Wdrażanie prywatnych aplikacji internetowych

Prywatne aplikacje internetowe są tworzone dla wewnętrznych użytkowników organizacji, na przykład pracowników i kontrahentów. Te aplikacje możesz wdrożyć w konsoli administracyjnej Google, używając Chrome Enterprise Premium .

Dodawanie aplikacji do konta Google Workspace

Aplikacje prywatne mogą być hostowane w Google Cloud, u innego dostawcy chmury lub w lokalnym centrum danych.

Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
W konsoli administracyjnej otwórz Menu AplikacjeAplikacje internetowe i mobilne.
Kliknij Dodaj aplikację Dodaj prywatną aplikację internetową.
W sekcji Szczegóły aplikacji wpisz nazwę i adres URL aplikacji, z których użytkownicy uzyskują do niej dostęp.
Wybierz, gdzie jest hostowana Twoja aplikacja:
- Aplikacje hostowane w Google Cloud – wpisz adres URL usługi Private Service Connect (PSC) w szczegółach hosta aplikacji. Szczegółowe informacje znajdziesz w artykule poświęconym ustawieniom aplikacji hostowanych w Google Cloud.
- Aplikacje HTTPS hostowane u innego dostawcy chmury – wpisz wewnętrzny adres URL i numer portu. Aplikacje HTTP nie są obsługiwane. Więcej informacji znajdziesz w ustawieniach aplikacji hostowanych u innych dostawców chmury lub w lokalnych centrach danych.
  
  Aby uzyskać najlepszą wydajność, wybierz region najbliżej miejsca hostowania aplikacji, a następnie wybierz oprogramowanie sprzęgające aplikacji wymagane do połączenia aplikacji.
Kliknij Add application (Dodaj aplikację).

Ustawienia aplikacji hostowanych w Google Cloud

Utwórz adres URL usługi Private Service Connect (PSC), aby połączyć aplikacje prywatne w Twoim środowisku.

Aby skonfigurować adres URL usługi PSC, utwórz wewnętrzny system równoważenia obciążenia, a następnie przyłącze usługi korzystające z wewnętrznego adresu IP.

Tworzenie wewnętrznego systemu równoważenia obciążenia

Aplikacje prywatne w Google Workspace powinny być publikowane z uwzględnieniem wewnętrznego systemu równoważenia obciążenia z włączonym dostępem globalnym. Więcej informacji znajdziesz w artykule poświęconym publikowaniu usługi z automatycznym zatwierdzaniem.

Tworzenie wewnętrznego systemu równoważenia obciążenia dla zasobu Compute lub GKE

Zanim zaczniesz: aby umożliwić bezpieczną komunikację HTTPS, skonfiguruj grupę instancji skonfigurowaną do obsługi żądań przez port 443. Grupa instancji zostanie wybrana na karcie konfiguracji backendu.

W konsoli Google Cloud otwórz stronę Równoważenie obciążenia.
Kliknij Utwórz system równoważenia obciążenia.
Kliknij Start Configuration for Network Load Balancer (TCP/SSL) (Rozpocznij konfigurację sieciowego systemu równoważenia obciążenia (TCP/SSL)) i wybierz:
1. Typ systemu równoważenia obciążenia – sieciowy system równoważenia obciążenia (TCP/UDP/SSL).
2. Serwer proxy lub przekazywanie – przekazywanie.
3. Dostępny z internetu lub tylko wewnętrzny – wewnętrzny.
4. Kliknij Dalej.
5. Kliknij Dalej.
Wpisz nazwę systemu równoważenia obciążenia, a następnie wybierz region i sieć, w których wdrożysz system.
Ważne: sieć wybrana dla systemu równoważenia obciążenia musi być tą samą siecią, z której korzysta grupa instancji.
Kliknij kartę Konfiguracja backendu.
1. Protokół – wybierz TCP.
2. Typ stosu IP – wybierz IPv4.
3. Wybierz grupę instancji.
  Aby je utworzyć, przejdź do sekcji Grupy instancji.
4. Wybierz z listy kontrolę stanu. Aby utworzyć nową kontrolę stanu:
  1. Wybierz opcję Utwórz kontrolę stanu.
  2. Wpisz nazwę kontroli stanu (na przykład: ping-port).
  3. Wybierz zakres regionalny.
  4. Jako protokół wybierz HTTPS.
  5. Zachowaj port 443.
  6. W polu Protokół serwera proxy wybierz BRAK.
  7. W polu Ścieżka żądania pozostaw „/”.
  8. Włącz dzienniki.
  9. Zachowaj domyślne wartości kryteriów stanu.
Wybierz kartę Konfiguracja frontendu.
1. (Opcjonalnie) Wpisz nazwę frontendu.
2. Jako wersję adresu IP wybierz IPv4.
3. Wybierz podsieć.
4. Na potrzeby wewnętrznego adresu IP wybierz Nieudostępniony.
5. W przypadku portów wybierz Pojedynczy.
6. Wpisz 443 jako numer portu.
7. W przypadku dostępu globalnego wybierz Włącz.
Kliknij kartę Sprawdź i zakończ, aby sprawdzić ustawienia konfiguracji systemu równoważenia obciążenia.
Kliknij Utwórz.

Tworzenie wewnętrznego systemu równoważenia obciążenia dla zasobu Cloud Run

W konsoli Google Cloud otwórz stronę Równoważenie obciążenia.
Kliknij Utwórz system równoważenia obciążenia.
Kliknij Start Configuration for application load balancer (HTTP/S) (Rozpocznij konfigurację systemu równoważenia obciążenia aplikacji (HTTP/S)) i wybierz poniższe opcje.
1. Typ systemu równoważenia obciążenia – system równoważenia obciążenia aplikacji (HTTP/HTTPS).
2. Dostępny z internetu lub tylko wewnętrzny – wewnętrzny.
3. Wdrożenie w wielu regionach lub w jednym regionie – w jednym regionie.
4. Kliknij Dalej.
5. Kliknij Skonfiguruj.
Wpisz nazwę systemu równoważenia obciążenia oraz wybierz region i sieć, w których zostanie on wdrożony.
Kliknij kartę Konfiguracja backendu.
1. Utwórz lub wybierz usługę backendu.
2. Jeśli tworzysz usługę, jako typ backendu wybierz Serverless Network Endpoint Group (Grupa bezserwerowych punktów końcowych sieci) i wybierz grupę punktów końcowych sieci.
3. Jeśli nie masz bezserwerowego punktu końcowego sieci, wybierz opcję utworzenia nowego.
  Zanim utworzysz grupę bezserwerowych punktów końcowych sieci, utwórz w Cloud Run usługę, do której będzie kierowana grupa punktów końcowych.
Wybierz kartę Konfiguracja frontendu.
1. Protokół – wybierz HTTPS.
2. Wybierz podsieć.
3. Aby zarezerwować podsieć, wykonaj instrukcje wyświetlane na ekranie.
4. Włącz dostęp globalny.
5. W przypadku certyfikatu możesz utworzyć nowy lub wybrać istniejący.
Kliknij Utwórz.

Tworzenie adresu URL przyłącza usługi

Aby skonfigurować adres URL usługi PSC, utwórz przyłącze usługi, które korzysta z wewnętrznego adresu IP.

W konsoli Google Cloud otwórz stronę Private Service Connect.
Kliknij kartę Publikowanie usługi.
Kliknij Opublikuj usługę.
Wybierz Typ systemu równoważenia obciążenia dla usługi, którą chcesz opublikować:
- Wewnętrzny przekazujący sieciowy system równoważenia obciążenia
- Regionalny wewnętrzny system równoważenia obciążenia sieci serwera proxy
- Regionalny wewnętrzny system równoważenia obciążenia aplikacji
Wybierz Wewnętrzny system równoważenia obciążenia hostujący usługę, którą chcesz opublikować.
Pola sieci i regionu zawierają szczegóły wybranego wewnętrznego systemu równoważenia obciążenia.
W polu Nazwa usługi wpisz nazwę przyłącza usługi.
Wybierz co najmniej jedną podsieć dla usługi. Jeśli chcesz dodać nową podsieć, możesz ją utworzyć:
- Kliknij Zarezerwuj nową podsieć.
- Wpisz nazwę i opcjonalnie opis podsieci.
- Wybierz region podsieci.
- Wpisz zakres adresów IP, którego chcesz używać dla podsieci, i kliknij Dodaj.
W polu Preferencja połączeń wybierz Automatycznie akceptuj wszystkie połączenia.
Kliknij Dodaj usługę.
Kliknij opublikowaną usługę. Aby utworzyć adres URL, użyj nazwy przyłącza usługi w polu Przyłącze usługi:
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
Wpisz adres URL aplikacji prywatnej w Google Workspace. Zobacz Dodawanie aplikacji do konta Workspace.

Ustawienia aplikacji hostowanych u innych dostawców chmury lub w lokalnych centrach danych

Aby bezpiecznie połączyć sieć w chmurze lub sieć lokalną z Google Cloud, dodaj oprogramowanie sprzęgające aplikacji.

Oprogramowanie sprzęgające aplikacji umożliwia bezpieczne łączenie aplikacji z innych chmur z Google bez użycia sieci VPN typu site-to-site.

Tworzenie maszyny wirtualnej w sieci innej niż Google

Każdy zdalny agent oprogramowania sprzęgającego aplikacji musi być zainstalowany na dedykowanej maszynie wirtualnej lub na dowolnym serwerze Bare Metal w środowisku innym niż Google.

Aby utworzyć maszynę wirtualną, poproś o pomoc administratora sieci lub postępuj zgodnie z instrukcjami podanymi przez dostawcę chmury.
Aby uruchomić agenta zdalnego, użyj Dockera w przypadku każdej maszyny wirtualnej lub każdego serwera.
Sprawdź, czy zapora sieciowa maszyny wirtualnej agenta zdalnego zezwala na cały ruch wychodzący zainicjowany na porcie 443 dla zakresu adresów IP IAP-TCP 35.235.240.0/20. Zapoznaj się z sekcją Sprawdzanie konfiguracji zapory sieciowej dla innych domen, na które zapora sieciowa maszyny wirtualnej agenta zdalnego ma zezwalać na ruch wychodzący.

Dodawanie oprogramowania sprzęgającego aplikacji i instalowanie agenta zdalnego

Dodaj oprogramowanie sprzęgające aplikacji:
1. Zaloguj się w usłudze konsoli administracyjnej Google.
  Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
2. W konsoli administracyjnej otwórz Menu AplikacjeAplikacje internetowe i mobilne.
3. Kliknij kartę Oprogramowanie sprzęgające BeyondCorp Enterprise (BCE).
4. Kliknij Dodaj oprogramowanie sprzęgające
5. Wprowadź nazwę oprogramowania sprzęgającego. Na przykład: connect-myapp.
6. Wybierz region blisko środowiska innego niż Google.
7. Kliknij Dodaj oprogramowanie sprzęgające.
8. Aby wyświetlić stan, w prawym górnym rogu kliknij Twoje zadania.
Utwórz instancję maszyny wirtualnej do hostowania agenta zdalnego.
Postępuj zgodnie z instrukcjami podanymi przez administratora sieci lub dostawcę chmury. Zobacz informacje na temat tworzenia maszyny wirtualnej w sieci innej niż Google.
Zainstaluj agenta zdalnego.
1. Kliknij nazwę oprogramowania sprzęgającego aplikacji.
2. Kliknij Zainstaluj agenta zdalnego.
3. W środowisku innym niż Google zainstaluj agenta zdalnego:
  - Utwórz maszynę wirtualną do hostowania agenta zdalnego. Postępuj zgodnie z instrukcjami podanymi przez administratora sieci lub dostawcę chmury.
  - Zainstaluj Docker, który jest wymagany do uruchamiania agenta zdalnego. Instrukcje znajdziesz w dokumentacji online dotyczącej instalowania Docker Engine.
  - Zainstaluj i zarejestruj agenta zdalnego za pomocą poleceń interfejsu wiersza poleceń wyświetlanych na stronie oprogramowania sprzęgającego aplikacji Google Workspace.
  - Skopiuj i wklej klucz publiczny, który wyświetli się po zarejestrowaniu agenta zdalnego.
4. Kliknij Zapisz.

Na stronie oprogramowania sprzęgającego aplikacji powinna się wyświetlić się informacja, że klucz publiczny został dodany.

Ograniczanie dostępu i uwierzytelniania

Administrator, który utworzył aplikację, może zdecydować o warunkach, w których użytkownik będzie mógł uzyskać do niej dostęp. Możesz na przykład zezwolić na dostęp użytkownikom z określonej domeny lub zezwolić na dostęp tylko o określonych godzinach lub w określone dni. W przypadku odmowy dostępu użytkownik zostanie przekierowany na konkretną stronę.

Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
W konsoli administracyjnej otwórz Menu AplikacjeAplikacje internetowe i mobilne.
Kliknij kartę Aplikacje i wybierz aplikację, aby otworzyć stronę z informacjami na jej temat.
Kliknij Ustawienia zaawansowane.

Strona docelowa 403 – wpisz adres internetowy, na który użytkownicy będą przekierowywani, jeśli odmówią dostępu do aplikacji. Użyj formatu https://<url>.
Domena uwierzytelniania – wpisz adres URL logowania jednokrotnego (SSO) dla Twojej organizacji, aby użytkownicy mogli logować się przy użyciu danych logowania organizacji. Dzięki temu zostanie zablokowany dostęp użytkownikom, którzy nie mają prawidłowych danych logowania do Twojej domeny Google Workspace. Użyj formatu: sso.twoja.organizacja.com
Dozwolone domeny – zaznacz pole Włącz dozwolone domeny, aby ograniczyć dostęp użytkowników tylko do określonych domen. Rozdziel wpisy przecinkami. Na przykład: test.twoja.organizacja.com, prod.twoja.organizacja.com.
Ponowne uwierzytelnianie – użyj tych opcji, aby wymagać od użytkowników ponownego uwierzytelniania po upływie określonego czasu. Możesz na przykład użyć dotykowego klucza bezpieczeństwa lub weryfikacji dwuetapowej.
- Logowanie: wymagaj od użytkowników ponownego uwierzytelnienia przy użyciu nazwy użytkownika lub hasła po upływie określonego czasu.
- Klucz bezpieczeństwa: wymagaj od użytkowników ponownego uwierzytelnienia przy użyciu klucza bezpieczeństwa.
- Zarejestrowane uwierzytelnianie dwuskładnikowe: wymuszaj ponowne uwierzytelnianie przy użyciu metody uwierzytelniania dwuskładnikowego.

Więcej informacji znajdziesz w artykule na temat ponownego uwierzytelniania IAP.

Przypisywanie kontroli dostępu zależnego od kontekstu

Za pomocą dostępu zależnego od kontekstu możesz kontrolować, do których prywatnych aplikacji użytkownicy mają dostęp w zależności od kontekstu – na przykład zależnie od zgodności urządzenia z zasadami IT obowiązującymi w firmie.

Możesz na przykład utworzyć szczegółowe zasady kontroli dostępu do aplikacji uzyskujących dostęp do danych Google Workspace na podstawie atrybutów takich jak tożsamość użytkownika, lokalizacja, stan zabezpieczeń urządzenia czy adres IP.

Więcej informacji znajdziesz w artykule Przypisywanie poziomów dostępu do aplikacji prywatnych.

Czy to było pomocne?

Jak możemy ją poprawić?