Как развернуть частное веб-приложение

Частные веб-приложения создаются для внутренних пользователей организации, например сотрудников и подрядчиков. Вы можете развернуть эти приложения, используя Chrome Enterprise Premium в консоли администратора Google.

Как добавить приложение в аккаунт Google Workspace

Частные приложения можно разместить в Google Cloud, облачном сервисе стороннего поставщика или локальном центре обработки данных.

Войдите в Консоль администратора Google как администратор.
Войти в консоль администратора можно, только если вы используете аккаунт администратора.
Нажмите на значок меню Приложения > Мобильные и веб-приложения.
У вас должны быть права администратора на управление мобильными устройствами.
Нажмите Добавить приложениеДобавить частное веб-приложение.
В разделе "Сведения о приложении" укажите для приложения название и URL, с помощью которого пользователи могут получить к нему доступ.
Выберите место, где размещено ваше приложение:
- Приложения, размещенные в Google Cloud – укажите URL Private Service Connect (PSC) в разделе сведений о хосте приложения. Подробные сведения можно найти в разделе Настройки для приложений, размещенных в Google Cloud.
- Приложения HTTPS, размещенные в облачном сервисе стороннего поставщика – укажите внутренний URL и номер порта. Приложения HTTP не поддерживаются. Подробные сведения приведены в разделе Настройки для приложений, размещенных в облачных сервисах сторонних поставщиков или локальных центрах обработки данных.
  
  Чтобы обеспечить наилучшее качество связи, выберите регион, который расположен ближе всего к месту размещения приложения, а затем выберите коннекторы, необходимые для подключения приложения.
Нажмите Добавить приложение.

Настройки для приложений, размещенных в Google Cloud

Создайте URL Private Service Connect (PSC), чтобы подключить частные приложения к среде.

Чтобы настроить URL PSC, создайте внутренний балансировщик нагрузки, а затем создайте подключение к сервису, для которого используется внутренний IP-адрес.

Как создать внутренний балансировщик нагрузки

Частные приложения в Google Workspace нужно публиковать за внутренним балансировщиком нагрузки с включенным глобальным доступом. Подробнее о том, как опубликовать сервис с автоматическим одобрением…

Как создать внутренний балансировщик нагрузки для ресурса Compute или GKE

Подготовка. Чтобы защитить обмен информацией по протоколу HTTPS, настройте группу экземпляров, подготовленную для обработки запросов, поступающих на порт 443. Группа экземпляров будет выбрана на вкладке конфигурации Серверная часть.

В консоли Google Cloud перейдите на страницу Балансировка нагрузки.
Нажмите Создать балансировщик нагрузки.
Нажмите Начать настройку сетевого балансировщика нагрузки (TCP/SSL) и выберите следующие значения параметров:
1. Тип балансировщика нагрузки – Сетевой балансировщик нагрузки (TCP/UDP/SSL).
2. Прокси-сервер или сквозная передача – Сквозная передача.
3. Подключен к интернету или внутренний – Внутренний.
4. Выберите Далее.
5. Нажмите Продолжить.
Укажите название балансировщика нагрузки и выберите регион и сеть, где его нужно развернуть.
Важно! Для балансировщика нагрузки нужно выбрать сеть, которую использует группа экземпляров.
Перейдите на вкладку Конфигурация серверной группы.
1. Протокол – выберите TCP.
2. Тип стека IP – выберите IPv4.
3. Выберите группу экземпляров.
  Чтобы создать новую группу, перейдите в раздел Группы экземпляров.
4. Выберите проверку состояния из списка. Чтобы создать новую проверку состояния:
  1. Нажмите Создать проверку состояния.
  2. Введите название проверки состояния (например, ping-port).
  3. Выберите региональную область действия.
  4. В качестве протокола выберите HTTPS.
  5. Не меняйте порт 443.
  6. В поле протокола прокси-сервера выберите НЕТ.
  7. В качестве пути запроса оставьте значение "/".
  8. Включите журналы.
  9. Для критериев проверки состояния оставьте значения по умолчанию.
Перейдите на вкладку Конфигурация интерфейсной ВМ.
1. При желании укажите название клиентской части.
2. В качестве версии IP выберите IPv4.
3. Выберите подсеть.
4. Выберите цель внутреннего IP-адреса Без общего доступа.
5. Выберите один порт.
6. Введите номер порта 443.
7. Включите глобальный доступ.
Перейдите на вкладку Проверка и завершение, чтобы посмотреть параметры конфигурации балансировщика нагрузки.
Нажмите Создать.

Как создать внутренний балансировщик нагрузки для ресурса Cloud Run

В консоли Google Cloud перейдите на страницу Балансировка нагрузки.
Нажмите Создать балансировщик нагрузки.
Нажмите Начать настройку балансировщика нагрузки приложений (HTTP/S) и выберите следующие параметры:
1. Тип балансировщика нагрузки – Балансировщик нагрузки приложений (HTTP/HTTPS).
2. Подключен к интернету или внутренний – Внутренний.
3. Развертывание в нескольких или одном регионе – в одном регионе.
4. Нажмите Далее.
5. Нажмите Настроить.
Укажите название балансировщика нагрузки и выберите регион и сеть, где его нужно развернуть.
Перейдите на вкладку Конфигурация серверной группы.
1. Создайте или выберите серверную службу.
2. Если вы будете создавать серверную службу, выберите тип серверной части Группа конечных точек бессерверной сети и выберите группу конечных точек бессерверной сети.
3. Если у вас нет конечной точки бессерверной сети, выберите вариант для ее создания.
  Прежде чем создавать группу конечных точек бессерверной сети, создайте сервис Cloud Run, на который будет указывать группа конечных точек.
Перейдите на вкладку Конфигурация интерфейсной ВМ.
1. Протокол – выберите HTTPS.
2. Выберите подсеть.
3. Выполните указанные на экране действия, чтобы зарезервировать подсеть, если вы этого ещё не сделали.
4. Включите глобальный доступ.
5. Выберите сертификат или создайте новый.
Нажмите Создать.

Как создать URL подключения к сервису

Чтобы настроить URL PSC, создайте подключение к сервису, для которого используется внутренний IP-адрес.

В консоли Google Cloud откройте страницу Private Service Connect.
Перейдите на вкладку Опубликовать сервис.
Нажмите Опубликовать сервис.
Выберите Тип балансировщика нагрузки для сервиса, который нужно опубликовать:
- Сетевой балансировщик нагрузки для внутренней сквозной передачи.
- Сетевой балансировщик нагрузки регионального внутреннего прокси-сервера.
- Региональный внутренний балансировщик нагрузки приложений.
Выберите Внутренний балансировщик нагрузки, где размещен сервис, который нужно опубликовать.
В поля сети и региона подставляются данные выбранного внутреннего балансировщика нагрузки.
В поле Название сервиса укажите название подключения к сервису.
Выберите для сервиса одну или несколько подсетей. Чтобы добавить новую подсеть, ее можно создать:
- Нажмите Зарезервировать новую подсеть.
- Укажите название и, если нужно, описание подсети.
- Выберите регион.
- Укажите диапазон IP-адресов для подсети и нажмите Добавить.
В разделе "Вариант подключения" выберите Автоматически принимать все подключения.
Нажмите Добавить сервис.
Нажмите на опубликованный сервис. В поле Подключение сервиса укажите название, чтобы создать URL:
https://googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME
Введите URL при добавлении частного приложения в Google Workspace. Подробнее о том, как добавить приложение в аккаунт Workspace…

Настройки для приложений, размещенных в облачных сервисах сторонних поставщиков или локальных центрах обработки данных

Чтобы безопасным образом подключить облачную или локальную сеть к Google Cloud, добавьте коннектор приложений.

С помощью коннекторов приложений можно подключать приложения из других облачных сервисов к Google без VPN-подключения между сайтами.

Как создать ВМ в сети, не принадлежащей Google

Удаленный агент для каждого коннектора приложений нужно устанавливать на отдельной виртуальной машине или любом сервере без ОС в среде, не принадлежащей Google.

Попросите администратора создать виртуальную машину или следуйте инструкциям поставщика облачного сервиса.
Чтобы запустить удаленный агент, используйте Docker на каждой виртуальной машине или сервере.
Убедитесь, что сетевой брандмауэр для виртуальной машины удаленного агента разрешает весь исходящий трафик с порта 443 для диапазона IP-адресов IAP-TCP 35.235.240.0/20. Другие домены, для которых брандмауэр должен разрешать исходящий трафик, указаны в разделе Проверьте конфигурацию брандмауэра.

Как добавить коннектор приложений и установить удаленный агент

Чтобы добавить коннектор приложений:
1. Войдите в Консоль администратора Google как администратор.
  Войти в консоль администратора можно, только если вы используете аккаунт администратора.
2. Нажмите на значок меню Приложения > Мобильные и веб-приложения.
  У вас должны быть права администратора на управление мобильными устройствами.
3. Перейдите на вкладку Коннекторы BeyondCorp Enterprise (BCE).
4. Нажмите Добавить коннектор.
5. Введите название коннектора, например connect-myapp.
6. Выберите регион, который находится недалеко от среды, не принадлежащей Google.
7. Нажмите Добавить коннектор.
8. Чтобы посмотреть статус, в правой верхней части страницы выберите Ваши задачи.
Создайте экземпляр виртуальной машины для размещения удаленного агента.
Следуйте инструкциям администратора сети или поставщика облачного сервиса. Подробнее о том, как создать ВМ в сети, не принадлежащей Google…
Установите удаленный агент.
1. Нажмите на название коннектора приложения.
2. Выберите Установить удаленный агент.
3. Установите удаленный агент в среде, не принадлежащей Google:
  - Создайте экземпляр виртуальной машины для размещения удаленного агента. Следуйте инструкциям администратора сети или поставщика облачного сервиса.
  - Установите Docker, который необходим для работы удаленного агента. Инструкции по установке Docker Engine можно найти в онлайн-документации.
  - Установите и зарегистрируйте удаленный агент, используя команды CLI, которые показаны на странице коннектора приложений Google Workspace.
  - Скопируйте и вставьте открытый ключ, который появится после регистрации удаленного агента.
4. Нажмите Сохранить.

Теперь на странице коннектора приложений должен быть показан добавленный открытый ключ.

Как ограничить доступ и аутентификацию

Администратор, создавший приложение, может решить, при каких условиях пользователь сможет получить доступ к приложению. Например, можно ограничить доступ пользователей из определенного домена или разрешить доступ только в определенные часы или дни. Если доступ будет запрещен, пользователь будет перенаправлен на определенную страницу.

Войдите в Консоль администратора Google как администратор.
Войти в консоль администратора можно, только если вы используете аккаунт администратора.
Нажмите на значок меню Приложения > Мобильные и веб-приложения.
У вас должны быть права администратора на управление мобильными устройствами.
Перейдите на вкладку Приложения, а затем нажмите на приложение, чтобы открыть страницу сведений.
Нажмите Расширенные настройки.

Целевая страница 403 – укажите веб-адрес, на который будут перенаправлены пользователи, если им будет отказано в доступе к приложению. Используйте формат https://<url>.
Домен аутентификации – укажите URL системы единого входа организации, чтобы пользователи могли входить с помощью учетных данных организации. При этом также будет заблокирован доступ пользователей, у которых нет действительных учетных данных для домена Google Workspace. Используйте формат sso.your.org.com.
Разрешенные домены – установите флажок Включить разрешенные домены, чтобы разрешить пользователям доступ только к указанным доменам, которые нужно перечислить через запятую. Пример: test.your.org.com, prod.your.org.com.
Повторная аутентификация – используйте эти параметры, чтобы пользователям нужно было выполнять повторную аутентификацию через заданный интервал времени. Например, можно потребовать использовать электронный ключ или двухэтапную аутентификацию.
- Вход. Пользователям нужно будет выполнять повторную аутентификацию с помощью имени пользователя и пароля через определенное время после входа.
- Электронный ключ. Пользователям нужно будет выполнять повторную аутентификацию с помощью своего электронного ключа.
- Двухэтапная аутентификация. Пользователям нужно будет выполнять повторную аутентификацию с помощью метода двухэтапной аутентификации.

Подробнее о повторной аутентификации IAP…

Как настроить контекстно-зависимый доступ

Используя контекстно-зависимый доступ, можно контролировать доступ пользователей к частным приложениям на основе контекста. Одним из критериев может быть, например, соответствие устройства пользователя корпоративным правилам.

Например, можно настроить правила управления доступом для приложений, работающих с данными Google Workspace, на основе таких атрибутов, как идентификатор пользователя, местоположение, уровень безопасности устройства и IP-адрес.

Подробнее о назначении уровней доступа частным веб-приложениям…

Выберите раздел, про который нужно оставить отзыв

Эта информация оказалась полезной?

Как можно улучшить эту статью?