Уведомление

На смену Duet AI приходит Gemini для Google Workspace. Подробнее…

Как развернуть частное веб-приложение

Частные веб-приложения создаются для внутренних пользователей организации, например сотрудников и подрядчиков. Эти приложения можно развернуть с помощью BeyondCorp Enterprise (BCE) в консоли администратора Workspace.

Как добавить приложение в аккаунт Workspace

Частные приложения можно разместить в Google Cloud, облачном сервисе стороннего поставщика или локальном центре обработки данных.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Приложенияа затемМобильные и веб-приложения.

  3. Нажмите Добавить приложениеа затемДобавить частное веб-приложение.
  4. В разделе "Сведения о приложении" укажите для приложения название и URL, с помощью которого пользователи могут получить к нему доступ.
  5. Выберите место, где размещено ваше приложение:
    1. Приложения, размещенные в Google Cloud – укажите URL Private Service Connect (PSC) в разделе сведений о хосте приложения. Подробные сведения можно найти в разделе Настройки для приложений, размещенных в Google Cloud.
    2. Приложения HTTPS, размещенные в облачном сервисе стороннего поставщика:
  6. Нажмите Добавить приложение.

Настройки для приложений, размещенных в Google Cloud

Создайте URL Private Service Connect (PSC), чтобы подключить частные приложения к среде.

Чтобы настроить URL PSC, создайте внутренний балансировщик нагрузки, а затем создайте подключение к сервису, для которого используется внутренний IP-адрес.

Как создать внутренний балансировщик нагрузки

Частные приложения в Google Workspace нужно публиковать за внутренним балансировщиком нагрузки с включенным глобальным доступом. Подробнее о том, как опубликовать сервис с автоматическим одобрением

Как создать внутренний балансировщик нагрузки для ресурса Compute или GKE

  1. В консоли Google Cloud перейдите на страницу Балансировка нагрузки.
  2. Нажмите Создать балансировщик нагрузки.
  3. Выберите Начать настройку сетевого балансировщика нагрузки (TCP/SSL).
    • Если система будет подключена к интернету или будет только внутренней, выберите Только между ВМ.
    • Не меняйте значения по умолчанию для остальных параметров.
    • Нажмите Продолжить.
  4. Укажите название балансировщика нагрузки и выберите регион и сеть, где его нужно развернуть.
  5. Перейдите на вкладку Конфигурация серверной группы.
    • Выберите для ресурса значение параметра Тип серверной группы.
    • Предоставьте проверку состояния сервиса.
    • Не меняйте значения по умолчанию для остальных параметров.
  6. Перейдите на вкладку Конфигурация интерфейсной ВМ.
    • Выберите Разрешить глобальный доступ.
    • Выберите подсеть.
    • Укажите номер порта.
    • Не меняйте значения по умолчанию для остальных параметров.
  7. Нажмите Создать.

Как создать внутренний балансировщик нагрузки для ресурса Cloud Run

  1. В консоли Google Cloud перейдите на страницу Балансировка нагрузки.
  2. Нажмите Создать балансировщик нагрузки.
  3. Выберите Начать настройку балансировщика нагрузки приложения (HTTP/S).
    1. Выберите Только между ВМ или Бессерверные сервисы.
    2. Нажмите Продолжить.
  4. Укажите название балансировщика нагрузки и выберите регион и сеть, где его нужно развернуть.
  5. Перейдите на вкладку Конфигурация интерфейсной ВМ.
    1. Выберите подсеть.
    2. Выполните указанные на экране действия, чтобы зарезервировать подсеть, если вы этого ещё не сделали.
  6. Перейдите на вкладку Конфигурация серверной группы.
    1. Создайте или выберите серверную службу.
    2. Если вы будете создавать службу, выберите группу конечных точек бессерверной сети.
  7. Нажмите Создать.

Как создать URL подключения к сервису

Чтобы настроить URL PSC, создайте подключение к сервису, для которого используется внутренний IP-адрес.

  1. В консоли Google Cloud откройте страницу Private Service Connect.
  2. Перейдите на вкладку Опубликовать сервис.
  3. Нажмите Опубликовать сервис.
  4. Выберите Тип балансировщика нагрузки для сервиса, который нужно опубликовать:
    • Сетевой балансировщик нагрузки для внутренней сквозной передачи.
    • Сетевой балансировщик нагрузки регионального внутреннего прокси-сервера.
    • Региональный внутренний балансировщик нагрузки приложений.
  5. Выберите Внутренний балансировщик нагрузки, где размещен сервис, который нужно опубликовать.
    В поля сети и региона подставляются данные выбранного внутреннего балансировщика нагрузки.
  6. В поле Название сервиса укажите название подключения к сервису.
  7. Выберите для сервиса одну или несколько подсетей. Чтобы добавить новую подсеть, ее можно создать:
    • Нажмите Зарезервировать новую подсеть.
    • Укажите название и, если нужно, описание подсети.
    • Выберите регион.
    • Укажите диапазон IP-адресов для подсети и нажмите Добавить.
  8. Выберите Автоматически принимать подключения.
  9. Нажмите Добавить сервис.
  10. Нажмите на опубликованный сервис. В поле "Подключение сервиса" будет указано название подключения сервиса. URL будет следующим:
    https://www.googleapis.com/compute/v1/NAZVANIYE_PODKLYUCHENIYA

Настройки для приложений, размещенных в облачных сервисах сторонних поставщиков или локальных центрах обработки данных

Чтобы безопасным образом подключить облачную или локальную сеть к Google Cloud, добавьте коннектор приложений.

С помощью коннекторов приложений можно подключать приложения из других облачных сервисов к Google без VPN-подключения между сайтами.

Как создать ВМ в сети, не принадлежащей Google

Удаленный агент для каждого коннектора приложений нужно устанавливать на отдельной виртуальной машине или любом сервере без ОС в среде, не принадлежащей Google.

  • Попросите администратора создать виртуальную машину или следуйте инструкциям поставщика облачного сервиса.
  • Для запуска удаленного агента на каждой ВМ должен быть установлен Docker.
  • Убедитесь, что сетевой брандмауэр ВМ удаленного агента разрешает весь исходящий трафик через порт 443 для диапазона IP-адресов IAP-TCP 35.235.240.0/20. Другие домены, для которых брандмауэр должен разрешать исходящий трафик, указаны в разделе Проверьте конфигурацию брандмауэра.

Как добавить коннектор приложений и установить удаленный агент

Для использования коннекторов приложений нужно, чтобы удаленный агент был установлен и запущен в каждой сети, не принадлежащей Google, в которой размещены ваши приложения. Удаленный агент устанавливает и поддерживает защищенное сетевое подключение и направляет трафик между Google Workspace и приложением.

  1. Чтобы добавить коннектор приложений:
    1. Войдите в консоль администратора Google.

      Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

    2. В консоли администратора нажмите на значок меню а затем Приложенияа затемМобильные и веб-приложения.

    3. Перейдите на вкладку Коннекторы BeyondCorp Enterprise (BCE).
    4. Нажмите Добавить коннектор.
    5. Введите название коннектора, например connect-myapp.
    6. Выберите регион, который находится недалеко от среды, не принадлежащей Google.
    7. Нажмите Добавить коннектор.
    8. Чтобы посмотреть статус, в правой верхней части страницы выберите а затемВаши задачи.
  2. Создайте экземпляр виртуальной машины для размещения удаленного агента.
    Следуйте инструкциям администратора сети или поставщика облачного сервиса. Подробнее о том, как создать ВМ в сети, не принадлежащей Google
  3. Установите удаленный агент.
    1. Нажмите на название коннектора приложения.
    2. Выберите Установить удаленный агент.
    3. Установите удаленный агент в среде, не принадлежащей Google:
      • Создайте экземпляр виртуальной машины для размещения удаленного агента. Следуйте инструкциям администратора сети или поставщика облачного сервиса.
      • Установите Docker, который необходим для работы удаленного агента. Инструкции по установке Docker Engine можно найти в онлайн-документации.
      • Установите и зарегистрируйте удаленный агент, используя команды CLI, которые показаны на странице коннектора приложений Google Workspace.
      • Скопируйте и вставьте открытый ключ, который появится после регистрации удаленного агента.
    4. Нажмите Сохранить.

Теперь на странице коннектора приложений должен быть показан добавленный открытый ключ.

Как ограничить доступ и аутентификацию

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Приложенияа затемМобильные и веб-приложения.

  3. Перейдите на вкладку Приложения, а затем нажмите на приложение, чтобы открыть страницу сведений.
  4. Нажмите Расширенные настройки.
    • Целевая страница 403 – укажите веб-адрес, на который будут перенаправлены пользователи, если им будет отказано в доступе к приложению. Используйте формат https://<url>.
    • Домен аутентификации – укажите URL системы единого входа организации, чтобы пользователи могли входить с помощью учетных данных организации. При этом также будет заблокирован доступ пользователей, у которых нет действительных учетных данных для домена Workspace. Используйте формат sso.your.org.com.
    • Разрешенные домены – установите флажок Включить разрешенные домены, чтобы разрешить пользователям доступ только к указанным доменам, которые нужно перечислить через запятую. Пример: test.your.org.com, prod.your.org.com.
    • Повторная аутентификация – используйте эти параметры, чтобы пользователям нужно было выполнять повторную аутентификацию через заданный интервал времени. Например, можно потребовать использовать электронный ключ или двухэтапную аутентификацию.
  • Вход. Пользователям нужно будет выполнять повторную аутентификацию с помощью имени пользователя и пароля через определенное время после входа.
  • Электронный ключ. Пользователям нужно будет выполнять повторную аутентификацию с помощью своего электронного ключа.
  • Двухэтапная аутентификация. Пользователям нужно будет выполнять повторную аутентификацию с помощью метода двухэтапной аутентификации.

Подробнее о повторной аутентификации IAP

Как настроить контекстно-зависимый доступ

Используя контекстно-зависимый доступ, можно контролировать доступ пользователей к частным приложениям на основе контекста. Одним из критериев может быть, например, соответствие устройства пользователя корпоративным правилам.

Например, можно настроить правила управления доступом для приложений, работающих с данными Workspace, на основе таких атрибутов, как идентификатор пользователя, местоположение, уровень безопасности устройства и IP-адрес.

Подробнее о назначении уровней доступа частным веб-приложениям

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
5402277037823300423
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false