Triển khai ứng dụng web riêng tư

Người dùng nội bộ của tổ chức (chẳng hạn như nhân viên và nhà thầu) sử dụng các ứng dụng web riêng tư được lưu trữ trên đám mây. Bạn có thể triển khai các ứng dụng này bằng Chrome Enterprise Premium trong Bảng điều khiển dành cho quản trị viên của Google.

Thêm ứng dụng web vào tài khoản Google Workspace

Các ứng dụng web riêng tư được lưu trữ trên Google Cloud, một nhà cung cấp dịch vụ đám mây khác hoặc một trung tâm dữ liệu tại chỗ.

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn Ứng dụng Ứng dụng web và ứng dụng di động.

Chuyển đến trang Ứng dụng web và ứng dụng di động

Bạn phải có đặc quyền Quản lý thiết bị di động dành cho quản trị viên.
Nhấp vào Thêm ứng dụng Thêm ứng dụng web riêng tư.
Trong phần Thông tin chi tiết về ứng dụng, hãy nhập tên ứng dụng và URL nơi người dùng truy cập vào ứng dụng.
Chỉ định nơi lưu trữ ứng dụng của bạn:
- Các ứng dụng được lưu trữ trên Google Cloud – Nhập URL Kết nối dịch vụ riêng tư (PSC) trong phần Thông tin chi tiết về máy chủ lưu trữ ứng dụng. Để biết thông tin chi tiết, hãy xem phần Cài đặt cho các ứng dụng được lưu trữ trên Google Cloud.
- Các ứng dụng HTTPS được lưu trữ trên một nhà cung cấp dịch vụ đám mây khác – Nhập URL nội bộ và số cổng. Các ứng dụng HTTP không được hỗ trợ. Để biết thông tin chi tiết, hãy xem phần Cài đặt cho các ứng dụng được lưu trữ trên các nhà cung cấp dịch vụ đám mây khác hoặc trung tâm dữ liệu tại chỗ.
  
  Để có hiệu suất tốt nhất, hãy chọn một vùng gần nhất với nơi lưu trữ ứng dụng, sau đó chọn các trình kết nối ứng dụng cần thiết để kết nối ứng dụng của bạn.
Nhấp vào Add application (Thêm ứng dụng).

Cài đặt cho các ứng dụng được lưu trữ trên Google Cloud

Tạo URL Kết nối dịch vụ riêng tư (PSC) để kết nối các ứng dụng riêng tư trong môi trường của bạn.

Để thiết lập URL PSC, hãy tạo một trình cân bằng tải nội bộ, sau đó tạo một tệp đính kèm dịch vụ sử dụng địa chỉ IP nội bộ.

Tạo trình cân bằng tải nội bộ

Bạn nên xuất bản các ứng dụng riêng tư trong Google Workspace sau một trình cân bằng tải nội bộ có bật quyền truy cập trên toàn cầu. Để biết thông tin chi tiết, hãy xem bài viết Xuất bản dịch vụ có phê duyệt tự động.

Tạo Trình cân bằng tải mạng chuyển tiếp nội bộ cho tài nguyên Compute hoặc GKE

Trước khi bắt đầu: Để cho phép giao tiếp HTTPS an toàn, hãy thiết lập một nhóm phiên bản được định cấu hình để phân phát các yêu cầu trên cổng 443. Chọn nhóm phiên bản trong thẻ Cấu hình phần phụ trợ.

Trong bảng điều khiển Cloud, hãy chuyển đến trang cân bằng tải.
Nhấp vào Create Load Balancer (Tạo trình cân bằng tải).
Nhấp vào Start Configuration for Network Load Balancer (TCP/SSL) (Bắt đầu định cấu hình cho Trình cân bằng tải mạng (TCP/SSL)) rồi chọn như sau:
1. Đối với Type of load balancer (Loại trình cân bằng tải) – Network Load Balancer (TCP/UDP/SSL) (Trình cân bằng tải mạng (TCP/UDP/SSL)).
2. Đối với Proxy or passthrough (Proxy hoặc chuyển tiếp) – Passthrough (Chuyển tiếp).
3. Đối với Internet facing or internal only (Chỉ dành cho Internet hoặc chỉ dành cho nội bộ) – Internal (Nội bộ).
4. Nhấp vào Tiếp theo.
5. Nhấp vào Tiếp tục.
Nhập tên trình cân bằng tải, rồi chọn khu vực và mạng nơi bạn sẽ triển khai trình cân bằng tải.
Quan trọng: Mạng bạn chọn cho trình cân bằng tải phải là mạng mà nhóm phiên bản của bạn sử dụng.
Nhấp vào thẻ Backend configuration (Cấu hình phần phụ trợ).
1. Đối với Protocol (Giao thức) – Chọn TCP.
2. Đối với IP stack type (Loại ngăn xếp IP) – Chọn IPv4.
3. Chọn một nhóm phiên bản.
  Để tạo một nhóm, hãy chuyển đến phần Nhóm phiên bản.
4. Chọn một chế độ kiểm tra tình trạng trong danh sách. Cách tạo chế độ kiểm tra tình trạng mới:
  1. Chọn Create health check (Tạo chế độ kiểm tra tình trạng).
  2. Nhập tên cho chế độ kiểm tra tình trạng (ví dụ: ping-port).
  3. Chọn regional scope (phạm vi theo khu vực).
  4. Đối với protocol (giao thức), hãy chọn HTTPS.
  5. Giữ nguyên cổng là 443.
  6. Đối với Proxy protocol (Giao thức proxy), hãy chọn NONE (KHÔNG CÓ).
  7. Đối với Request path (Đường dẫn yêu cầu), hãy để nguyên là "/".
  8. Bật nhật ký.
  9. Giữ nguyên các giá trị mặc định cho tiêu chí về tình trạng.
Nhấp vào thẻ Frontend configuration (Cấu hình giao diện người dùng).
1. (Không bắt buộc) Nhập tên cho giao diện người dùng.
2. Đối với IP version (Phiên bản IP), hãy chọn IPv4.
3. Chọn một mạng con.
4. Đối với internal IP purpose (mục đích IP nội bộ), hãy chọn Non-shared (Không dùng chung).
5. Đối với ports (cổng), hãy chọn Single (Đơn lẻ).
6. Nhập số cổng 443.
7. Đối với Global access (Quyền truy cập trên toàn cầu), hãy chọn Enable (Bật).
Nhấp vào thẻ Review and finalize (Xem xét và hoàn tất) để xem xét các chế độ cài đặt cấu hình trình cân bằng tải.
Nhấp vào Tạo.

Tạo Trình cân bằng tải nội bộ cho tài nguyên Cloud Run

Trong bảng điều khiển Cloud, hãy chuyển đến trang cân bằng tải.
Nhấp vào Create Load Balancer (Tạo trình cân bằng tải).
Nhấp vào Start Configuration for application load balancer (HTTP/S) (Bắt đầu định cấu hình cho trình cân bằng tải ứng dụng (HTTP/S)) rồi chọn như sau.
1. Đối với Type of load balancer (Loại trình cân bằng tải) – Chọn Application Load Balancer (HTTP/HTTPS) (Trình cân bằng tải ứng dụng (HTTP/HTTPS)).
2. Đối với Internet facing or internal only (Chỉ dành cho Internet hoặc chỉ dành cho nội bộ) – Chọn internal (nội bộ).
3. Đối với Cross-region or single region deployment (Triển khai trên nhiều khu vực hoặc một khu vực) – Chọn single region (một khu vực).
4. Nhấp vào Tiếp theo.
5. Nhấp vào Định cấu hình.
Nhập tên trình cân bằng tải, rồi chọn khu vực và mạng nơi sẽ triển khai trình cân bằng tải.
Nhấp vào thẻ Backend configuration (Cấu hình phần phụ trợ).
1. Tạo hoặc chọn dịch vụ phụ trợ.
2. Nếu bạn đang tạo một dịch vụ, thì đối với Backend type (Loại phần phụ trợ), hãy chọn Serverless Network Endpoint Group (Nhóm điểm cuối mạng phi máy chủ) rồi chọn một nhóm điểm cuối mạng.
3. Nếu bạn không có điểm cuối mạng không máy chủ, hãy chọn lựa chọn để tạo một điểm cuối mới.
  Trước khi tạo nhóm điểm cuối mạng phi máy chủ, hãy tạo một dịch vụ Cloud Run mà nhóm điểm cuối sẽ trỏ đến.
Nhấp vào thẻ Frontend configuration (Cấu hình giao diện người dùng)
1. Đối với Protocol (Giao thức) – Chọn HTTPS.
2. Chọn mạng con.
3. Nếu bạn chưa đặt trước một mạng con, hãy hoàn tất các bước trên màn hình.
4. Bật quyền truy cập trên toàn cầu.
5. Đối với chứng chỉ, hãy chọn tạo chứng chỉ mới hoặc chọn một chứng chỉ hiện có.
Nhấp vào Tạo.

Tạo URL tệp đính kèm dịch vụ

Để thiết lập URL PSC, hãy tạo một tệp đính kèm dịch vụ sử dụng địa chỉ IP nội bộ.

Trong bảng điều khiển Cloud, hãy chuyển đến trang Private Service Connect.
Nhấp vào thẻ Publish service (Xuất bản dịch vụ).
Nhấp vào Publish service (Xuất bản dịch vụ).
Chọn Load balancer type (Loại trình cân bằng tải) cho dịch vụ mà bạn muốn xuất bản:
- Internal passthrough Network Load Balancer (Trình cân bằng tải mạng chuyển tiếp nội bộ)
- Regional internal proxy Network Load Balancer (Trình cân bằng tải mạng proxy nội bộ theo khu vực)
- Regional internal Application Load Balancer (Trình cân bằng tải ứng dụng nội bộ theo khu vực)
Chọn Internal load balancer (Trình cân bằng tải nội bộ) lưu trữ dịch vụ mà bạn muốn xuất bản.
Các trường mạng và khu vực được điền sẵn thông tin chi tiết cho trình cân bằng tải nội bộ đã chọn.
Đối với Service name (Tên dịch vụ), hãy nhập tên cho tệp đính kèm dịch vụ.
Chọn một hoặc nhiều Subnets (Mạng con) cho dịch vụ. Nếu muốn thêm mạng con mới, bạn có thể tạo một mạng con:
1. Nhấp vào Reserve new subnet (Đặt trước mạng con mới).
2. Nhập Name (Tên) và Description (Nội dung mô tả) không bắt buộc cho mạng con.
3. Chọn Region (Khu vực) cho mạng con.
4. Nhập IP range (Dải IP) để sử dụng cho mạng con rồi nhấp vào Add (Thêm).
Đối với Connection preference (Lựa chọn ưu tiên về kết nối), hãy chọn Automatically accept all connections (Tự động chấp nhận tất cả kết nối).
Nhấp vào Thêm dịch vụ.
Nhấp vào dịch vụ đã xuất bản. Sử dụng tên tệp đính kèm dịch vụ trong trường Service attachment (Tệp đính kèm dịch vụ) để tạo URL:
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

Khi bạn thêm ứng dụng web riêng tư trong Google Workspace, hãy sử dụng URL này. Xem bài viết Thêm ứng dụng web vào tài khoản Workspace.

Cài đặt cho các ứng dụng web được lưu trữ trên các nhà cung cấp dịch vụ đám mây khác hoặc trung tâm dữ liệu tại chỗ

Để kết nối an toàn mạng đám mây hoặc mạng tại chỗ với Google Cloud, hãy thêm một trình kết nối ứng dụng.

Trình kết nối ứng dụng cho phép bạn kết nối an toàn ứng dụng của mình từ các đám mây khác với Google mà không cần Mạng riêng ảo (VPN) từ trang web đến trang web.

Tạo máy ảo trên mạng không phải của Google

Bạn phải cài đặt từng tác nhân từ xa của trình kết nối ứng dụng trên một máy ảo (VM) chuyên dụng hoặc trên bất kỳ máy chủ trần nào trong môi trường không phải của Google.

Để tạo máy ảo, hãy yêu cầu quản trị viên mạng hỗ trợ hoặc làm theo hướng dẫn do nhà cung cấp dịch vụ đám mây của bạn cung cấp.
Để chạy tác nhân từ xa, hãy sử dụng Docker trên mỗi máy ảo hoặc máy chủ.
Đảm bảo rằng tường lửa mạng cho máy ảo tác nhân từ xa cho phép tất cả lưu lượng truy cập đi bắt đầu ở cổng 443 cho dải IP IAP-TCP 35.235.240.0/20. Xem bài viết Xác minh cấu hình tường lửa cho các miền khác mà tường lửa cho máy ảo tác nhân từ xa phải cho phép lưu lượng truy cập đi.

Thêm trình kết nối ứng dụng và cài đặt tác nhân từ xa

Thêm trình kết nối ứng dụng:
1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn Ứng dụng Ứng dụng web và ứng dụng di động.
  
  Chuyển đến trang Ứng dụng web và ứng dụng di động
  
  Bạn phải có đặc quyền Quản lý thiết bị di động dành cho quản trị viên.
2. Nhấp vào thẻ BeyondCorp Enterprise (BCE) Connectors (Trình kết nối BeyondCorp Enterprise (BCE)).
3. Nhấp vào Add connector (Thêm trình kết nối).
4. Nhập tên cho trình kết nối, ví dụ: connect-myapp.
5. Chọn một khu vực gần với môi trường không phải của Google.
6. Nhấp vào Add connector (Thêm trình kết nối).
7. Để xem trạng thái, ở trên cùng bên phải, hãy nhấp vào biểu tượng Đồng hồ cát Your tasks (Việc cần làm).
Tạo một phiên bản máy ảo để lưu trữ tác nhân từ xa.
Làm theo hướng dẫn do quản trị viên mạng hoặc nhà cung cấp dịch vụ đám mây của bạn cung cấp. Xem bài viết Tạo máy ảo trên mạng không phải của Google.
Cài đặt tác nhân từ xa.
1. Nhấp vào tên trình kết nối ứng dụng.
2. Nhấp vào Install remote agent (Cài đặt tác nhân từ xa).
3. Trong môi trường không phải của Google, hãy cài đặt tác nhân từ xa:
  - Tạo một phiên bản máy ảo (VM) để lưu trữ tác nhân từ xa. Làm theo hướng dẫn do quản trị viên mạng hoặc nhà cung cấp dịch vụ đám mây của bạn cung cấp.
  - Cài đặt Docker (bắt buộc để chạy tác nhân từ xa). Để biết hướng dẫn, hãy xem tài liệu trực tuyến để cài đặt Docker Engine.
  - Cài đặt và đăng ký tác nhân từ xa bằng các lệnh giao diện dòng lệnh (CLI) xuất hiện trên trang trình kết nối ứng dụng Google Workspace.
  - Sao chép và dán khoá công khai xuất hiện sau khi đăng ký thành công tác nhân từ xa.
4. Nhấp vào Lưu.

Trang trình kết nối ứng dụng cho biết bạn đã thêm thành công khoá công khai.

Hạn chế quyền truy cập và xác thực

Quản trị viên tạo ứng dụng web có thể quyết định điều kiện để người dùng có thể truy cập vào ứng dụng. Ví dụ: bạn có thể giới hạn quyền truy cập đối với người dùng từ một miền cụ thể hoặc chỉ cho phép truy cập trong một số thời điểm hoặc ngày nhất định. Nếu bị từ chối quyền truy cập, người dùng sẽ được chuyển hướng đến một trang cụ thể.

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn Ứng dụng Ứng dụng web và ứng dụng di động.

Chuyển đến trang Ứng dụng web và ứng dụng di động

Bạn phải có đặc quyền Quản lý thiết bị di động dành cho quản trị viên.
Nhấp vào thẻ Ứng dụng nhấp vào một ứng dụng để mở trang thông tin chi tiết.
Nhấp vào Cài đặt nâng cao.

Trang đích 403—Nhập địa chỉ web nơi người dùng sẽ được chuyển hướng đến nếu bị từ chối quyền truy cập vào ứng dụng. Sử dụng định dạng https://<url>.
Miền xác thực—Nhập URL đăng nhập một lần (SSO) cho tổ chức của bạn để cho phép người dùng đăng nhập bằng thông tin đăng nhập của tổ chức. Điều này cũng từ chối quyền truy cập đối với những người dùng không có thông tin đăng nhập hợp lệ cho miền Google Workspace của bạn. Sử dụng định dạng sso.your.org.com.
Miền được phép—Để giới hạn quyền truy cập của người dùng chỉ đối với các miền được chỉ định, hãy đánh dấu vào hộp Bật miền được phép. Phân tách các mục nhập bằng dấu phẩy, ví dụ: test.your.org.com, prod.your.org.com.
Xác thực lại—Sử dụng các lựa chọn này để yêu cầu người dùng xác thực lại sau một khoảng thời gian. Ví dụ: người dùng có thể chạm vào khoá bảo mật hoặc sử dụng tính năng Xác thực 2 yếu tố (2FA).
- Đăng nhập: Yêu cầu người dùng xác thực lại bằng tên người dùng và mật khẩu sau khi đăng nhập trong khoảng thời gian được chỉ định.
- Khoá bảo mật: Yêu cầu người dùng xác thực lại bằng khoá bảo mật.
- Yếu tố thứ hai đã đăng ký: Yêu cầu người dùng xác thực lại bằng tính năng xác thực hai yếu tố.

Để biết thêm thông tin, hãy xem bài viết Xác thực lại IAP.

Chỉ định quyền truy cập dựa trên bối cảnh

Quyền truy cập theo bối cảnh giúp bạn kiểm soát những ứng dụng web riêng tư mà người dùng có thể truy cập dựa trên một số điều kiện, chẳng hạn như thiết bị của họ có tuân thủ chính sách CNTT của bạn hay không.

Ví dụ: bạn có thể tạo các chính sách kiểm soát quyền truy cập thật chi tiết cho những ứng dụng có quyền truy cập vào dữ liệu của Google Workspace dựa trên những thuộc tính như danh tính, vị trí, trạng thái bảo mật thiết bị và địa chỉ IP của người dùng.

Để biết thông tin chi tiết, hãy xem bài viết Chỉ định cấp truy cập cho các ứng dụng web riêng tư.

Triển khai ứng dụng web riêng tư Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.