部署专用 Web 应用

创建 Private Service Connect (PSC) 网址以连接您环境中的专用应用。

如需设置 PSC 网址，请创建内部负载平衡器，然后创建使用内部 IP 地址的服务连接。

创建内部负载平衡器

您应通过启用了全球访问权限的内部负载平衡器发布 Google Workspace 中的专用应用。如需了解详情，请参阅通过自动批准发布服务。

为 Compute 或 GKE 资源创建内部直通式网络负载平衡器

准备工作：如需允许进行安全的 HTTPS 通信，请设置配置为在端口 443 上处理请求的实例组。在“后端配置”标签页中选择实例组。

1. 在 Google Cloud 控制台中，转到负载均衡页面。
2. 点击创建负载均衡器。
3. 点击开始配置网络负载平衡器 (TCP/SSL)，然后选择以下各项：
   1. 对于负载平衡器的类型，选择网络负载平衡器 (TCP/UDP/SSL)。
   2. 对于代理或直通，选择直通。
   3. 对于面向互联网或仅限内部，选择内部。
   4. 点击下一步。
   5. 点击继续。
4. 输入负载平衡器名称，然后选择将在其中部署负载平衡器的区域和网络。
   重要提示：您为负载平衡器选择的网络必须与实例组使用的网络相同。
5. 点击后端配置标签页。
   1. 对于协议，请选择 TCP。
   2. 对于 IP 栈类型，请选择 IPv4。
   3. 选择一个实例组。
      如需创建实例组，请参阅实例组。
   4. 从列表中选择一项健康检查。如需创建新的健康检查，请执行以下操作：
      1. 选择创建健康检查。
      2. 为健康检查输入名称（例如：ping-port）。
      3. 选择区域级范围。
      4. 对于协议，选择 HTTPS。
      5. 将端口保留为 443。
      6. 对于代理协议，选择无。
      7. 对于请求路径，保留“/”。
      8. 启用日志。
      9. 保留健康标准的默认值。
6. 点击前端配置标签页。
   1. （可选）输入前端的名称。
   2. 对于 IP 版本，请选择 IPv4。
   3. 选择子网。
   4. 对于内部 IP 地址用途，选择非共享。
   5. 对于端口，选择单个。
   6. 输入端口号 443。
   7. 在全球访问权限部分，选择启用。
7. 点击检查并最终确定标签页，查看您的负载平衡器配置设置。
8. 点击创建。

为 Cloud Run 资源创建内部负载平衡器

1. 在 Google Cloud 控制台中，转到负载均衡页面。
2. 点击创建负载均衡器。
3. 点击开始配置应用负载平衡器 (HTTP/S)，然后选择以下各项。
   1. 在负载平衡器的类型字段中，选择应用负载平衡器 (HTTP/HTTPS)。
   2. 对于面向互联网或仅限内部，请选择内部。
   3. 对于跨区域或单区域部署，请选择单区域。
   4. 点击下一步。
   5. 点击配置。
4. 输入负载平衡器名称，然后选择将在其中部署负载平衡器的区域和网络。
5. 点击后端配置标签页。
   1. 创建或选择后端服务。
   2. 如果要创建服务，请在后端类型中选择无服务器网络端点组，然后选择一个网络端点组。
   3. 如果您没有无服务器网络端点，请选择相应选项以创建新端点。
      在创建无服务器网络端点组之前，请先创建该端点组将指向的 Cloud Run 服务。
6. 点击前端配置标签页
   1. 对于协议，选择 HTTPS。
   2. 选择子网。
   3. 如果您尚未预留子网，请完成屏幕上的步骤。
   4. 启用全球访问权限。
   5. 对于证书，您可以选择创建新证书，也可以选择现有证书。
7. 点击创建。

创建服务连接网址

如需设置 PSC 网址，请创建使用内部 IP 地址的服务连接。

1. 在 Google Cloud 控制台中，转到 Private Service Connect 页面。
2. 点击发布服务标签页。
3. 点击发布服务。
4. 为要发布的服务选择负载平衡器类型：
   • 内部直通式网络负载均衡器
   • 区域级内部代理网络负载均衡器
   • 区域级内部应用负载均衡器
5. 选择托管您要发布的服务的内部负载均衡器。
   “网络”和“区域”字段会填充所选内部负载平衡器的详细信息。
6. 对于服务名称，输入服务连接的名称。
7. 为该服务选择一个或多个子网。如果要添加新子网，您可以按照如下方式创建一个：
   1. 点击预留新子网。
   2. 输入子网的名称和（可选）说明。
   3. 为子网选择区域。
   4. 输入用于子网的 IP 范围，然后点击添加。
8. 对于连接偏好设置，选择自动接受所有连接。
9. 点击添加服务。
10. 点击已发布的服务。使用服务连接字段中的服务连接名称来创建网址：
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAMESERVICE_ATTACHMENT_NAME

在 Google Workspace 中添加专用 Web 应用时，请使用此网址。请参阅将 Web 应用添加到您的 Workspace 账号。

如需将您的云或本地网络安全地连接到 Google Cloud，请添加应用连接器。

借助应用连接器，您可以将应用从其他云安全地连接到 Google，而无需站点到站点虚拟专用网 (VPN)。

在非 Google 网络上创建虚拟机

您必须在非 Google 环境中的专用虚拟机 (VM) 或任何裸金属服务器上安装每个应用连接器远程代理。

• 如需创建虚拟机，请向网络管理员寻求帮助，或按照云服务提供商提供的说明操作。
• 如需运行远程代理，请在每个虚拟机或服务器上使用 Docker。
• 确保远程代理虚拟机的网络防火墙允许在端口 443 上针对 IAP-TCP IP 范围 35.235.240.0/20 发起的所有出站流量。如需了解远程代理虚拟机的防火墙应允许出站流量传向哪些其他网域，请参阅验证防火墙配置。

添加应用连接器并安装远程代理

1. 添加应用连接器：

   1. 在 Google 管理控制台中，依次点击“菜单”图标   应用 Web 应用和移动应用。

      前往“Web 应用和移动应用”

      需要拥有移动设备管理管理员权限。

   2. 点击 BeyondCorp Enterprise (BCE) 连接器标签页。
   3. 点击添加连接器。
   4. 输入连接器的名称，例如：connect-myapp。
   5. 选择靠近非 Google 环境的区域。
   6. 点击添加连接器。
   7. 如需查看状态，请点击右上角的沙漏图标 您的任务。
2. 创建虚拟机实例以托管远程代理。
   请按照网络管理员或云服务提供商提供的说明操作。请参阅在非 Google 网络上创建虚拟机。
3. 安装远程代理。
   1. 点击应用连接器名称。
   2. 点击安装远程代理。
   3. 在非 Google 环境中，安装远程代理：
      • 创建虚拟机 (VM) 实例以托管远程代理。请按照网络管理员或云服务提供商提供的说明操作。
      • 安装运行远程代理所需的 Docker。如需查看说明，请参阅有关安装 Docker Engine 的在线文档。
      • 使用 Google Workspace 应用连接器页面上显示的命令行界面 (CLI) 命令安装和注册远程代理。
      • 复制并粘贴远程代理成功注册后显示的公钥。
   4. 点击保存。

应用连接器页面显示您已成功添加公钥。

创建 Web 应用的管理员可以决定用户在何种条件下能够访问应用。例如，您可以限制来自特定网域的用户的访问权限，或者仅在特定时间或特定日期允许访问。如果访问遭拒，用户会被重定向到特定页面。

1. 在 Google 管理控制台中，依次点击“菜单”图标   应用 Web 应用和移动应用。

   前往“Web 应用和移动应用”

   需要拥有移动设备管理管理员权限。

2. 点击应用标签页 点击相应应用以打开详情页面。
3. 点击高级设置。

• 403 着陆页 - 输入在用户访问应用遭拒时将被重定向到的网址。请使用以下格式：https://<网址>。
• 身份验证网域 - 输入组织的单点登录 (SSO) 网址，以允许用户使用其组织凭据登录。这也会拒绝没有您 Google Workspace 网域的有效凭据的用户进行访问。请使用 sso.your.org.com 格式。
• 允许的网域 - 如要限制用户只能访问指定的网域，请勾选启用允许的网域复选框。使用英文逗号分隔条目，例如：test.your.org.com, prod.your.org.com。
• 重新验证 - 使用这些选项可要求用户在一段时间后重新进行身份验证。例如，用户可以轻触安全密钥或使用双重身份验证 (2FA)。
  • 登录：要求用户在登录指定时间后使用用户名和密码重新进行身份验证。
  • 安全密钥：要求用户使用安全密钥重新进行身份验证。
  • 已注册的双重身份验证方法：要求用户使用双重身份验证重新进行身份验证。

如需了解详情，请参阅 IAP 重新验证。