Частные веб-приложения создаются для внутренних пользователей организации, например сотрудников и подрядчиков. Эти приложения можно развернуть с помощью BeyondCorp Enterprise (BCE) в консоли администратора Workspace.
Как добавить приложение в аккаунт Workspace
Частные приложения можно разместить в Google Cloud, облачном сервисе стороннего поставщика или локальном центре обработки данных.
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
- Нажмите Добавить приложениеДобавить частное веб-приложение.
- В разделе "Сведения о приложении" укажите для приложения название и URL, с помощью которого пользователи могут получить к нему доступ.
- Выберите место, где размещено ваше приложение:
- Приложения, размещенные в Google Cloud – укажите URL Private Service Connect (PSC) в разделе сведений о хосте приложения. Подробные сведения можно найти в разделе Настройки для приложений, размещенных в Google Cloud.
- Приложения HTTPS, размещенные в облачном сервисе стороннего поставщика:
- Укажите внутренний URL и номер порта.
- Чтобы обеспечить наилучшее качество связи, выберите регион, который расположен ближе всего к месту размещения приложения, а затем выберите коннекторы приложения BeyondCorp Enterprise (BCE), необходимые для подключения приложения.
- Приложения HTTP не поддерживаются.
- Подробные сведения приведены в разделе Настройки для приложений, размещенных в облачных сервисах сторонних поставщиков или локальных центрах обработки данных.
- Нажмите Добавить приложение.
Настройки для приложений, размещенных в Google Cloud
Создайте URL Private Service Connect (PSC), чтобы подключить частные приложения к среде.
Чтобы настроить URL PSC, создайте внутренний балансировщик нагрузки, а затем создайте подключение к сервису, для которого используется внутренний IP-адрес.
Как создать внутренний балансировщик нагрузки
Частные приложения в Google Workspace нужно публиковать за внутренним балансировщиком нагрузки с включенным глобальным доступом. Подробнее о том, как опубликовать сервис с автоматическим одобрением…
Как создать внутренний балансировщик нагрузки для ресурса Compute или GKE
- В консоли Google Cloud перейдите на страницу Балансировка нагрузки.
- Нажмите Создать балансировщик нагрузки.
- Выберите Начать настройку сетевого балансировщика нагрузки (TCP/SSL).
- Если система будет подключена к интернету или будет только внутренней, выберите Только между ВМ.
- Не меняйте значения по умолчанию для остальных параметров.
- Нажмите Продолжить.
- Укажите название балансировщика нагрузки и выберите регион и сеть, где его нужно развернуть.
- Перейдите на вкладку Конфигурация серверной группы.
- Выберите для ресурса значение параметра Тип серверной группы.
- Предоставьте проверку состояния сервиса.
- Не меняйте значения по умолчанию для остальных параметров.
- Перейдите на вкладку Конфигурация интерфейсной ВМ.
- Выберите Разрешить глобальный доступ.
- Выберите подсеть.
- Укажите номер порта.
- Не меняйте значения по умолчанию для остальных параметров.
- Нажмите Создать.
Как создать внутренний балансировщик нагрузки для ресурса Cloud Run
- В консоли Google Cloud перейдите на страницу Балансировка нагрузки.
- Нажмите Создать балансировщик нагрузки.
- Выберите Начать настройку балансировщика нагрузки приложения (HTTP/S).
- Выберите Только между ВМ или Бессерверные сервисы.
- Нажмите Продолжить.
- Укажите название балансировщика нагрузки и выберите регион и сеть, где его нужно развернуть.
- Перейдите на вкладку Конфигурация интерфейсной ВМ.
- Выберите подсеть.
- Выполните указанные на экране действия, чтобы зарезервировать подсеть, если вы этого ещё не сделали.
- Перейдите на вкладку Конфигурация серверной группы.
- Создайте или выберите серверную службу.
- Если вы будете создавать службу, выберите группу конечных точек бессерверной сети.
- Нажмите Создать.
Как создать URL подключения к сервису
Чтобы настроить URL PSC, создайте подключение к сервису, для которого используется внутренний IP-адрес.
- В консоли Google Cloud откройте страницу Private Service Connect.
- Перейдите на вкладку Опубликовать сервис.
- Нажмите Опубликовать сервис.
- Выберите Тип балансировщика нагрузки для сервиса, который нужно опубликовать:
- Сетевой балансировщик нагрузки для внутренней сквозной передачи.
- Сетевой балансировщик нагрузки регионального внутреннего прокси-сервера.
- Региональный внутренний балансировщик нагрузки приложений.
- Выберите Внутренний балансировщик нагрузки, где размещен сервис, который нужно опубликовать.
В поля сети и региона подставляются данные выбранного внутреннего балансировщика нагрузки. - В поле Название сервиса укажите название подключения к сервису.
- Выберите для сервиса одну или несколько подсетей. Чтобы добавить новую подсеть, ее можно создать:
- Нажмите Зарезервировать новую подсеть.
- Укажите название и, если нужно, описание подсети.
- Выберите регион.
- Укажите диапазон IP-адресов для подсети и нажмите Добавить.
- Выберите Автоматически принимать подключения.
- Нажмите Добавить сервис.
- Нажмите на опубликованный сервис. В поле "Подключение сервиса" будет указано название подключения сервиса. URL будет следующим:
https://www.googleapis.com/compute/v1/NAZVANIYE_PODKLYUCHENIYA
Настройки для приложений, размещенных в облачных сервисах сторонних поставщиков или локальных центрах обработки данных
Чтобы безопасным образом подключить облачную или локальную сеть к Google Cloud, добавьте коннектор приложений.
С помощью коннекторов приложений можно подключать приложения из других облачных сервисов к Google без VPN-подключения между сайтами.
Как создать ВМ в сети, не принадлежащей Google
Удаленный агент для каждого коннектора приложений нужно устанавливать на отдельной виртуальной машине или любом сервере без ОС в среде, не принадлежащей Google.
- Попросите администратора создать виртуальную машину или следуйте инструкциям поставщика облачного сервиса.
- Для запуска удаленного агента на каждой ВМ должен быть установлен Docker.
- Убедитесь, что сетевой брандмауэр ВМ удаленного агента разрешает весь исходящий трафик через порт 443 для диапазона IP-адресов IAP-TCP 35.235.240.0/20. Другие домены, для которых брандмауэр должен разрешать исходящий трафик, указаны в разделе Проверьте конфигурацию брандмауэра.
Как добавить коннектор приложений и установить удаленный агент
Для использования коннекторов приложений нужно, чтобы удаленный агент был установлен и запущен в каждой сети, не принадлежащей Google, в которой размещены ваши приложения. Удаленный агент устанавливает и поддерживает защищенное сетевое подключение и направляет трафик между Google Workspace и приложением.
- Чтобы добавить коннектор приложений:
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
- Перейдите на вкладку Коннекторы BeyondCorp Enterprise (BCE).
- Нажмите Добавить коннектор.
- Введите название коннектора, например connect-myapp.
- Выберите регион, который находится недалеко от среды, не принадлежащей Google.
- Нажмите Добавить коннектор.
- Чтобы посмотреть статус, в правой верхней части страницы выберите Ваши задачи.
-
- Создайте экземпляр виртуальной машины для размещения удаленного агента.
Следуйте инструкциям администратора сети или поставщика облачного сервиса. Подробнее о том, как создать ВМ в сети, не принадлежащей Google… - Установите удаленный агент.
- Нажмите на название коннектора приложения.
- Выберите Установить удаленный агент.
- Установите удаленный агент в среде, не принадлежащей Google:
- Создайте экземпляр виртуальной машины для размещения удаленного агента. Следуйте инструкциям администратора сети или поставщика облачного сервиса.
- Установите Docker, который необходим для работы удаленного агента. Инструкции по установке Docker Engine можно найти в онлайн-документации.
- Установите и зарегистрируйте удаленный агент, используя команды CLI, которые показаны на странице коннектора приложений Google Workspace.
- Скопируйте и вставьте открытый ключ, который появится после регистрации удаленного агента.
- Нажмите Сохранить.
Теперь на странице коннектора приложений должен быть показан добавленный открытый ключ.
Как ограничить доступ и аутентификацию
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
- Перейдите на вкладку Приложения, а затем нажмите на приложение, чтобы открыть страницу сведений.
- Нажмите Расширенные настройки.
- Целевая страница 403 – укажите веб-адрес, на который будут перенаправлены пользователи, если им будет отказано в доступе к приложению. Используйте формат https://<url>.
- Домен аутентификации – укажите URL системы единого входа организации, чтобы пользователи могли входить с помощью учетных данных организации. При этом также будет заблокирован доступ пользователей, у которых нет действительных учетных данных для домена Workspace. Используйте формат sso.your.org.com.
- Разрешенные домены – установите флажок Включить разрешенные домены, чтобы разрешить пользователям доступ только к указанным доменам, которые нужно перечислить через запятую. Пример: test.your.org.com, prod.your.org.com.
- Повторная аутентификация – используйте эти параметры, чтобы пользователям нужно было выполнять повторную аутентификацию через заданный интервал времени. Например, можно потребовать использовать электронный ключ или двухэтапную аутентификацию.
- Вход. Пользователям нужно будет выполнять повторную аутентификацию с помощью имени пользователя и пароля через определенное время после входа.
- Электронный ключ. Пользователям нужно будет выполнять повторную аутентификацию с помощью своего электронного ключа.
- Двухэтапная аутентификация. Пользователям нужно будет выполнять повторную аутентификацию с помощью метода двухэтапной аутентификации.
Подробнее о повторной аутентификации IAP…
Как настроить контекстно-зависимый доступ
Используя контекстно-зависимый доступ, можно контролировать доступ пользователей к частным приложениям на основе контекста. Одним из критериев может быть, например, соответствие устройства пользователя корпоративным правилам.
Например, можно настроить правила управления доступом для приложений, работающих с данными Workspace, на основе таких атрибутов, как идентификатор пользователя, местоположение, уровень безопасности устройства и IP-адрес.
Подробнее о назначении уровней доступа частным веб-приложениям…