部署专用 Web 应用

专用 Web 应用是为组织的内部用户（例如员工和承包商）创建的。您可以在 Google 管理控制台中使用 Chrome Enterprise Premium 部署这些应用。

将应用添加到您的 Google Workspace 账号

专用应用可托管在 Google Cloud、其他云服务提供商或本地数据中心。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标应用 Web 应用和移动应用。
点击添加应用添加专用 Web 应用。
在“应用详细信息”下，输入应用名称和用户访问该应用的网址。
指定应用的托管位置：
- 在 Google Cloud 上托管的应用 - 在“应用主机详细信息”下输入 Private Service Connect (PSC) 网址。如需了解详情，请参阅适用于 Google Cloud 上托管的应用的设置。
- 在其他云服务提供商中托管的 HTTPS 应用 - 输入内部网址和端口号。不支持 HTTP 应用。如需了解详情，请参阅适用于在其他云服务提供商或本地数据中心中托管的应用的设置。
  
  为获得最佳性能，请选择距应用的托管位置最近的区域，然后选择连接应用所需的应用连接器。
点击 Add Application（添加应用）。

适用于在 Google Cloud 上托管的应用的设置

创建 Private Service Connect (PSC) 网址以连接您环境中的专用应用。

如需设置 PSC 网址，请创建内部负载均衡器，然后创建使用内部 IP 地址的服务连接。

创建内部负载均衡器

Google Workspace 中的专用应用应通过启用了全球访问权限的内部负载均衡器发布。如需了解详情，请参阅通过自动批准发布服务。

为计算或 GKE 资源创建内部负载均衡器

准备工作：如需允许进行安全的 HTTPS 通信，请设置配置为在端口 443 上处理请求的实例组。实例组在后端配置标签页中进行选择。

在 Google Cloud 控制台中，转到负载均衡页面。
点击创建负载均衡器。
点击 Start Configuration for Network Load Balancer (TCP/SSL)（开始配置网络负载均衡器 [TCP/SSL]），然后选择以下各项：
1. 负载均衡器的类型 - 网络负载均衡器 (TCP/UDP/SSL)。
2. 代理或直通式 - 直通式。
3. 面向互联网或仅限内部 - 内部。
4. 点击下一步。
5. 点击继续。
输入负载均衡器名称，然后选择将在其中部署负载均衡器的区域和网络。
重要提示：您为负载均衡器选择的网络必须与实例组使用的网络相同。
选择后端配置标签页。
1. 协议 - 选择 TCP。
2. IP 栈类型 - 选择 IPv4。
3. 选择一个实例组。
  如需创建实例组，请参阅实例组。
4. 从列表中选择一项健康检查。如需创建新的健康检查，请执行以下操作：
  1. 选择创建健康检查。
  2. 为健康检查输入名称（例如：ping-port）。
  3. 选择区域级范围。
  4. 对于协议，选择 HTTPS。
  5. 将端口保留为 443。
  6. 对于代理协议，选择无。
  7. 对于请求路径，保留“/”。
  8. 启用日志。
  9. 保留健康标准的默认值。
选择前端配置标签页
1. （可选）输入前端的名称。
2. 对于 IP 版本，选择 IPv4。
3. 选择子网。
4. 对于内部 IP 地址，选择非共享。
5. 对于端口，选择单个。
6. 输入端口号 443。
7. 对于全球访问权限，选择启用。
选择检查并最终确定标签页，查看您的负载均衡器配置设置。
点击创建。

为 Cloud Run 资源创建内部负载均衡器

在 Google Cloud 控制台中，转到负载均衡页面。
点击创建负载均衡器。
点击 Start Configuration for application load balancer (HTTP/S)（开始配置应用负载均衡器 [HTTP/S]），然后选择以下各项。
1. 负载均衡器类型 - 应用负载均衡器 (HTTP/HTTPS)。
2. 面向互联网或仅限内部 - 内部。
3. 跨区域或单区域部署 - 单区域。
4. 点击下一步。
5. 点击配置。
输入负载均衡器名称，然后选择将在其中部署负载均衡器的区域和网络。
选择后端配置标签页。
1. 创建或选择后端服务。
2. 如果要创建服务，请选择后端类型无服务器网络端点组，然后选择一个网络端点组。
3. 如果您没有无服务器网络端点，请选择相应选项以创建新端点。
  在创建无服务器网络端点组之前，请先创建该端点组将指向的 Cloud Run 服务。
选择前端配置标签页
1. 协议 - 选择 HTTPS。
2. 选择子网。
3. 如果您尚未完成，请完成屏幕上的步骤来预留子网。
4. 启用全球访问权限。
5. 对于证书，您可以选择创建新证书，也可以选择现有证书。
点击创建。

创建服务连接网址

如需设置 PSC 网址，请创建使用内部 IP 地址的服务连接。

在 Google Cloud 控制台中，转到 Private Service Connect 页面。
点击发布服务标签页。
点击发布服务。
为要发布的服务选择负载均衡器类型：
- 内部直通式网络负载均衡器
- 区域级内部代理网络负载均衡器
- 区域级内部应用负载均衡器
选择托管您要发布的服务的内部负载均衡器。
“网络”和“区域”字段会填充所选内部负载均衡器的详细信息。
对于服务名称，输入服务连接的名称。
为该服务选择一个或多个子网。如果要添加新子网，您可以按照如下方式创建一个：
- 点击预留新子网。
- 输入子网的名称和（可选）说明。
- 为子网选择区域。
- 输入用于子网的 IP 范围，然后点击添加。
对于连接偏好设置，选择 Automatically accept all connections（自动接受所有连接）。
点击添加服务。
点击已发布的服务。使用服务连接字段中的服务连接名称来创建网址：
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
输入在 Google Workspace 中添加专用应用时所用的网址。请参阅将应用添加到您的 Workspace 账号。

适用于在其他云服务提供商或本地数据中心中托管的应用的设置

如需将您的云或本地网络安全地连接到 Google Cloud，请添加应用连接器。

借助应用连接器，您可以将应用从其他云安全地连接到 Google，而无需站点到站点 VPN。

在非 Google 网络上创建虚拟机

您必须在非 Google 环境中的专用虚拟机 (VM) 或任何裸金属服务器上安装每个应用连接器远程代理。

如需创建虚拟机，请向网络管理员寻求帮助，或按照云服务提供商提供的说明操作。
如需运行远程代理，请在每个虚拟机或服务器上使用 Docker。
确保远程代理虚拟机的网络防火墙允许在端口 443 上针对 IAP-TCP IP 范围 35.235.240.0/20 发起的所有出站流量。如需了解远程代理虚拟机的防火墙应允许出站流量传向哪些其他网域，请参阅验证防火墙配置。

添加应用连接器并安装远程代理

添加应用连接器：
1. 登录您的 Google 管理控制台。
  请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
2. 在管理控制台中，依次点击“菜单”图标应用 Web 应用和移动应用。
3. 点击 BeyondCorp Enterprise (BCE) 连接器标签页。
4. 点击添加连接器。
5. 输入连接器名称，例如 connect-myapp。
6. 选择靠近非 Google 环境的区域。
7. 点击添加连接器。
8. 如需查看状态，请点击右上角的 您的任务。
创建虚拟机实例以托管远程代理。
请按照网络管理员或云服务提供商提供的说明操作。请参阅在非 Google 网络上创建虚拟机。
安装远程代理。
1. 点击应用连接器名称。
2. 点击安装远程代理。
3. 在非 Google 环境中，安装远程代理：
  - 创建虚拟机 (VM) 实例以托管远程代理。请按照网络管理员或云服务提供商提供的说明操作。
  - 安装运行远程代理所需的 Docker。如需查看说明，请参阅有关安装 Docker Engine 的在线文档。
  - 使用 Google Workspace 应用连接器页面中显示的 CLI 命令安装和注册远程代理。
  - 复制并粘贴远程代理成功注册后显示的公钥。
4. 点击保存。

应用连接器页面应显示已成功添加公钥。

限制访问权限和身份验证

创建应用的管理员可以决定用户在何种条件下能够访问应用。例如，您可以限制来自特定网域的用户的访问权限，或者仅在特定时间或特定日期允许访问。如果访问遭拒，用户会被重定向到特定页面。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标应用 Web 应用和移动应用。
点击应用标签页，然后点击相应应用以打开详情页面。
点击高级设置。

403 着陆页 - 输入在用户访问应用遭拒时将被重定向到的网址。请使用以下格式：https://<网址>。
身份验证网域 - 输入组织的单点登录 (SSO) 网址，以允许用户使用其组织凭据登录。这也会拒绝没有您 Google Workspace 网域的有效凭据的用户进行访问。请使用以下格式：sso.<您的组织>.com。
允许的网域 - 勾选启用允许的网域复选框，可限制用户只能访问指定的网域。使用英文逗号分隔条目。例如：test.<您的组织>.com, prod.<您的组织>.com。
重新验证 - 使用这些选项可要求用户在一段时间后重新进行身份验证。例如，您可以使用轻触安全密钥或两步验证。
- 登录：要求用户在登录指定时间后使用用户名/密码重新进行身份验证。
- 安全密钥：要求用户使用安全密钥重新进行身份验证。
- 已注册的双重身份验证方法：要求用户使用双重身份验证 (2FA) 方法重新进行身份验证。

如需了解详情，请参阅 IAP 重新身份验证。

分配情境感知访问权限控制

利用情境感知访问权限，您可以根据用户的具体情景（例如其设备是否符合 IT 政策）控制其可以访问的专用应用。

例如，您可以根据用户身份、位置、设备安全状态和 IP 地址等属性，针对访问 Google Workspace 数据的应用创建精细的访问权限控制政策。

如需了解详情，请参阅为专用应用分配访问权限级别。

该内容对您有帮助吗？

您有什么改进建议？