адрес.

Создайте внутренний балансировщик нагрузки.

В Google Workspace следует публиковать частные приложения, используя внутренний балансировщик нагрузки с включенным глобальным доступом. Подробнее см. раздел «Публикация сервиса с автоматическим подтверждением» .

Создайте внутренний сквозной сетевой балансировщик нагрузки для вычислительных ресурсов или ресурсов GKE.

Перед началом работы: Для обеспечения безопасной HTTPS-связи настройте группу экземпляров, предназначенную для обработки запросов на порту 443. Выберите группу экземпляров на вкладке «Конфигурация бэкэнда».

1. В консоли Google Cloud перейдите на страницу «Балансировка нагрузки» .
2. Нажмите «Создать балансировщик нагрузки» .
3. Нажмите кнопку «Начать настройку балансировщика сетевой нагрузки (TCP/SSL)» и выберите следующее:
   1. Тип балансировщика нагрузки — Сетевой балансировщик нагрузки (TCP/UDP/SSL) .
   2. Для прокси или сквозной передачи — Сквозная передача .
   3. Только для внутреннего использования или с доступом через Интернет — Внутренний .
   4. Нажмите «Далее» .
   5. Нажмите «Продолжить» .
4. Введите имя балансировщика нагрузки, а также выберите регион и сеть, в которых вы будете развертывать балансировщик нагрузки.
   Важно: выбранная вами сеть для балансировщика нагрузки должна совпадать с сетью, используемой вашей группой экземпляров.
5. Перейдите на вкладку «Конфигурация бэкэнда» .
   1. В поле «Протокол» выберите TCP .
   2. Для выбора типа стека IP — выберите IPv4 .
   3. Выберите группу экземпляров.
      Чтобы создать группу экземпляров, перейдите в раздел «Группы экземпляров» .
   4. Выберите проверку состояния здоровья из списка. Чтобы создать новую проверку состояния здоровья:
      1. Выберите «Создать проверку состояния здоровья» .
      2. Введите название для проверки состояния вашего порта (например: ping-port).
      3. Выберите региональную область охвата .
      4. В качестве протокола выберите HTTPS .
      5. Оставьте порт 443.
      6. Для параметра «Протокол прокси» выберите «НЕТ» .
      7. В поле "Путь запроса " оставьте "/".
      8. Включить ведение журналов.
      9. Оставьте значения по умолчанию для критериев состояния здоровья.
6. Перейдите на вкладку «Конфигурация интерфейса» .
   1. (Необязательно) Введите название для интерфейса пользователя.
   2. Для выбора версии IP выберите IPv4.
   3. Выберите подсеть.
   4. Для использования внутреннего IP-адреса выберите «Неразделяемый» .
   5. Для выбора портов выберите «Один» .
   6. Введите номер порта 443.
   7. Для глобального доступа выберите «Включить» .
7. Нажмите вкладку «Проверка и завершение» , чтобы просмотреть параметры конфигурации балансировщика нагрузки.
8. Нажмите «Создать» .

Создайте внутренний балансировщик нагрузки для ресурса Cloud Run.

1. В консоли Google Cloud перейдите на страницу «Балансировка нагрузки» .
2. Нажмите «Создать балансировщик нагрузки» .
3. Нажмите кнопку «Начать настройку балансировщика нагрузки приложений (HTTP/S)» и выберите следующее.
   1. Для выбора типа балансировщика нагрузки — выберите «Балансировщик нагрузки приложений (HTTP/HTTPS)» .
   2. Для доступа из интернета или только для внутреннего использования — выберите «внутреннее» .
   3. Для развертывания в нескольких регионах или в одном регионе — выберите «Размещение в одном регионе» .
   4. Нажмите «Далее» .
   5. Нажмите «Настроить» .
4. Введите имя балансировщика нагрузки и выберите регион и сеть, в которых он будет развернут.
5. Перейдите на вкладку «Конфигурация бэкэнда» .
   1. Создайте или выберите серверную службу.
   2. При создании сервиса в поле «Тип бэкэнда» выберите «Бессетная группа сетевых конечных точек» и укажите группу сетевых конечных точек.
   3. Если у вас нет сетевой точки без серверной архитектуры, выберите опцию для ее создания.
      Перед созданием группы бессерверных сетевых конечных точек создайте службу Cloud Run, на которую будет указывать эта группа конечных точек.
6. Перейдите на вкладку «Конфигурация интерфейса» .
   1. В поле «Протокол» выберите HTTPS .
   2. Выберите подсеть.
   3. Если вы еще не зарезервировали подсеть, выполните действия, отображаемые на экране.
   4. Обеспечить глобальный доступ.
   5. Для сертификата выберите создание нового или выберите существующий сертификат.
7. Нажмите «Создать» .

Создайте URL-адрес для подключения услуги.

Для настройки URL-адреса PSC создайте подключение к службе, использующее внутренний IP-адрес.

1. В консоли Google Cloud перейдите на страницу Private Service Connect .
2. Нажмите вкладку «Опубликовать службу» .
3. Нажмите «Опубликовать службу» .
4. Выберите тип балансировщика нагрузки для службы, которую вы хотите опубликовать:
   • Внутренний балансировщик сетевой нагрузки с сквозной передачей
   • Региональный внутренний прокси-сервер, балансировщик сетевой нагрузки
   • Региональный внутренний балансировщик нагрузки приложений
5. Выберите внутренний балансировщик нагрузки , на котором размещена служба, которую вы хотите опубликовать.
   Поля «Сеть» и «Регион» заполняются данными выбранного внутреннего балансировщика нагрузки.
6. В поле «Название услуги» введите название для прикрепленного к услуге элемента.
7. Выберите одну или несколько подсетей для службы. Если вы хотите добавить новую подсеть, вы можете создать её:
   1. Нажмите «Зарезервировать новую подсеть» .
   2. Введите имя и, при необходимости, описание для подсети.
   3. Выберите регион для подсети.
   4. Введите диапазон IP-адресов , который будет использоваться для подсети, и нажмите «Добавить» .
8. В настройках подключения выберите «Автоматически принимать все подключения» .
9. Нажмите «Добавить услугу» .
10. Щёлкните по опубликованной службе. Используйте имя вложения службы в поле «Вложение службы» , чтобы создать URL-адрес:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME​

При добавлении вашего частного веб-приложения в Google Workspace используйте этот URL-адрес. См. раздел «Добавление веб-приложения в вашу учетную запись Workspace» .

Для безопасного подключения вашей облачной или локальной сети к Google Cloud добавьте коннектор приложений.

Коннекторы приложений позволяют безопасно подключать ваше приложение из других облачных сред к Google без использования виртуальной частной сети (VPN) типа «сайт-сайт».

Создайте виртуальную машину в сети, не принадлежащей Google.

Необходимо установить каждый агент удаленного подключения приложения на выделенной виртуальной машине (ВМ) или на любом физическом сервере в среде, не относящейся к Google.

• Для создания виртуальной машины обратитесь за помощью к сетевому администратору или следуйте инструкциям, предоставленным вашим облачным провайдером.
• Для запуска удалённого агента используйте Docker на каждой виртуальной машине или сервере.
• Убедитесь, что сетевой брандмауэр для виртуальной машины удаленного агента разрешает весь исходящий трафик, инициированный через порт 443 для диапазона IP-адресов IAP-TCP 35.235.240.0/20. См. раздел «Проверка конфигурации брандмауэра для других доменов, для которых брандмауэр для виртуальной машины удаленного агента должен разрешать исходящий трафик».

Добавьте коннектор приложения и установите удаленный агент.

1. Добавьте коннектор приложения:

   1. В консоли администратора Google перейдите в меню. Приложения Веб- и мобильные приложения .

      Перейдите в раздел «Веб- и мобильные приложения».

      Для этого требуются права администратора системы управления мобильными устройствами .

   2. Перейдите на вкладку « Коннекторы BeyondCorp Enterprise (BCE)» .
   3. Нажмите «Добавить коннектор» .
   4. Введите имя для коннектора, например: connect-myapp.
   5. Выберите регион, близкий к среде, не относящейся к Google.
   6. Нажмите «Добавить коннектор» .
   7. Чтобы просмотреть статус, в правом верхнем углу нажмите на кнопку «Песочные часы». Ваши задачи .
2. Создайте экземпляр виртуальной машины для размещения удаленного агента.
   Следуйте инструкциям, предоставленным вашим сетевым администратором или поставщиком облачных услуг. См. раздел «Создание виртуальной машины в сети, не принадлежащей Google» .
3. Установите удаленного агента.
   1. Щелкните по названию коннектора приложения.
   2. Нажмите «Установить удаленный агент» .
   3. В среде, не относящейся к Google, установите удаленный агент:
      • Создайте экземпляр виртуальной машины (ВМ) для размещения удаленного агента. Следуйте инструкциям, предоставленным вашим сетевым администратором или поставщиком облачных услуг.
      • Установите Docker, необходимый для запуска удалённого агента. Инструкции по установке Docker Engine см. в онлайн-документации.
      • Установите и зарегистрируйте удаленного агента, используя команды интерфейса командной строки (CLI), отображаемые на странице коннектора приложения Google Workspace.
      • Скопируйте и вставьте открытый ключ, который отобразится после успешной регистрации удаленного агента.
   4. Нажмите « Сохранить ».

На странице подключения приложения отображается сообщение об успешном добавлении открытого ключа.

Администратор, создавший веб-приложение, может определять условия доступа пользователя к приложению. Например, можно ограничить доступ пользователям с определенного домена или разрешить доступ только в определенное время или дни. В случае отказа в доступе пользователь будет перенаправлен на определенную страницу.

1. В консоли администратора Google перейдите в меню. Приложения Веб- и мобильные приложения .

   Перейдите в раздел «Веб- и мобильные приложения».

   Для этого требуются права администратора системы управления мобильными устройствами .

2. Нажмите вкладку «Приложения» . Нажмите на приложение, чтобы открыть страницу с подробной информацией.
3. Нажмите «Дополнительные настройки» .

• Страница ошибки 403 — Введите веб-адрес, на который пользователи будут перенаправлены в случае отказа в доступе к приложению. Используйте формат https:// <url> .
• Домен аутентификации — Введите URL-адрес единого входа (SSO) для вашей организации, чтобы пользователи могли входить в систему, используя свои учетные данные организации. Это также запретит доступ пользователям, не имеющим действительных учетных данных для вашего домена Google Workspace. Используйте формат sso.your.org.com.
• Разрешенные домены — Чтобы ограничить доступ пользователей только к указанным доменам, установите флажок «Включить разрешенные домены» . Разделяйте записи запятой, например: test.your.org.com, prod.your.org.com.
• Повторная аутентификация — Используйте эти параметры, чтобы потребовать от пользователей повторной аутентификации через определенный промежуток времени. Например, пользователи могут прикоснуться к ключу безопасности или использовать двухфакторную аутентификацию (2FA).
  • Вход в систему : Требовать от пользователей повторной аутентификации с использованием имени пользователя и пароля после истечения указанного периода времени, в течение которого они находились в системе.
  • Защищенный ключ : Требуйте от пользователей повторной аутентификации с использованием их защитного ключа.
  • Встроенные дополнительные факторы аутентификации : Требуют от пользователей повторной аутентификации с использованием двухфакторной аутентификации.

Для получения более подробной информации см. раздел «Повторная аутентификация IAP» .