Identity Aware Proxy(IAP)を使用すると、Google Cloud の外部にある HTTP ��ースア��リへのアクセスを管理できます。これには、企業のデータセンター内にあるオンプレミスのアプリも含まれます。
IAP でオンプレミス アプリを保護する方法については、オンプレミス アプリで IAP を設定するをご覧ください。
はじめに
IAP は、IAP オンプレミス コネクタを使用してオンプレミス アプリをターゲットにします。オンプレミス コネクタは、Cloud Deployment Manager テンプレートを使用して、IAP オンプレミス コネクタをホストして IAP 対応の Google Cloud プロジェクトにデプロイするために必要なリソースを作成し、認証および承認済みのリクエストをオンプレミス アプリに転送します。
On-Prem コネクタは、次のリソースを作成します。
- オンプレミス アプリのプロキシとして機能する Cloud Service Mesh デプロイメント。
- リクエストの Ingress コントローラとして機能する外部アプリケーション ロードバランサ。
- ルーティング ルール。
Deployment には、1 つの外部アプリケーション ロードバランサの背後で実行される複数の Cloud Service Mesh バックエンド サービスを設定できます。バックエンド サービスはそれぞれ、個々のオンプレミス アプリにマッピングされます。
IAP オンプレミス コネクタがデプロイされ、新しく作成されたオンプレミス コネクタ バックエンド サービスで IAP が有効になっている場合、IAP は ID とコンテキスト ベースの ID アクセス管理(IAM)およびアクセス ポリシーでアプリを保護します。IAM のアクセス ポリシーはバックエンド サービスのリソースレベルで構成されるため、オンプレミス アプリごとに異なるアクセス制御リストを使用できます。つまり、複数のオンプレミス アプリへのアクセスを管理するために必要な Google Cloud プロジェクトは 1 つだけです。
オンプレミス アプリ用 IAP の仕組み
Google Cloud にホストされているアプリにリクエストが送信されると、IAP はユーザーのリクエストを認証して承認します。その後、Google Cloud アプリへのアクセス権をユーザーに付与します。
リクエストがオンプレミス アプリに送信されると、IAP はユーザーのリクエストを認証して承認します。その後、リクエストを IAP オンプレミス コネクタにルーティングします。IAP オンプレミス コネクタは、ハイブリッド接続ネット���ーク エンドポイント グループを介して、Google Cloud からオンプレミス ネットワークにリクエストを転送します。
次の図は、Google Cloud アプリ(app1)とオンプレミス アプリ(app2)のウェブ リクエストのトラフィック フローを簡単に示しています。
ルーティング ルール
IAP コネクタ デプロイを構成するときに、ルーティング ルールを構成します。ルーティング ルールにより、DNS ホスト名の受信ポイントに到達した認証および承認済みのウェブ リクエストを、その宛先となっている DNS ホスト名にルーティングします。
次の例は、IAP コネクタの Deployment Manager テンプレート用に定義された routing
パラメータの例です。
routing: - name: hr mapping: - name: host source: www.hr-domain.com destination: hr-internal.domain.com - name: sub source: sheets.hr-domain.com destination: sheets.hr-internal.domain.com - name: finance mapping: - name: host source: www.finance-domain.com destination: finance-internal.domain.com
- それぞれの
routing
名は、Ambassador で作成された新しい Compute Engine バックエンド サービス リソースに対応しています。 mapping
パラメータには、バックエンド サービスの Ambassador ルーティング ルールのリストを指定します。- ルーティング ルールの
source
はdestination
に対応しています。source
は、Google Cloud に送信されるリクエストの URL です。destination
は、ユーザーの認証と承認が完了した後に IAP がトラフィックをルーティングするオンプレミス アプリの URL です。
次の表に、www.hr-domain.com
から hr-internal.domain.com
に受信リクエストをルーティングするルールの例を示します。
Compute Engine バックエンド サービス | ルーティング ルール名 | 送信元 | 宛先 |
---|---|---|---|
hr | hr-host | www.hr-domain.com | hr-internal.domain.com |
hr-sub | sheets.hr-domain.com | sheets.hr-internal.domain.com | |
finance | finance-host | www.finance-domain.com | finance-internal.domain.com |
次のステップ
- IAP でオンプレミス アプリを保護する方法を学習する。
- IAP の仕組みを学習する。