Sichere serverlose Anwendung mit Identity-Aware Proxy (IAP)

1. Übersicht

In diesem Lab richten Sie das Mitarbeiterportal ein, mit dem Mitarbeiter Bestellungen über die Cymbal Eats App ansehen, aktualisieren und löschen können. Sie verwenden Identity-Aware Proxy (IAP), um den Portalzugriff ohne VPN zu sichern. IAP vereinfacht die Implementierung eines Zero-Trust-Zugriffsmodells und ist für Remote-Mitarbeiter sowohl lokal als auch in Cloud-Umgebungen schneller als ein VPN. Außerdem gibt es nur einen einzigen Kontrollpunkt für die Verwaltung des Zugriffs auf Ihre Apps.

Was ist Identity-Aware Proxy?

Identity-Aware Proxy (IAP) ist ein Google Cloud-Dienst, der an Ihre Anwendung gesendete Anfragen abfängt, den anfragenden Nutzer über den Google Identity Service authentifiziert und die Anfragen nur weiterleitet, wenn sie von einem Nutzer stammen, der zum Zugriff auf die Anwendung autorisiert ist. Außerdem kann der Dienst Anfrageheader so ändern, dass sie Informationen über den authentifizierten Nutzer enthalten.

Lerninhalte

• Serverlose Netzwerk-Endpunktgruppe (NEG) konfigurieren
• Load Balancer konfigurieren
• IAP aktivieren, um den Zugriff einzuschränken
• Zugriff mit IAP einschränken

2. Einrichtung und Anforderungen

Einrichten der Umgebung im eigenen Tempo

1. Melden Sie sich in der Google Cloud Console an und erstellen Sie ein neues Projekt oder verwenden Sie ein vorhandenes. Wenn Sie noch kein Gmail- oder Google Workspace-Konto haben, müssen Sie ein Konto erstellen.

• Der Projektname ist der Anzeigename für die Teilnehmer dieses Projekts. Es ist ein Zeichenstring, der von Google APIs nicht verwendet wird. Sie können ihn jederzeit aktualisieren.
• Die Projekt-ID ist für alle Google Cloud-Projekte eindeutig und kann nach der Festlegung nicht mehr geändert werden. In der Cloud Console wird automatisch ein eindeutiger String generiert. Normalerweise spielt es keine Rolle, wie er lautet. In den meisten Codelabs müssen Sie auf die Projekt-ID verweisen (normalerweise als PROJECT_ID gekennzeichnet). Wenn Ihnen die generierte ID nicht gefällt, können Sie eine andere zufällige generieren. Alternativ können Sie Ihr eigenes Gerät testen, um zu sehen, ob es verfügbar ist. Sie kann nach diesem Schritt nicht mehr geändert werden und bleibt für die Dauer des Projekts bestehen.
• Zur Information: Es gibt einen dritten Wert, die Projektnummer, die von einigen APIs verwendet wird. Weitere Informationen zu diesen drei Werten finden Sie in der Dokumentation.

2. Als Nächstes müssen Sie die Abrechnung in der Cloud Console aktivieren, um Cloud-Ressourcen/-APIs verwenden zu können. Die Ausführung dieses Codelabs sollte nur wenige Kosten verursachen, wenn überhaupt. Wenn Sie die Ressourcen deaktivieren möchten, damit keine Kosten über diese Anleitung hinaus anfallen, können Sie die von Ihnen erstellten Ressourcen oder das gesamte Projekt löschen. Neuen Nutzern der Google Cloud Platform steht das kostenlose Testprogramm mit einem Guthaben von 300$ zur Verfügung.

Umgebung einrichten

1. Projekt- und ressourcenbezogene Umgebungsvariablen erstellen

export PROJECT_ID=$(gcloud config get-value project)
export PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format='value(projectNumber)')
export REGION=us-east1
export ORDER_SERVICE_URL=order-service
export INVENTORY_SERVICE_URL=inventory-service
export MENU_SERVICE_URL=menu-service

2. IAP- und Cloud Resource Manager-Dienst-APIs aktivieren

gcloud services enable \
    iap.googleapis.com \
    cloudresourcemanager.googleapis.com \
    cloudidentity.googleapis.com \
    compute.googleapis.com

3. Beispiel-App-Repository klonen und zum Verzeichnis wechseln

git clone https://github.com/GoogleCloudPlatform/cymbal-eats.git && cd cymbal-eats/employee-ui

4. Stellen Sie das Mitarbeiterportal mit dem Einrichtungsskript bereit. Warten Sie, bis das Script abgeschlossen ist, bevor Sie mit dem nächsten Schritt fortfahren.

./setup.sh

Beispielausgabe

...
Done.
Service [employee-ui-service] revision [employee-ui-service-00001-quw] has been deployed and is serving 100 percent of traffic.
Service URL: https://employee-ui-service-gbtuuy5eda-uk.a.run.app

5. Klicken Sie auf den Link zur Dienst-URL.

3. Serverlose Netzwerk-Endpunktgruppe (NEG) konfigurieren

Sie erstellen eine serverlose Netzwerk-Endpunktgruppe( serverless NEG) für den Cloud Run-Dienst der Mitarbeiteroberfläche. Mit serverlosen NEGs können Sie serverlose Google Cloud-Anwendungen mit externem HTTP(S)-Load Balancing verwenden.

1. Erstellen Sie eine Netzwerk-Endpunktgruppe für den Mitarbeiter-UI-Dienst.

gcloud compute network-endpoint-groups create employee-ui-iap-neg \
    --project $PROJECT_ID \
    --region=$REGION \
    --network-endpoint-type=serverless  \
    --cloud-run-service=employee-ui-service

Beispielausgabe

Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/regions/us-east1/networkEndpointGroups/employee-ui-iap-neg].
Created network endpoint group [employee-ui-iap-neg].

Back-End-Dienst erstellen und serverlose NEG hinzufügen

Ein Back-End-Dienst definiert, wie Cloud Load Balancing Traffic verteilt. Die Konfiguration des Back-End-Dienstes enthält eine Reihe von Werten, z. B. das Protokoll, das für die Verbindung zu Backends verwendet wird, verschiedene Verteilungs- und Sitzungseinstellungen, Systemdiagnosen und Zeitüberschreitungen. Mit diesen Einstellungen können Sie das Verhalten Ihres Load Balancers genau steuern.

2. Backend-Dienst erstellen

gcloud compute backend-services create employee-ui-iap-backend \
        --global 

Beispielausgabe

Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/backendServices/employee-ui-iap-backend].
NAME: employee-ui-iap-backend
BACKENDS:
PROTOCOL: HTTP

3. Fügen Sie dem Backend-Dienst das serverlose NEG als Backend hinzu.

gcloud compute backend-services add-backend employee-ui-iap-backend \
    --global \
    --network-endpoint-group=employee-ui-iap-neg \
    --network-endpoint-group-region=$REGION

Beispielausgabe

Updated [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/backendServices/employee-ui-iap-backend].

4. URL-Zuordnung erstellen, um eingehende Anfragen an den Backend-Dienst weiterzuleiten

gcloud compute url-maps create employee-ui-iap-url-map \
    --default-service employee-ui-iap-backend

Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/urlMaps/employee-ui-iap-url-map].
NAME: employee-ui-iap-url-map
DEFAULT_SERVICE: backendServices/employee-ui-iap-backend

4. Load Balancer-Komponenten konfigurieren

Das folgende Diagramm zeigt, dass der Load Balancer ein serverloses NEG-Back-End verwendet, um Anfragen an einen serverlosen Cloud Run-Dienst weiterzuleiten.

Statische IP-Adresse reservieren

1. Statische IPv4-Adresse reservieren und Domain speichern

gcloud compute addresses create employee-ui-iap-ip \
    --network-tier=PREMIUM \
    --ip-version=IPV4 \
    --global

Beispielausgabe

Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/addresses/employee-ui-iap-ip].

2. Nip.io-Domain speichern

export DOMAIN=$(gcloud compute addresses list --filter employee-ui-iap-ip --format='value(ADDRESS)').nip.io

Von Google verwaltete SSL-Zertifikatsressource erstellen

3. Von Google verwaltete SSL-Zertifikatsressource erstellen

gcloud compute ssl-certificates create employee-ui-iap-cert \
    --description=employee-ui-iap-cert \
    --domains=$DOMAIN \
    --global

Beispielausgabe

Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/sslCertificates/employee-ui-iap-cert].
NAME: employee-ui-iap-cert
TYPE: MANAGED
CREATION_TIMESTAMP: 2022-04-18T06:39:37.474-07:00
EXPIRE_TIME:
MANAGED_STATUS: PROVISIONING

34.102.234.98.nip.io: PROVISIONING

Ziel-HTTPS-Proxy erstellen

4. Erstellen Sie den Ziel-HTTPS-Proxy, um Anfragen an Ihre URL-Zuordnung weiterzuleiten.

gcloud compute target-https-proxies create employee-ui-iap-http-proxy \
    --ssl-certificates employee-ui-iap-cert \
    --url-map employee-ui-iap-url-map

Beispielausgabe

Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/targetHttpsProxies/employee-ui-iap-http-proxy].
NAME: employee-ui-iap-http-proxy
SSL_CERTIFICATES: employee-ui-iap-cert
URL_MAP: employee-ui-iap-url-map
CERTIFICATE_MAP:

Weiterleitungsregeln konfigurieren

5. Erstellen Sie eine Weiterleitungsregel, um eingehende Anfragen an den Proxy weiterzuleiten.

gcloud compute forwarding-rules create employee-ui-iap-forwarding-rule \
    --load-balancing-scheme=EXTERNAL \
    --network-tier=PREMIUM \
    --address=employee-ui-iap-ip \
    --global \
    --ports=443 \
    --target-https-proxy employee-ui-iap-http-proxy

Beispielausgabe

Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/forwardingRules/employee-ui-iap-forwarding-rule].

Eingehenden Traffic für den Cloud Run-Dienst einschränken

Eingehenden Traffic so einschränken, dass nur interne Anfragen und Anfragen, die über HTTP(S)-Load Balancing kommen, akzeptiert werden.

1. Dienst so aktualisieren, dass nur ein eingehender Traffic von internen Anfragen und Anfragen über den HTTP(S)-Load Balancer zugelassen wird

gcloud run services update employee-ui-service \
    --ingress internal-and-cloud-load-balancing \
    --region $REGION

Beispielausgabe

OK Deploying... Done.                            
  OK Creating Revision...
  OK Routing traffic...
Done.
Service [employee-ui-service] revision [employee-ui-service-00001-quw] has been deployed and is serving 100 percent of traffic.
Service URL: https://employee-ui-service-gbtuuy5eda-uk.a.run.app

2. Klicken Sie auf den Link zur Dienst-URL.

Der Zugriff auf die Cloud Run-Dienst-URL wird jetzt als verboten angezeigt.

5. Cloud Identity-Aware Proxy (IAP) für den Load Balancer aktivieren

Mit IAP können Sie eine zentrale Autorisierungsebene für Anwendungen einrichten, auf die über HTTPS zugegriffen wird. Sie können ein Zugriffssteuerungsmodell auf Anwendungsebene anstelle von Firewalls auf Netzwerkebene verwenden.

OAuth-Zustimmungsbildschirm konfigurieren

Eine Marke ist der OAuth-Zustimmungsbildschirm, der Markeninformationen für Nutzer enthält. Marken können auf interne oder öffentliche Nutzer beschränkt sein. Mit einer internen Marke kann ein Mitglied derselben Google Workspace-Organisation wie das Projekt auf den OAuth-Ablauf zugreifen. Eine öffentliche Marke macht den OAuth-Ablauf für alle Nutzer mit Internetzugang zugänglich.

1. Marke erstellen

export USER_EMAIL=$(gcloud config list account --format "value(core.account)")

gcloud alpha iap oauth-brands create \
    --application_title="Cymbal Eats" \
    --support_email=$USER_EMAIL

Beispielausgabe

Created [462858740426].
applicationTitle: Cymbal Eats
name: projects/462858740426/brands/462858740426
orgInternalOnly: true

IAP-OAuth-Client erstellen

1. Erstellen Sie einen Kunden mit dem Markennamen aus dem vorherigen Schritt.

gcloud alpha iap oauth-clients create \
    projects/$PROJECT_ID/brands/$PROJECT_NUMBER \
    --display_name=cymbal-eats-employee-ui

Beispielausgabe

Created [462858740426-tkpv8n03opijg7erd3s9ccued2pfllsd.apps.googleusercontent.com].
displayName: cymbal-eats-employee-ui
name: projects/462858740426/brands/462858740426/identityAwareProxyClients/462858740426-tkpv8n03opijg7erd3s9ccued2pfllsd.apps.googleusercontent.com
secret: [secret-removed]

2. Clientname, -ID und -Secret speichern

export CLIENT_NAME=$(gcloud alpha iap oauth-clients list \
    projects/$PROJECT_NUMBER/brands/$PROJECT_NUMBER --format='value(name)' \
    --filter="displayName:cymbal-eats-employee-ui")

export CLIENT_ID=${CLIENT_NAME##*/}

export CLIENT_SECRET=$(gcloud alpha iap oauth-clients describe $CLIENT_NAME --format='value(secret)')

2. Wählen Sie in der Cloud Console das Projekt aus dem Drop-down-Menü für die Projektauswahl aus.
3. Rufen Sie in der Cloud Console den OAuth-Zustimmungsbildschirm auf.

4. Klicken Sie unter „Nutzertyp“ auf „EXTERN MACHEN“.
5. Wählen Sie als Veröffentlichungsstatus „Testen“ aus.

6. Klicke auf „Bestätigen“.

6. Zugriff mit IAP beschränken

Beschränken Sie den Zugriff auf den Backend-Dienst mit IAP und prüfen Sie dann, ob die Anwendung nicht zugänglich ist.

1. IAP für den Backend-Dienst aktivieren

gcloud iap web enable --resource-type=backend-services \
    --oauth2-client-id=$CLIENT_ID \
    --oauth2-client-secret=$CLIENT_SECRET \
    --service=employee-ui-iap-backend

IAP-Konfiguration prüfen

1. Prüfen, ob das SSL-Zertifikat AKTIV ist

gcloud compute ssl-certificates list --format='value(MANAGED_STATUS)'

2. Service-URL abrufen

echo https://$DOMAIN

Beispielausgabe

https://34.102.234.98.nip.io

3. Klicken Sie auf die Dienst-URL, um das Mitarbeiterportal zu öffnen.

4. Melden Sie sich mit Ihren Lab-Anmeldedaten an.

5. Browser schließen

Nutzern Zugriff auf das Mitarbeiterportal gewähren

1. Fügen Sie eine IAM-Richtlinienbindung für die Rolle 'roles/iap.httpsResourceAccessor' für den im vorherigen Schritt erstellten Nutzer hinzu.

gcloud iap web add-iam-policy-binding \
    --resource-type=backend-services \
    --service=employee-ui-iap-backend \
    --member=user:$USER_EMAIL \
    --role='roles/iap.httpsResourceAccessor'

Beispielausgabe

Updated IAM policy for backend service [projects/462858740426/iap_web/compute/services/employee-ui-iap-backend].

Dienstzugriff testen

Prüfen, ob der Zugriff auf das Mitarbeiterportal gewährt wurde

1. Service-URL abrufen

echo https://$DOMAIN

Beispielausgabe

https://34.102.234.98.nip.io

2. Klicken Sie auf die Dienst-URL, um das Mitarbeiterportal zu öffnen.

Sie sollten jetzt Zugriff auf das Mitarbeiterportal haben.

Optional: Alle Abhängigkeiten bereitstellen. Das Bereitstellen dieser Mikrodienste kann etwa 20 Minuten dauern.

unset ORDER_SERVICE_URL
unset INVENTORY_SERVICE_URL
unset MENU_SERVICE_URL

cd ~/cymbal-eats

./setup.sh
./get-site-urls.sh

7. Glückwunsch!

Herzlichen Glückwunsch, Sie haben das Codelab abgeschlossen.

Nächste Schritte:

Weitere Cymbal Eats-Codelabs:

• Cloud-Workflows mit Eventarc auslösen
• Ereignisverarbeitung über Cloud Storage auslösen
• Verbindung von Cloud Run zu Private CloudSQL herstellen
• Verbindung von Cloud Run zu vollständig verwalteten Datenbanken herstellen
• Cloud Run-Jobs mit Cloud Scheduler auslösen
• Sichere Bereitstellung in Cloud Run
• Cloud Run-Eingangstraffic sichern
• Verbindung von GKE Autopilot zu privatem AlloyDB herstellen

Bereinigen

Damit Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, können Sie entweder das Projekt löschen, das die Ressourcen enthält, oder das Projekt beibehalten und die einzelnen Ressourcen löschen.

Projekt löschen

Am einfachsten vermeiden Sie weitere Kosten durch Löschen des für die Anleitung erstellten Projekts.