专用 Web 应用是为组织内部用户(例如员工和承包商)创建的。您可以在 Workspace 管理控制台中使用 BeyondCorp Enterprise (BCE) 部署这些应用。
将该应用添加到您的 Workspace 账号
专用应用可托管在 Google Cloud、其他云服务提供商或本地数据中心。
-
-
在管理控制台中,依次点击“菜单”图标
应用
Web 应用和移动应用。
- 点击添加应用
- 在“应用详细信息”下,输入应用名称和用户访问该应用的网址。
- 选择应用的托管位置:
- 在 Google Cloud 上托管的应用 - 在“应用主机详细信息”下输入 Private Service Connect (PSC) 网址。如需了解详情,请参阅针对托管在 Google Cloud 上的应用的设置。
- 托管在其他云服务商的 HTTPS 应用:
- 输入内部网址和端口号。
- 为获得最佳性能,请选择距离应用的托管位置最近的区域,然后选择连接您的应用所需的 BeyondCorp Enterprise (BCE) 应用连接器。
- 不支持 HTTP 应用。
- 如需了解详情,请参阅针对托管在其他云服务商或本地数据中心内的应用的设置
- 点击 Add Application(添加应用)。
Google Cloud 上托管的应用的设置
创建 Private Service Connect (PSC) 网址以连接您环境中的专用应用。
如需设置 PSC 网址,请创建内部负载均衡器,然后创建使用内部 IP 地址的服务连接。
创建内部负载均衡器
Google Workspace 中的专用应用应通过启用了全球访问权限的内部负载均衡器发布。如需了解详情,请参阅发布具有自动审批功能的服务。
为计算或 GKE 资源创建内部负载均衡器
- 在 Google Cloud 控制台中,转到负载均衡页面。
- 点击创建负载均衡器。
- 点击开始配置网络负载均衡器 (TCP/SSL)。
- 对于“面向互联网或仅限内部”,请选择仅在我的虚拟机之间。
- 请勿更改其余的默认值。
- 点击继续。
- 输入负载均衡器名称,然后选择将在其中部署负载均衡器的区域和网络。
- 选择后端配置标签页
- 选择资源的后端类型。
- 提供服务的健康检查。
- 请勿更改其余的默认值。
- 选择前端配置标签页
- 选择启用全球访问权限。
- 选择子网。
- 输入端口号。
- 请勿更改其余的默认值。
- 点击创建。
为 Cloud Run 资源创建内部负载均衡器
- 在 Google Cloud 控制台中,转到负载均衡页面。
- 点击创建负载均衡器。
- 点击开始配置应用负载均衡器 (HTTP/S)。
- 选择仅在我的虚拟机之间或无服务器服务。
- 点击继续。
- 输入负载均衡器名称,然后选择将在其中部署负载均衡器的区域和网络。
- 选择前端配置标签页
- 选择子网。
- 如果您尚未预留子网,请完成屏幕上的步骤。
- 选择后端配置标签页。
- 创建或选择后端服务。
- 如果要创建服务,请选择无服务器网络端点组。
- 点击创建。
创建服务连接网址
如需设置 PSC 网址,请创建一个使用内部 IP 地址的服务连接。
- 在 Google Cloud 控制台中,转到 Private Service Connect 页面。
- 点击发布服务标签页。
- 点击发布服务。
- 为要发布的服务选择负载均衡器类型:
- 内部直通式网络负载均衡器
- 区域级内部代理网络负载均衡器
- 区域级内部应用负载均衡器
- 选择托管您要发布的服务的内部负载均衡器。
“网络”和“区域”字段会填充所选内部负载均衡器的详细信息。 - 对于服务名称,输入服务连接的名称。
- 为该服务选择一个或多个子网。如果要添加新子网,您可以按照如下方式创建一个:
- 点击预留新子网
- 输入子网的名称和(可选)说明。
- 为子网选择区域。
- 输入用于子网的 IP 范围,然后点击添加。
- 选择自动接受连接。
- 点击添加服务。
- 点击已发布的服务。“服务连接”字段包含服务连接名称。网址为:
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
针对托管在其他云服务商或本地数据中心内的应用的设置
如需将您的云端或本地网络安全地连接到 Google Cloud,请添加应用连接器。
借助应用连接器,您可以将应用从其他云安全地连接到 Google,而无需站点到站点 VPN。
在非 Google 网络上创建虚拟机
每个应用连接器远程代理都必须安装在非 Google 环境中的专用虚拟机 (VM) 或任何 Bare Metal 服务器上。
- 如需创建虚拟机,请向网络管理员寻求帮助,或按照云服务提供商提供的说明操作。
- 每个虚拟机或服务器上也需要 Docker 来运行远程代理。
- 确保远程代理虚拟机网络防火墙允许 IAP-TCP IP 范围 35.235.240.0/20 下从端口 443 发起的所有出站流量。如需了解远程代理虚拟机防火墙应允许出站流量传入哪些其他网域,请参阅验证防火墙配置。
添加应用连接器并安装远程代理
应用连接器要求每个托管应用的非 Google 网络都安装并运行远程代理。远程代理可启动并维护安全的网络连接,并在 Google Workspace 与应用之间路由流量。
- 添加应用连接器:
-
-
在管理控制台中,依次点击“菜单”图标
- 点击 BeyondCorp Enterprise (BCE) 连接器标签页。
- 点击添加连接器。
- 输入连接器名称,例如 connect-myapp。
- 选择靠近非 Google 环境的区域。
- 点击添加连接器。
- 要查看状态,请点击右上角的
-
- 创建虚拟机 (VM) 实例来托管远程代理。
请按照网络管理员或云服务提供商提供的说明操作。请参阅在非 Google 网络上创建虚拟机。 - 安装远程代理。
- 点击应用连接器名称。
- 点击安装远程代理。
- 在非 Google 环境中,安装远程代理:
- 创建虚拟机 (VM) 实例来托管远程代理。请按照网络管理员或云服务提供商提供的说明操作。
- 安装运行远程代理所需的 Docker。如需查看说明,请参阅有关安装 Docker Engine 的在线文档。
- 使用 Google Workspace 应用连接器页面中显示的 CLI 命令安装和注册远程代理。
- 复制并粘贴远程代理成功注册后显示的公钥。
- 点击保存。
应用连接器页面应显示已成功添加公钥。
限制访问权限和身份验证
-
-
在管理控制台中,依次点击“菜单”图标
- 点击应用标签页,然后点击相应应用以打开详情页面。
- 点击高级设置。
- 403 着陆页 - 输入在用户访问应用被拒时将被重定向到的网址。请使用以下格式:https://<网址>。
- 身份验证网域 - 输入贵组织的单点登录 (SSO) 网址,以允许用户使用其组织凭据登录。如果用户没有您的 Workspace 网域的有效凭据,则系统也会拒绝用户访问。请使用以下格式:sso.<您的组织>.com。
- 允许的网域 - 勾选启用允许的网域复选框,可限制用户只能访问指定的网域。使用逗号分隔条目。例如:test.<您的组织>.com、prod.<您的组织>.com。
- 重新验证 - 使用这些选项可以要求用户在一段时间后重新进行身份验证。例如,您可以使用触控安全密钥或两步验证。
- 登录:要求用户在登录指定时间后使用用户名/密码重新进行身份验证。
- 安全密钥:要求用户使用安全密钥重新进行身份验证。
- 已注册的双重身份验证:要求用户使用双重身份验证 (2FA) 方法重新进行身份验证。
如需了解详情,请参阅 IAP 重新身份验证。
分配情境感知访问权限控制
利用情境感知访问权限,您可以根据用户的具体情况(例如他们的设备是否符合 IT 政策)控制他们可以访问哪些专用应用。
举例来说,您可以根据用户身份、位置、设备安全状态和 IP 地址等属性,针对访问 Workspace 数据的应用创建精细的访问权限控制政策。
有关详情,请参阅为专用应用分配访问权限级别。
