1. Обзор
В ходе этой лабораторной работы вы развернете портал для сотрудников, который позволит сотрудникам просматривать, обновлять и удалять заказы из приложения Cymbal Eats. Вы будете использовать прокси-сервер Identity Aware (IAP) для защиты доступа к порталу без использования виртуальной частной сети (VPN). IAP упрощает реализацию модели доступа с нулевым доверием и занимает меньше времени, чем VPN, для удаленных сотрудников как локально, так и в облачных средах с единой точкой контроля для управления доступом к вашим приложениям.
Что такое прокси-сервер с идентификацией личности?
Identity-Aware Proxy (IAP) — это облачная служба Google, которая перехватывает запросы, отправленные в ваше приложение, аутентифицирует пользователя, делающего запрос, с помощью службы Google Identity Service, и пропускает запросы только в том случае, если они исходят от пользователя, авторизованного для доступа к приложению. Кроме того, он может изменить заголовки запросов, включив в них информацию об аутентифицированном пользователе.
Что вы узнаете
- Как настроить группу конечных точек бессерверной сети (NEG)
- Как настроить балансировщик нагрузки
- Как включить IAP для ограничения доступа
- Как ограничить доступ с помощью IAP
2. Настройка и требования
Самостоятельная настройка среды
- Войдите в Google Cloud Console и создайте новый проект или повторно используйте существующий. Если у вас еще нет учетной записи Gmail или Google Workspace, вам необходимо ее создать .
- Имя проекта — это отображаемое имя для участников этого проекта. Это строка символов, не используемая API Google. Вы можете обновить его в любое время.
- Идентификатор проекта уникален для всех проектов Google Cloud и является неизменяемым (невозможно изменить после его установки). Cloud Console автоматически генерирует уникальную строку; обычно тебя не волнует, что это такое. В большинстве лабораторий кода вам потребуется указать идентификатор проекта (обычно он обозначается как
PROJECT_ID). Если вам не нравится сгенерированный идентификатор, вы можете создать другой случайный идентификатор. Кроме того, вы можете попробовать свой собственный и посмотреть, доступен ли он. Его нельзя изменить после этого шага, и он останется в силе на протяжении всего проекта. - К вашему сведению, есть третье значение — номер проекта , который используют некоторые API. Подробнее обо всех трех этих значениях читайте в документации .
- Затем вам необходимо включить выставление счетов в Cloud Console, чтобы использовать облачные ресурсы/API. Прохождение этой лаборатории кода не должно стоить много, если вообще стоит. Чтобы отключить ресурсы и избежать выставления счетов за пределами этого руководства, вы можете удалить созданные вами ресурсы или удалить весь проект. Новые пользователи Google Cloud имеют право на участие в программе бесплатной пробной версии стоимостью 300 долларов США .
Настройка среды
- Создание переменных среды, связанных с проектом и ресурсами.
export PROJECT_ID=$(gcloud config get-value project)
export PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format='value(projectNumber)')
export REGION=us-east1
export ORDER_SERVICE_URL=order-service
export INVENTORY_SERVICE_URL=inventory-service
export MENU_SERVICE_URL=menu-service
- Включите API службы IAP и диспетчера облачных ресурсов.
gcloud services enable \
iap.googleapis.com \
cloudresourcemanager.googleapis.com \
cloudidentity.googleapis.com \
compute.googleapis.com
- Клонируйте репозиторий примера приложения и перейдите в каталог.
git clone https://github.com/GoogleCloudPlatform/cymbal-eats.git && cd cymbal-eats/employee-ui
- Разверните портал сотрудников с помощью сценария установки. Дождитесь завершения сценария, прежде чем переходить к следующему шагу.
./setup.sh
Пример вывода
... Done. Service [employee-ui-service] revision [employee-ui-service-00001-quw] has been deployed and is serving 100 percent of traffic. Service URL: https://employee-ui-service-gbtuuy5eda-uk.a.run.app
- Нажмите ссылку URL-адрес службы.
3. Настройка группы конечных точек бессерверной сети (NEG)
Вы создадите группу конечных точек бессерверной сети ( Serverless NEG ) для службы Cloud Run пользовательского интерфейса сотрудника. Бессерверные NEG позволяют использовать бессерверные приложения Google Cloud с внешней балансировкой нагрузки HTTP(S) .
- Создайте группу конечных точек сети для службы пользовательского интерфейса сотрудника.
gcloud compute network-endpoint-groups create employee-ui-iap-neg \
--project $PROJECT_ID \
--region=$REGION \
--network-endpoint-type=serverless \
--cloud-run-service=employee-ui-service
Пример вывода
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/regions/us-east1/networkEndpointGroups/employee-ui-iap-neg]. Created network endpoint group [employee-ui-iap-neg].
Создайте серверную службу и добавьте бессерверный NEG.
Серверная служба определяет, как Cloud Load Balancing распределяет трафик. Конфигурация серверной службы содержит набор значений, таких как протокол, используемый для подключения к серверной части, различные параметры распространения и сеанса, проверки работоспособности и тайм-ауты. Эти настройки обеспечивают детальный контроль над поведением вашего балансировщика нагрузки.
- Создайте серверную службу
gcloud compute backend-services create employee-ui-iap-backend \
--global
Пример вывода
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/backendServices/employee-ui-iap-backend]. NAME: employee-ui-iap-backend BACKENDS: PROTOCOL: HTTP
- Добавьте бессерверный NEG в качестве бэкэнда к бэкэнд-сервису.
gcloud compute backend-services add-backend employee-ui-iap-backend \
--global \
--network-endpoint-group=employee-ui-iap-neg \
--network-endpoint-group-region=$REGION
Пример вывода
Updated [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/backendServices/employee-ui-iap-backend].
- Создайте карту URL-адресов для маршрутизации входящих запросов к серверной службе.
gcloud compute url-maps create employee-ui-iap-url-map \
--default-service employee-ui-iap-backend
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/urlMaps/employee-ui-iap-url-map]. NAME: employee-ui-iap-url-map DEFAULT_SERVICE: backendServices/employee-ui-iap-backend
4. Настройка компонентов балансировщика нагрузки
На следующей диаграмме показано, что балансировщик нагрузки использует бессерверную серверную часть NEG для направления запросов в бессерверную службу Cloud Run.
Зарезервируйте статический IP-адрес
- Зарезервируйте статический адрес IPv4 и сохраните домен.
gcloud compute addresses create employee-ui-iap-ip \
--network-tier=PREMIUM \
--ip-version=IPV4 \
--global
Пример вывода
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/addresses/employee-ui-iap-ip].
- Сохраните домен nip.io
export DOMAIN=$(gcloud compute addresses list --filter employee-ui-iap-ip --format='value(ADDRESS)').nip.io
Создайте ресурс сертификата SSL, управляемый Google.
- Создайте ресурс сертификата SSL, управляемый Google.
gcloud compute ssl-certificates create employee-ui-iap-cert \
--description=employee-ui-iap-cert \
--domains=$DOMAIN \
--global
Пример вывода
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/sslCertificates/employee-ui-iap-cert]. NAME: employee-ui-iap-cert TYPE: MANAGED CREATION_TIMESTAMP: 2022-04-18T06:39:37.474-07:00 EXPIRE_TIME: MANAGED_STATUS: PROVISIONING 34.102.234.98.nip.io: PROVISIONING
Создайте целевой HTTPS-прокси
- Создайте целевой прокси-сервер HTTPS для маршрутизации запросов на вашу карту URL-адресов.
gcloud compute target-https-proxies create employee-ui-iap-http-proxy \
--ssl-certificates employee-ui-iap-cert \
--url-map employee-ui-iap-url-map
Пример вывода
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/targetHttpsProxies/employee-ui-iap-http-proxy]. NAME: employee-ui-iap-http-proxy SSL_CERTIFICATES: employee-ui-iap-cert URL_MAP: employee-ui-iap-url-map CERTIFICATE_MAP:
Настройка правил переадресации
- Создайте правило переадресации для маршрутизации входящих запросов на прокси.
gcloud compute forwarding-rules create employee-ui-iap-forwarding-rule \
--load-balancing-scheme=EXTERNAL \
--network-tier=PREMIUM \
--address=employee-ui-iap-ip \
--global \
--ports=443 \
--target-https-proxy employee-ui-iap-http-proxy
Пример вывода
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/forwardingRules/employee-ui-iap-forwarding-rule].
Ограничение доступа к сервису Cloud Run
Ограничьте входящий трафик только приемом внутренних запросов и запросов, поступающих через балансировку нагрузки HTTP(S).
- Обновите службу, чтобы разрешить входящий трафик только из внутренних запросов и запросов через балансировщик нагрузки HTTP(S).
gcloud run services update employee-ui-service \
--ingress internal-and-cloud-load-balancing \
--region $REGION
Пример вывода
OK Deploying... Done. OK Creating Revision... OK Routing traffic... Done. Service [employee-ui-service] revision [employee-ui-service-00001-quw] has been deployed and is serving 100 percent of traffic. Service URL: https://employee-ui-service-gbtuuy5eda-uk.a.run.app
- Нажмите ссылку URL-адрес службы.
Доступ к URL-адресу службы Cloud Run теперь отображается как запрещенный.
5. Включение прокси-сервера Cloud Identity-Aware (IAP) на балансировщике нагрузки
IAP позволяет вам установить центральный уровень авторизации для приложений, доступ к которым осуществляется через HTTPS. Вместо брандмауэров сетевого уровня можно использовать модель управления доступом на уровне приложений.
Настройка экрана согласия OAuth
Бренд – это экран согласия OAuth, содержащий информацию о бренде для пользователей. Бренды могут быть доступны только внутренним или общедоступным пользователям. Внутренний бренд позволяет получить доступ к потоку OAuth члену той же организации Google Workspace, что и проект. Публичный бренд делает поток OAuth доступным для всех, у кого есть доступ к Интернету.
- Создать бренд
export USER_EMAIL=$(gcloud config list account --format "value(core.account)")
gcloud alpha iap oauth-brands create \
--application_title="Cymbal Eats" \
--support_email=$USER_EMAIL
Пример вывода
Created [462858740426]. applicationTitle: Cymbal Eats name: projects/462858740426/brands/462858740426 orgInternalOnly: true
Создание клиента IAP OAuth
- Создайте клиента, используя название бренда из предыдущего шага.
gcloud alpha iap oauth-clients create \
projects/$PROJECT_ID/brands/$PROJECT_NUMBER \
--display_name=cymbal-eats-employee-ui
Пример вывода
Created [462858740426-tkpv8n03opijg7erd3s9ccued2pfllsd.apps.googleusercontent.com]. displayName: cymbal-eats-employee-ui name: projects/462858740426/brands/462858740426/identityAwareProxyClients/462858740426-tkpv8n03opijg7erd3s9ccued2pfllsd.apps.googleusercontent.com secret: [secret-removed]
- Сохраните имя клиента, идентификатор и секрет
export CLIENT_NAME=$(gcloud alpha iap oauth-clients list \
projects/$PROJECT_NUMBER/brands/$PROJECT_NUMBER --format='value(name)' \
--filter="displayName:cymbal-eats-employee-ui")
export CLIENT_ID=${CLIENT_NAME##*/}
export CLIENT_SECRET=$(gcloud alpha iap oauth-clients describe $CLIENT_NAME --format='value(secret)')
- В Cloud Console выберите проект из раскрывающегося меню выбора проекта.
- Перейдите к экрану согласия OAuth в Cloud Console.
- Нажмите «СДЕЛАТЬ ВНЕШНИЙ» в разделе «Тип пользователя».
- Выберите «Тестирование» в качестве статуса публикации.
- Нажмите ПОДТВЕРДИТЬ
6. Ограничение доступа с помощью IAP
Ограничьте доступ к серверной службе с помощью IAP, а затем убедитесь, что приложение недоступно.
- Включите IAP на серверной службе
gcloud iap web enable --resource-type=backend-services \
--oauth2-client-id=$CLIENT_ID \
--oauth2-client-secret=$CLIENT_SECRET \
--service=employee-ui-iap-backend
Проверьте конфигурацию IAP
- Убедитесь, что SSL-сертификат АКТИВЕН.
gcloud compute ssl-certificates list --format='value(MANAGED_STATUS)'
- Получить URL-адрес службы
echo https://$DOMAIN
Пример вывода
https://34.102.234.98.nip.io
- Нажмите на URL-адрес службы, чтобы открыть портал сотрудников.
- Войдите, используя свои учетные данные лаборатории.
- Закройте браузер
Предоставить пользователю доступ к порталу сотрудников
- Добавьте привязку политики IAM для роли
'roles/iap.httpsResourceAccessor'для пользователя, созданного на предыдущем шаге.
gcloud iap web add-iam-policy-binding \
--resource-type=backend-services \
--service=employee-ui-iap-backend \
--member=user:$USER_EMAIL \
--role='roles/iap.httpsResourceAccessor'
Пример вывода
Updated IAM policy for backend service [projects/462858740426/iap_web/compute/services/employee-ui-iap-backend].
Тестирование доступа к сервису
Подтвердите, что доступ к порталу сотрудников предоставлен.
- Получить URL-адрес службы
echo https://$DOMAIN
Пример вывода
https://34.102.234.98.nip.io
- Нажмите на URL-адрес службы, чтобы открыть портал сотрудников.
Теперь у вас должен быть доступ к порталу сотрудников.
(Необязательно) Разверните все зависимости. Развертывание этих микросервисов может занять около 20 минут.
unset ORDER_SERVICE_URL
unset INVENTORY_SERVICE_URL
unset MENU_SERVICE_URL
cd ~/cymbal-eats
./setup.sh
./get-site-urls.sh
7. Поздравляем!
Поздравляем, вы завершили работу над кодом!
Что дальше:
Ознакомьтесь с другими лабораториями Cymbal Eats:
- Запуск облачных рабочих процессов с помощью Eventarc
- Запуск обработки событий из облачного хранилища
- Подключение к частному CloudSQL из Cloud Run
- Подключение к полностью управляемым базам данных из Cloud Run
- Запуск заданий Cloud Run с помощью Cloud Scheduler
- Безопасное развертывание в Cloud Run
- Защита входящего трафика Cloud Run
- Подключение к частному AlloyDB из GKE Autopilot
Очистить
Чтобы избежать списания средств с вашей учетной записи Google Cloud за ресурсы, используемые в этом руководстве, либо удалите проект, содержащий ресурсы, либо сохраните проект и удалите отдельные ресурсы.
Удаление проекта
Самый простой способ избавиться от выставления счетов — удалить проект, созданный вами для этого руководства.