ติดตั้งใช้งานเว็บแอปส่วนตัว

สร้าง URL ของ Private Service Connect (PSC) เพื่อเชื่อมต่อแอปส่วนตัวในสภาพแวดล้อม

หากต้องการตั้งค่า URL ของ PSC ให้สร้างตัวจัดสรรภาระงานภายใน แล้วสร้างไฟล์แนบบริการที่ใช้ที่อยู่ IP ภายใน

สร้างตัวจัดสรรภาระงานภายใน

คุณควรเผยแพร่แอปส่วนตัวใน Google Workspace ที่อยู่เบื้องหลังตัวจัดสรรภาระงานภายในที่เปิดใช้การเข้าถึงทั่วโลก โปรดดูรายละเอียดที่หัวข้อเผยแพร่บริการพร้อมด้วยการอนุมัติโดยอัตโนมัติ

สร้างตัวจัดสรรภาระงานเครือข่ายการปล่อยผ่านสัญญาณภายในสำหรับทรัพยากร Compute หรือ GKE

ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการอนุญาตให้มีการสื่อสารผ่าน HTTPS ที่ปลอดภัย ให้ตั้งค่ากลุ่มอินสแตนซ์ที่กำหนดค่าให้แสดงคำขอในพอร์ต 443 เลือกกลุ่มอินสแตนซ์ในแท็บการกำหนดค่าแบ็กเอนด์

1. ในคอนโซล Google Cloud ให้ไปที่หน้าการปรับสมดุลโหลด
2. คลิกสร้างตัวจัดสรรภาระงาน
3. คลิกเริ่มการกำหนดค่าสำหรับตัวจัดสรรภาระงานเครือข่าย (TCP/SSL) แล้วเลือกตัวเลือกต่อไปนี้
   1. สำหรับประเภทของตัวจัดสรรภาระงาน ให้เลือกตัวจัดสรรภาระงานเครือข่าย (TCP/UDP/SSL)
   2. สำหรับพร็อกซีหรือการปล่อยผ่านสัญญาณ ให้เลือกการปล่อยผ่านสัญญาณ
   3. สำหรับเชื่อมต่อกับอินเทอร์เน็ตหรือภายในเท่านั้น - ภายใน
   4. คลิกถัดไป
   5. คลิกต่อไป
4. ป้อนชื่อตัวจัดสรรภาระงาน แล้วเลือกภูมิภาคและเครือข่ายที่จะติดตั้งใช้งานตัวจัดสรรภาระงาน
   สำคัญ: เครือข่ายที่คุณเลือกสำหรับตัวจัดสรรภาระงานต้องเป็นเครือข่ายเดียวกับที่กลุ่มอินสแตนซ์ใช้
5. คลิกแท็บการกำหนดค่าแบ็กเอนด์
   1. สำหรับโปรโตคอล ให้เลือก TCP
   2. สำหรับประเภทสแต็ก IP ให้เลือก IPv4
   3. เลือกกลุ่มอินสแตนซ์
      หากต้องการสร้างกลุ่มดังกล่าว ให้ไปที่กลุ่มอินสแตนซ์
   4. เลือกการตรวจสอบสถานะจากรายการ วิธีสร้างการตรวจสอบประสิทธิภาพการทำงานใหม่
      1. เลือกสร้างการตรวจสอบประสิทธิภาพการทำงาน
      2. ป้อนชื่อสำหรับการตรวจสอบสถานะ (เช่น ping-port)
      3. เลือกขอบเขตภูมิภาค
      4. เลือก HTTPS สำหรับโปรโตคอล
      5. คงพอร์ตไว้เป็น 443
      6. สำหรับโปรโตคอลพร็อกซี ให้เลือกไม่มี
      7. สำหรับเส้นทางคำขอ ให้คงไว้เป็น "/"
      8. เปิดใช้บันทึก
      9. เก็บค่าเริ่มต้นสำหรับเกณฑ์ด้านสุขภาพไว้
6. คลิกแท็บการกำหนดค่าฟรอนท์เอนด์
   1. (ไม่บังคับ) ป้อนชื่อสำหรับฟรอนท์เอนด์
   2. สำหรับเวอร์ชัน IP ให้เลือก IPv4
   3. เลือกเครือข่ายย่อย
   4. เลือกไม่ได้แชร์สำหรับวัตถุประสงค์ของ IP ภายใน
   5. สำหรับพอร์ต ให้เลือกเดี่ยว
   6. ป้อนหมายเลขพอร์ต 443
   7. สำหรับการเข้าถึงทั่วโลก ให้เลือกเปิดใช้
7. คลิกแท็บตรวจสอบและสรุปเพื่อตรวจสอบการตั้งค่าการกำหนดค่าของตัวปรับสมดุลภาระงาน
8. คลิกสร้าง

สร้างตัวจัดสรรภาระงานภายในสำหรับทรัพยากร Cloud Run

1. ในคอนโซล Google Cloud ให้ไปที่หน้าการปรับสมดุลโหลด
2. คลิกสร้างตัวจัดสรรภาระงาน
3. คลิกเริ่มการกำหนดค่าสำหรับตัวจัดสรรภาระงานแอปพลิเคชัน (HTTP/S) แล้วเลือกรายการต่อไปนี้
   1. สำหรับประเภทของตัวจัดสรรภาระงาน ให้เลือกตัวจัดสรรภาระงานแอปพลิเคชัน (HTTP/HTTPS)
   2. สำหรับอินเทอร์เน็ตหรือภายในเท่านั้น ให้เลือกภายใน
   3. สำหรับการติดตั้งใช้งานแบบข้ามภูมิภาคหรือแบบภูมิภาคเดียว ให้เลือกภูมิภาคเดียว
   4. คลิกถัดไป
   5. คลิกกำหนดค่า
4. ป้อนชื่อตัวจัดสรรภาระงาน แล้วเลือกภูมิภาคและเครือข่ายที่จะติดตั้งใช้งานตัวจัดสรรภาระงาน
5. คลิกแท็บการกำหนดค่าแบ็กเอนด์
   1. สร้างหรือเลือกบริการแบ็กเอนด์
   2. หากสร้างบริการ ให้เลือกกลุ่มปลายทางของเครือข่ายแบบ Serverless สำหรับประเภทแบ็กเอนด์ แล้วเลือกกลุ่มปลายทางของเครือข่าย
   3. หากยังไม่มีปลายทางของเครือข่ายแบบ Serverless ให้เลือกตัวเลือกเพื่อสร้างปลายทางใหม่
      ก่อนสร้างกลุ่มปลายทางของเครือข่ายแบบ Serverless ให้สร้างบริการ Cloud Run ที่กลุ่มปลายทางจะชี้ไป
6. คลิกแท็บการกำหนดค่าฟรอนท์เอนด์
   1. สำหรับโปรโตคอล ให้เลือก HTTPS
   2. เลือกเครือข่ายย่อย
   3. หากยังไม่ได้จองซับเน็ต ให้ทำตามขั้นตอนบนหน้าจอ
   4. เปิดใช้สิทธิ์เข้าถึงทั่วโลก
   5. สำหรับใบรับรอง ให้เลือกสร้างใบรับรองใหม่หรือเลือกใบรับรองที่มีอยู่
7. คลิกสร้าง

สร้าง URL ของการแนบบริการ

หากต้องการตั้งค่า URL ของ PSC ให้สร้างไฟล์แนบบริการที่ใช้ที่อยู่ IP ภายใน

1. ในคอนโซล Google Cloud ให้ไปที่หน้า Private Service Connect
2. คลิกแท็บเผยแพร่บริการ
3. คลิกเผยแพร่บริการ
4. เลือกประเภทตัวจัดสรรภาระงานสำหรับบริการที่ต้องการเผยแพร่ ดังนี้
   • ตัวจัดสรรภาระงานเครือข่ายการปล่อยผ่านสัญญาณภายใน
   • ตัวจัดสรรภาระงานเครือข่ายพร็อกซีภายในระดับภูมิภาค
   • ตัวจัดสรรภาระงานของแอปพลิเคชันภายในระดับภูมิภาค
5. เลือกตัวจัดสรรภาระงานภายในที่โฮสต์บริการที่คุณต้องการเผยแพร่
   ระบบจะป้อนรายละเอียดสำหรับตัวจัดสรรภาระงานภายในที่เลือกในฟิลด์เครือข่ายและภูมิภาค
6. ในส่วนชื่อบริการ ให้ป้อนชื่อสำหรับไฟล์แนบบริการ
7. เลือกเครือข่ายย่อยอย่างน้อย 1 รายการสำหรับบริการ หากต้องการเพิ่มซับเน็ตใหม่ ให้สร้างซับเน็ตโดยดำเนินการดังนี้
   1. คลิกจองซับเน็ตใหม่
   2. ป้อนชื่อและคำอธิบาย (ไม่บังคับ) สำหรับเครือข่ายย่อย
   3. เลือกภูมิภาคสำหรับซับเน็ต
   4. ป้อนช่วง IP ที่จะใช้สำหรับซับเน็ต แล้วคลิกเพิ่ม
8. สำหรับค่ากำหนดการเชื่อมต่อ ให้เลือกยอมรับการเชื่อมต่อทั้งหมดโดยอัตโนมัติ
9. คลิกเพิ่มบริการ
10. คลิกบริการที่เผยแพร่ ใช้ชื่อการเชื่อมต่อบริการในช่องการเชื่อมต่อบริการเพื่อสร้าง URL ดังนี้
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

เมื่อเพิ่มเว็บแอปส่วนตัวใน Google Workspace ให้ใช้ URL นี้ ดูเพิ่มเว็บแอปไปยังบัญชี Workspace

หากต้องการเชื่อมต่อเครือข่ายในระบบคลาวด์หรือเครือข่ายภายในองค์กรกับ Google Cloud อย่างปลอดภัย ให้เพิ่มเครื่องมือเชื่อมต่อแอป

เครื่องมือเชื่อมต่อแอปช่วยให้คุณเชื่อมต่อแอปพลิเคชันของคุณจากระบบคลาวด์อื่นไปยัง Google ได้อย่างปลอดภัยโดยไม่ต้องใช้เครือข่ายส่วนตัวเสมือน (VPN) แบบเว็บไซต์สู่เว็บไซต์

สร้าง VM ในเครือข่ายที่ไม่ใช่ของ Google

คุณต้องติดตั้ง Agent ระยะไกลสำหรับเครื่องมือเชื่อมต่อแอปแต่ละรายการในเครื่องเสมือน (VM) โดยเฉพาะ หรือในเซิร์ฟเวอร์ Bare Metal ในสภาพแวดล้อมที่ไม่ใช่ของ Google

• หากต้องการสร้าง VM โปรดขอความช่วยเหลือจากผู้ดูแลเครือข่าย หรือทำตามวิธีการจากผู้ให้บริการคลาวด์
• หากต้องการเรียกใช้ Agent ระยะไกล ให้ใช้ Docker บน VM หรือเซิร์ฟเวอร์แต่ละรายการ
• ตรวจสอบว่าไฟร์วอลล์เครือข่ายสำหรับ VM ของ Agent ระยะไกลอนุญาตการรับส่งข้อมูลขาออกทั้งหมดซึ่งเริ่มต้นที่พอร์ต 443 สำหรับช่วง IP ของ IAP-TCP 35.235.240.0/20 โปรดดูหัวข้อยืนยันการกำหนดค่าไฟร์วอลล์สำหรับโดเมนอื่นๆ ที่ไฟร์วอลล์ VM ของ Agent ระยะไกลควรอนุญาตให้มีการรับส่งข้อมูลขาออกได้

เพิ่มเครื่องมือเชื่อมต่อแอปและติดตั้ง Agent ระยะไกล

1. วิธีเพิ่มเครื่องมือเชื่อมต่อแอป

   1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู   แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่

      ไปที่แอปบนเว็บและมือถือ

      ต้องมีสิทธิ์ของผู้ดูแลระบบการจัดการอุปกรณ์เคลื่อนที่

   2. คลิกแท็บเครื่องมือเชื่อมต่อ BeyondCorp Enterprise (BCE)
   3. คลิกเพิ่มตัวเชื่อมต่อ
   4. ป้อนชื่อตัวเชื่อมต่อ เช่น connect-myapp
   5. เลือกภูมิภาคที่อยู่ใกล้กับสภาพแวดล้อมที่ไม่ใช่ของ Google
   6. คลิกเพิ่มตัวเชื่อมต่อ
   7. หากต้องการดูสถานะ ให้คลิกนาฬิกาทราย งานของคุณที่ด้านขวาบน
2. สร้างอินสแตนซ์ VM เพื่อโฮสต์ Agent ระยะไกล
   ทำตามวิธีการที่ผู้ดูแลเครือข่ายหรือผู้ให้บริการคลาวด์ระบุ โปรดดูหัวข้อสร้าง VM ในเครือข่ายที่ไม่ใช่ของ Google
3. ติดตั้ง Agent ระยะไกล
   1. คลิกชื่อเครื่องมือเชื่อมต่อแอป
   2. คลิกติดตั้ง Agent ระยะไกล
   3. ในสภาพแวดล้อมที่ไม่ใช่ของ Google ให้ติดตั้ง Agent ระยะไกลโดยทำดังนี้
      • สร้างอินสแตนซ์เครื่องเสมือน (VM) เพื่อโฮสต์ Agent ระยะไกล จากนั้นทำตามวิธีการที่ผู้ดูแลเครือข่ายหรือผู้ให้บริการคลาวด์ระบุ
      • ติดตั้ง Docker ซึ่งจำเป็นต่อการเรียกใช้ Agent ระยะไกล โปรดดูวิธีการในเอกสารประกอบออนไลน์เพื่อติดตั้ง Docker Engine
      • ติดตั้งและลงทะเบียน Agent ระยะไกลโดยใช้คำสั่งอินเทอร์เฟซบรรทัดคำสั่ง (CLI) ที่แสดงในหน้าเครื่องมือเชื่อมต่อแอป Google Workspace
      • คัดลอกและวางคีย์สาธารณะที่แสดงขึ้นหลังจากลงทะเบียน Agent ระยะไกลเรียบร้อยแล้ว
   4. คลิกบันทึก

หน้าเครื่องมือเชื่อมต่อแอปจะแสดงว่าคุณเพิ่มคีย์สาธารณะเรียบร้อยแล้ว

ผู้ดูแลระบบที่สร้างเว็บแอปสามารถกำหนดเงื่อนไขที่ผู้ใช้จะเข้าถึงแอปได้ เช่น จำกัดสิทธิ์เข้าถึงให้ผู้ใช้จากโดเมนบางรายการ หรืออนุญาตสิทธิ์เข้าถึงเฉพาะในบางช่วงเวลาหรือบางวัน หากถูกปฏิเสธการเข้าถึง ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเว็บที่เฉพาะเจาะจง

1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู   แอปแอปในเว็บและบนอุปกรณ์เคลื่อนที่

   ไปที่แอปบนเว็บและมือถือ

   ต้องมีสิทธิ์ของผู้ดูแลระบบการจัดการอุปกรณ์เคลื่อนที่

2. คลิกแท็บแอป คลิกแอปเพื่อเปิดหน้ารายละเอียด
3. คลิกการตั้งค่าขั้นสูง

• หน้า Landing Page 403 - ป้อนที่อยู่เว็บที่ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปในกรณีที่ถูกปฏิเสธไม่ให้เข้าถึงแอป โดยใช้รูปแบบ https://<url>
• โดเมนการตรวจสอบสิทธิ์ - ป้อน URL ของการลงชื่อเพียงครั้งเดียว (SSO) สำหรับองค์กรเพื่อให้ผู้ใช้ลงชื่อเข้าใช้ได้โดยใช้ข้อมูลเข้าสู่ระบบขององค์กร ซึ่งการดำเนินการนี้ยังจะปฏิเสธสิทธิ์การเข้าถึงของผู้ใช้ที่ไม่มีข้อมูลเข้าสู่ระบบที่ถูกต้องสำหรับโดเมน Google Workspace ของคุณด้วย ใช้รูปแบบ sso.your.org.com
• โดเมนที่อนุญาต - หากต้องการจำกัดการเข้าถึงของผู้ใช้ไว้เฉพาะโดเมนที่ระบุ ให้เลือกช่องเปิดใช้โดเมนที่อนุญาต โดยให้คั่นรายการด้วยคอมมา เช่น test.your.org.com, prod.your.org.com
• การตรวจสอบสิทธิ์ซ้ำ - ใช้ตัวเลือกต่อไปนี้เพื่อกำหนดให้ผู้ใช้ต้องตรวจสอบสิทธิ์อีกครั้งหลังจากผ่านไประยะหนึ่ง เช่น ผู้ใช้สามารถแตะคีย์ความปลอดภัยหรือใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA)
  • การเข้าสู่ระบบ: กำหนดให้ผู้ใช้ตรวจสอบสิทธิ์ซ้ำด้วยชื่อผู้ใช้และรหัสผ่านหลังจากเข้าสู่ระบบเป็นระยะเวลาหนึ่ง
  • คีย์ความปลอดภัย: กำหนดให้ผู้ใช้ตรวจสอบสิทธิ์ซ้ำโดยใช้คีย์ความปลอดภัย
  • ปัจจัยที่สองที่ลงทะเบียนแล้ว: กำหนดให้ผู้ใช้ตรวจสอบสิทธิ์ซ้ำโดยใช้ 2FA

ดูข้อมูลเพิ่มเติมได้ที่การตรวจสอบสิทธิ์ IAP ซ้ำ