私人網頁應用程式是專為機構內部使用者 (例如員工和承包商) 所建立。您可以在 Google 管理控制台中使用 Chrome Enterprise Premium 部署這些應用程式。
將應用程式新增到 Google Workspace 帳戶
私人應用程式可以託管於 Google Cloud、其他雲端服務供應商或地端部署資料中心。
-
-
在管理控制台中,依序點選「選單」圖示 「應用程式」「網頁和行動應用程式」。
- 依序按一下「新增應用程式」「新增私人網頁應用程式」。
- 在「應用程式詳細資料」下方,輸入應用程式名稱,以及使用者存取該應用程式所用的網址。
- 指定應用程式的託管位置:
- 由 Google Cloud 託管的應用程式:在「應用程式主機詳細資料」下方輸入 Private Service Connect (PSC) 網址。詳情請參閱「針對由 Google Cloud 託管的應用程式進行設定」。
- 由其他雲端服務供應商託管的 HTTPS 應用程式:輸入內部網址和通訊埠號碼。不支援 HTTP 應用程式。詳情請參閱「針對由其他雲端服務供應商或地端部署資料中心託管的應用程式,進行相關設定」
為獲得最佳效能,請選取距離應用程式託管位置最近的區域,然後選擇連結應用程式所需的應用程式連接器。
- 按一下 Add application。
針對由 Google Cloud 託管的應用程式進行設定
建立 Private Service Connect (PSC) 網址,連結您環境中的私人應用程式。
如要設定 PSC 網址,請建立內部負載平衡器,然後建立使用內部 IP 位址的服務連結。
建立內部負載平衡器
如要發布 Google Workspace 中的私人應用程式,應透過啟用全域存取權的內部負載平衡器。詳情請參閱「發布具有自動核准功能的服務」。
為 Compute 或 GKE 資源建立內部負載平衡器
事前準備:為允許安全的 HTTPS 通訊,請將執行個體群組設為透過通訊埠 443 提供要求。系統會在「後端」設定分頁中選取執行個體群組。
- 在 Google Cloud 控制台中,前往「負載平衡」頁面。
- 點選「建立負載平衡器」。
- 按一下「開始設定網路負載平衡器 (TCP/SSL)」,然後選取下列選項:
- 負載平衡器類型:網路負載平衡器 (TCP/UDP/SSL)。
- 直通或使用 Proxy:直通。
- 網際網路對向或僅限內部:內部。
- 按一下「Next」。
- 按一下 [繼續]。
- 輸入負載平衡器名稱,然後選取要部署負載平衡器的區域和網路。
重要事項:您為負載平衡器選擇的網路必須與執行個體群組使用的網路相同。 - 選取「後端設定」分頁標籤。
- 通訊協定:選取「TCP」。
- IP 堆疊類型:選取「IPv4」。
- 選取執行個體群組。
如要建立執行個體群組,請前往執行個體群組。 - 從清單中選取健康狀態檢查。如要建立新的健康狀態檢查:
- 選取「建立健康狀態檢查」。
- 輸入健康狀態檢查的名稱 (例如:ping-port)。
- 選取「區域範圍」。
- 在「通訊協定」部分,選取「HTTPS」。
- 將通訊埠保留為 443。
- 在「Proxy 通訊協定」部分,選取「無」。
- 在「要求路徑」部分,保留「/」。
- 啟用記錄功能。
- 保留健康狀態條件的預設值。
- 選取「前端設定」分頁標籤。
- (選用) 輸入前端的名稱。
- 在「IP 版本」部分,選取「IPv4」。
- 選擇子網路。
- 在「內部 IP 用途」部分,選取「非共用」。
- 在「通訊埠」部分,選取「單一」。
- 輸入通訊埠編號 443。
- 在「全域存取權」部分,選取「啟用」。
- 選取「檢查並完成」分頁標籤,查看您的負載平衡器配置設定。
- 按一下「Create」(建立)。
為 Cloud Run 資源建立內部負載平衡器
- 在 Google Cloud 控制台中,前往「負載平衡」頁面。
- 點選「建立負載平衡器」。
- 按一下「開始設定網路負載平衡器 (HTTP/S)」,然後選取下列選項。
- 負載平衡器類型:應用程式負載平衡器 (HTTP/HTTPS)。
- 網際網路對向或僅限內部內部。
- 跨區域或單一區域部署:單一區域。
- 按一下「Next」。
- 按一下 [設定]。
- 輸入負載平衡器名稱,然後選取要部署負載平衡器的區域和網路。
- 選取「後端設定」分頁標籤。
- 建立或選取後端服務。
- 如要建立服務,請選取「無伺服器網路端點群組」後端類型,然後選取一個網路端點群組。
- 如果沒有無伺服器網路端點,請選取建立新端點的選項。
建立無伺服器網路端點群組之前,請先建立端點群組要指向的 Cloud Run 服務。
- 選取「前端設定」分頁標籤。
- 通訊協定:選取「HTTPS」。
- 選取子網路。
- 如果您尚未保留子網路,請按照畫面上的步驟操作。
- 啟用全域存取權。
- 關於憑證,您可以選擇建立新憑證,或選擇現有憑證。
- 按一下「Create」(建立)。
建立服務連結網址
如要設定 PSC 網址,請建立使用內部 IP 位址的服務連結。
- 前往 Google Cloud 控制台中的「Private Service Connect」頁面。
- 按一下「發布服務」分頁標籤。
- 按一下「發布服務」。
- 為要發布的服務選取「負載平衡器類型」:
- 內部直通式網路負載平衡器
- 區域性內部 Proxy 網路負載平衡器
- 區域性內部應用程式負載平衡器
- 為要發布的服務選取負責託管的「內部負載平衡器」。
「網路和區域」欄位會填入所選內部負載平衡器的詳細資料。 - 在「服務名稱」部分,輸入服務連結的名稱。
- 為服務選取一或多個「子網路」。如要新增子網路,可以按照以下步驟操作:
- 按一下「保留新的子網路」。
- 輸入子網路的「名稱」和「說明」 (選填)。
- 選取子網路的「區域」。
- 輸入要用於子網路的「IP 範圍」,然後按一下「新增」。
- 在「連線偏好設定」部分,選取「自動接受所有連線」。
- 按一下「新增服務」。
- 按一下已發布的服務。使用「服務連結」欄位中的服務連結名稱來建立網址:
https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME - 在 Google Workspace 中新增私人應用程式時,輸入網址。請參閱「將應用程式新增到 Workspace 帳戶」。
針對由其他雲端服務供應商或地端部署資料中心託管的應用程式,進行相關設定
如要安全地將雲端網路或地端部署網路連線至 Google 雲端,請新增應用程式連接器。
使用應用程式連接器,即可安全地從其他雲端將應用程式連線至 Google,不需要點對點 VPN。
在非 Google 網路中建立虛擬機器
每個應用程式連接器遠端代理程式都必須安裝在專屬的虛擬機器 (VM),或非 Google 環境的 Bare Metal 伺服器上。
- 如要建立 VM,請洽詢網路管理員,或按照雲端服務供應商提供的指示操作。
- 如要執行遠端代理程式,請在各個 VM 或伺服器上使用 Docker。
- 確保遠端代理程式 VM 網路防火牆,允許所有 IAP-TCP IP 範圍 35.235.240.0/20 中,透過通訊埠 443 啟動的輸出流量。請參閱「驗證防火牆設定,瞭解遠端代理程式 VM 防火牆應允許輸出流量至哪些網域。
新增應用程式連接器並安裝遠端代理程式
-
新增應用程式連接器:
-
-
在管理控制台中,依序點選「選單」圖示 「應用程式」「網頁和行動應用程式」。
- 按一下「BeyondCorp Enterprise (BCE) 連接器」分頁標籤。
- 按一下「新增連接器」。
- 輸入連接器名稱,例如 connect-myapp。
- 選取靠近非 Google 環境的區域。
- 按一下「新增連接器」。
- 如要查看狀態,請依序按一下右上方的 「您的工作」。
-
- 建立 VM 執行個體來託管遠端代理程式。
請按照網路管理員或雲端服務供應商提供的說明操作。請參閱「在非 Google 網路中建立虛擬機器」。 - 安裝遠端代理程式。
- 按一下應用程式連接器名稱。
- 按一下「安裝遠端代理程式」。
- 在非 Google 環境中安裝遠端代理程式:
- 建立虛擬機器 (VM) 執行個體來託管遠端代理程式。請按照網路管理員或雲端服務供應商提供的說明操作。
- 須安裝 Docker 才能執行遠端代理程式。請參閱線上說明文件,瞭解安裝 Docker Engine 的操作說明。
- 使用 Google Workspace 應用程式連接器頁面中顯示的 CLI 指令,安裝並註冊遠端代理程式。
- 成功註冊遠端代理程式後,請複製及貼上公開金鑰。
- 按一下「儲存」。
應用程式連接器頁面應該會顯示已成功新增公開金鑰。
限制存取權和驗證
-
-
在管理控制台中,依序點選「選單」圖示 「應用程式」「網頁和行動應用程式」。
- 按一下「應用程式」分頁標籤,然後按一下應用程式,開啟詳細資料頁面。
- 按一下「進階設定」。
- 403 到達網頁:輸入網址,當使用者存取應用程式遭拒時,系統會將其重新導向至該網址。請使用以下格式:https://<網址>。
- 驗證網域:輸入貴機構的單一登入 (SSO) 網址,讓使用者可透過機構憑證登入。如果使用者不具備您 Google Workspace 網域的有效憑證,則系統也會拒絕該使用者存取。格式如下:sso.your.org.com。
- 允許的網域:勾選「啟用允許的網域」方塊,即可限制使用者只能存取指定網域。請以半形逗號分隔不同的項目,例如:test.your.org.com、prod.your.org.com。
- 重新驗證:使用這些選項,即可要求使用者必須在一段時間後重新驗證。 舉例來說,您可以選擇輕觸安全金鑰或兩步驟驗證選項。
- 登入:要求使用者在指定的時間長度後,輸入使用者名稱/密碼重新進行驗證。
- 安全金鑰:要求使用者透過自己的安全金鑰重新驗證。
- 已註冊的雙重驗證:要求使用者透過雙重驗證 (2FA) 方法重新驗證。
詳情請參閱「IAP 重新驗證」。
指派情境感知存取權控制項
透過情境感知存取權功能,您可以根據使用者所處的情境 (例如其裝置是否符合您的 IT 政策),控管使用者可存取的私人應用程式。
舉例來說,您可以根據使用者身分、位置、裝置安全性狀態和 IP 位址等屬性,為存取 Google Workspace 資料的應用程式建立精細的存取權控管政策。
詳情請參閱「為私人應用程式指派存取層級」。