1. 總覽
在本研究室中,您將部署員工入口網站,允許員工查看、更新及刪除 Cymbal Eats 應用程式中的訂單。您可以使用 Identity Aware Proxy (IAP) 確保入口網站存取安全,而不需使用虛擬私人網路 (VPN)。IAP 提供單一控制項,方便您管理應用程式存取權,因此無論是地端部署或雲端環境中的遠端工作站,IAP 簡化了零信任存取模型的實作作業,所需時間也比 VPN 更少。
什麼是 Identity-Aware Proxy?
Identity-Aware Proxy (IAP) 是一項 Google Cloud 服務,可攔截傳送至您應用程式的要求、透過 Google Identity 服務驗證提出要求的使用者,而且只有在使用者已獲授權可存取應用程式的情況下,這些要求才會通過。此外,還可以修改要求標頭,加入已驗證使用者的相關資訊。
學習目標
- 如何設定無伺服器網路端點群組 (NEG)
- 如何設定負載平衡器
- 如何啟用 IAP 以限制存取權
- 如何使用 IAP 限制存取權
2. 設定和需求
自修環境設定
- 登入 Google Cloud 控制台,建立新專案或重複使用現有專案。如果您還沒有 Gmail 或 Google Workspace 帳戶,請先建立帳戶。
- 「專案名稱」是這項專案參與者的顯示名稱。這是 Google API 未使用的字元字串。您可以隨時更新。
- 所有 Google Cloud 專案的專案 ID 均不得重複,而且設定後即無法變更。Cloud 控制台會自動產生一個不重複的字串。但通常是在乎它何在在大部分的程式碼研究室中,您必須參照專案 ID (通常為
PROJECT_ID)。如果您對產生的 ID 不滿意,可以隨機產生一個 ID。此外,您也可以自行嘗試,看看系統是否提供該付款方式。在完成這個步驟後就無法變更,而且在專案期間仍會保持有效。 - 資訊中的第三個值是專案編號,部分 API 會使用這個編號。如要進一步瞭解這三個值,請參閱說明文件。
- 接下來,您需要在 Cloud 控制台中啟用計費功能,才能使用 Cloud 資源/API。執行這個程式碼研究室並不會產生任何費用,如果有的話。如要關閉資源,以免系統產生本教學課程結束後產生的費用,您可以刪除自己建立的資源,或刪除整個專案。Google Cloud 的新使用者符合 $300 美元免費試用計畫的資格。
環境設定
- 建立專案和資源相關環境變數
export PROJECT_ID=$(gcloud config get-value project)
export PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format='value(projectNumber)')
export REGION=us-east1
export ORDER_SERVICE_URL=order-service
export INVENTORY_SERVICE_URL=inventory-service
export MENU_SERVICE_URL=menu-service
- 啟用 IAP 和 Cloud Resource Manager 服務 API
gcloud services enable \
iap.googleapis.com \
cloudresourcemanager.googleapis.com \
cloudidentity.googleapis.com \
compute.googleapis.com
- 複製範例應用程式存放區並前往該目錄
git clone https://github.com/GoogleCloudPlatform/cymbal-eats.git && cd cymbal-eats/employee-ui
- 使用設定指令碼部署員工入口網站。請等待指令碼完成,再進行下一個步驟
./setup.sh
輸出範例
... Done. Service [employee-ui-service] revision [employee-ui-service-00001-quw] has been deployed and is serving 100 percent of traffic. Service URL: https://employee-ui-service-gbtuuy5eda-uk.a.run.app
- 按一下服務網址連結
3. 設定無伺服器網路端點群組 (NEG)
您將為員工 UI Cloud Run 服務建立無伺服器網路端點群組( Serverless NEG)。無伺服器 NEG 可讓您將 Google Cloud 無伺服器應用程式與外部 HTTP(S) 負載平衡搭配使用。
- 為員工 UI 服務建立網路端點群組。
gcloud compute network-endpoint-groups create employee-ui-iap-neg \
--project $PROJECT_ID \
--region=$REGION \
--network-endpoint-type=serverless \
--cloud-run-service=employee-ui-service
輸出內容範例
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/regions/us-east1/networkEndpointGroups/employee-ui-iap-neg]. Created network endpoint group [employee-ui-iap-neg].
建立後端服務並新增無伺服器 NEG
後端服務可定義 Cloud Load Balancing 分配流量的方式。後端服務設定包含一組值,例如連線至後端的通訊協定、各種分佈和工作階段設定、健康狀態檢查和逾時。這些設定可讓您精細控管負載平衡器的行為,
- 建立後端服務
gcloud compute backend-services create employee-ui-iap-backend \
--global
輸出內容範例
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/backendServices/employee-ui-iap-backend]. NAME: employee-ui-iap-backend BACKENDS: PROTOCOL: HTTP
- 將無伺服器 NEG 新增為後端服務的後端
gcloud compute backend-services add-backend employee-ui-iap-backend \
--global \
--network-endpoint-group=employee-ui-iap-neg \
--network-endpoint-group-region=$REGION
輸出內容範例
Updated [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/backendServices/employee-ui-iap-backend].
- 建立網址對應,將連入要求轉送至後端服務
gcloud compute url-maps create employee-ui-iap-url-map \
--default-service employee-ui-iap-backend
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/urlMaps/employee-ui-iap-url-map]. NAME: employee-ui-iap-url-map DEFAULT_SERVICE: backendServices/employee-ui-iap-backend
4. 設定負載平衡器元件
下圖顯示負載平衡器使用無伺服器 NEG 後端,將要求導向無伺服器 Cloud Run 服務。
保留靜態 IP 位址
- 保留靜態 IPv4 位址及儲存網域
gcloud compute addresses create employee-ui-iap-ip \
--network-tier=PREMIUM \
--ip-version=IPV4 \
--global
輸出內容範例
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/addresses/employee-ui-iap-ip].
- 儲存 nip.io 網域
export DOMAIN=$(gcloud compute addresses list --filter employee-ui-iap-ip --format='value(ADDRESS)').nip.io
建立 Google 代管的 SSL 憑證資源
- 建立 Google 代管的 SSL 憑證資源
gcloud compute ssl-certificates create employee-ui-iap-cert \
--description=employee-ui-iap-cert \
--domains=$DOMAIN \
--global
輸出內容範例
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/sslCertificates/employee-ui-iap-cert]. NAME: employee-ui-iap-cert TYPE: MANAGED CREATION_TIMESTAMP: 2022-04-18T06:39:37.474-07:00 EXPIRE_TIME: MANAGED_STATUS: PROVISIONING 34.102.234.98.nip.io: PROVISIONING
建立目標 HTTPS Proxy
- 建立目標 HTTPS Proxy,將要求轉送至您的網址對應。
gcloud compute target-https-proxies create employee-ui-iap-http-proxy \
--ssl-certificates employee-ui-iap-cert \
--url-map employee-ui-iap-url-map
輸出內容範例
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/targetHttpsProxies/employee-ui-iap-http-proxy]. NAME: employee-ui-iap-http-proxy SSL_CERTIFICATES: employee-ui-iap-cert URL_MAP: employee-ui-iap-url-map CERTIFICATE_MAP:
設定轉送規則
- 建立轉送規則,將連入要求轉送至 Proxy
gcloud compute forwarding-rules create employee-ui-iap-forwarding-rule \
--load-balancing-scheme=EXTERNAL \
--network-tier=PREMIUM \
--address=employee-ui-iap-ip \
--global \
--ports=443 \
--target-https-proxy employee-ui-iap-http-proxy
輸出範例
Created [https://www.googleapis.com/compute/v1/projects/cymbal-eats-18147-25762/global/forwardingRules/employee-ui-iap-forwarding-rule].
限制輸入 Cloud Run 服務
將輸入流量限制為僅接受內部要求和透過 HTTP(S) 負載平衡發出的要求。
- 請將服務更新為僅允許來自內部要求和透過 HTTP(S) 負載平衡器的輸入流量
gcloud run services update employee-ui-service \
--ingress internal-and-cloud-load-balancing \
--region $REGION
輸出範例
OK Deploying... Done. OK Creating Revision... OK Routing traffic... Done. Service [employee-ui-service] revision [employee-ui-service-00001-quw] has been deployed and is serving 100 percent of traffic. Service URL: https://employee-ui-service-gbtuuy5eda-uk.a.run.app
- 按一下服務網址連結
目前無法存取 Cloud Run 服務網址。
5. 在負載平衡器上啟用 Cloud Identity-Aware Proxy (IAP)
IAP 可讓您為透過 HTTPS 存取的應用程式建立中央授權層。您可以使用應用程式層級存取權控管模型,而非網路層級的防火牆。
設定 OAuth 同意畫面
品牌是 OAuth 同意畫面,內含使用者的品牌資訊。品牌可能僅限內部或公開使用者使用。內部品牌允許與專案所屬 Google Workspace 機構的成員存取 OAuth 流程。公開品牌讓所有可存取網際網路的使用者都能存取 OAuth 流程。
- 建立品牌
export USER_EMAIL=$(gcloud config list account --format "value(core.account)")
gcloud alpha iap oauth-brands create \
--application_title="Cymbal Eats" \
--support_email=$USER_EMAIL
輸出內容範例
Created [462858740426]. applicationTitle: Cymbal Eats name: projects/462858740426/brands/462858740426 orgInternalOnly: true
建立 IAP OAuth 用戶端
- 使用上一步中的品牌名稱建立客戶
gcloud alpha iap oauth-clients create \
projects/$PROJECT_ID/brands/$PROJECT_NUMBER \
--display_name=cymbal-eats-employee-ui
輸出內容範例
Created [462858740426-tkpv8n03opijg7erd3s9ccued2pfllsd.apps.googleusercontent.com]. displayName: cymbal-eats-employee-ui name: projects/462858740426/brands/462858740426/identityAwareProxyClients/462858740426-tkpv8n03opijg7erd3s9ccued2pfllsd.apps.googleusercontent.com secret: [secret-removed]
- 儲存用戶端名稱、ID 和密鑰
export CLIENT_NAME=$(gcloud alpha iap oauth-clients list \
projects/$PROJECT_NUMBER/brands/$PROJECT_NUMBER --format='value(name)' \
--filter="displayName:cymbal-eats-employee-ui")
export CLIENT_ID=${CLIENT_NAME##*/}
export CLIENT_SECRET=$(gcloud alpha iap oauth-clients describe $CLIENT_NAME --format='value(secret)')
- 按一下「使用者類型」下方的 [加入外部]
- 選取「測試」做為發布狀態
- 按一下「確認」
6. 透過 IAP 限制存取權
透過 IAP 限制對後端服務的存取權,然後驗證無法存取應用程式。
- 啟用後端服務的 IAP
gcloud iap web enable --resource-type=backend-services \
--oauth2-client-id=$CLIENT_ID \
--oauth2-client-secret=$CLIENT_SECRET \
--service=employee-ui-iap-backend
驗證 IAP 設定
- 確認 SSL 憑證已啟用
gcloud compute ssl-certificates list --format='value(MANAGED_STATUS)'
- 取得服務網址
echo https://$DOMAIN
輸出範例
https://34.102.234.98.nip.io
- 按一下服務網址即可開啟員工入口網站。
- 使用研究室憑證登入。
- 關閉瀏覽器
授予使用者員工入口網站存取權
- 為在上一個步驟中建立的使用者的「
'roles/iap.httpsResourceAccessor'」角色新增 IAM 政策繫結
gcloud iap web add-iam-policy-binding \
--resource-type=backend-services \
--service=employee-ui-iap-backend \
--member=user:$USER_EMAIL \
--role='roles/iap.httpsResourceAccessor'
輸出範例
Updated IAM policy for backend service [projects/462858740426/iap_web/compute/services/employee-ui-iap-backend].
測試服務存取權
確認已授予員工入口網站的存取權
- 取得服務網址
echo https://$DOMAIN
輸出範例
https://34.102.234.98.nip.io
- 按一下服務網址即可開啟員工入口網站。
您現在應該可以存取員工入口網站。
(選用) 部署所有依附元件,部署這些微服務可能需要約 20 分鐘。
unset ORDER_SERVICE_URL
unset INVENTORY_SERVICE_URL
unset MENU_SERVICE_URL
cd ~/cymbal-eats
./setup.sh
./get-site-urls.sh
7. 恭喜!
恭喜,您已完成程式碼研究室!
下一步:
探索其他 Cymbal Eats 程式碼研究室:
- 使用 Eventarc 觸發 Cloud Workflows
- 從 Cloud Storage 觸發事件處理
- 從 Cloud Run 連線至 Private CloudSQL
- 從 Cloud Run 連線至全代管資料庫
- 使用 Cloud Scheduler 觸發 Cloud Run 工作
- 安全地部署至 Cloud Run
- 保護 Cloud Run 輸入流量
- 從 GKE Autopilot 連線至私人 AlloyDB
清除所用資源
如要避免系統向您的 Google Cloud 帳戶收取本教學課程所用資源的費用,請刪除含有相關資源的專案,或者保留專案但刪除個別資源。
刪除專案
如要避免付費,最簡單的方法就是刪除您針對教學課程建立的專案。