部署私人網頁應用程式

貴機構的內部使用者 (例如員工和約聘人員) 會使用雲端託管的私人網頁應用程式。您可以在 Google 管理控制台中使用 Chrome Enterprise Premium 部署這些應用程式。

將網頁應用程式新增到 Google Workspace 帳戶

私人網頁應用程式託管於 Google Cloud、其他雲端服務供應商或地端部署資料中心。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「應用程式」接下來「網頁和行動應用程式」

    必須有行動裝置管理服務的管理員權限。

  2. 依序點選「新增應用程式」接下來「新增私人網頁應用程式」
  3. 在「應用程式詳細資料」部分,輸入應用程式名稱,以及使用者存取該應用程式所用的網址。

  4. 指定應用程式的託管位置:

  5. 按一下 Add application

針對由 Google Cloud 託管的應用程式進行設定

建立 Private Service Connect (PSC) 網址,連結您環境中的私人應用程式。

如要設定 PSC 網址,請建立內部負載平衡器,然後建立使用內部 IP 位址的服務連結。

建立內部負載平衡器

如要發布 Google Workspace 中的私人應用程式,應透過啟用全域存取權的內部負載平衡器。詳情請參閱「發布具有自動核准功能的服務」。

為 Compute 或 GKE 資源建立內部直通式網路負載平衡器

事前準備:為允許安全的 HTTPS 通訊,請將執行個體群組設為透過通訊埠 443 提供要求。在「後端設定」分頁中選取執行個體群組。

  1. 在 Google Cloud 控制台中,前往「負載平衡」頁面。
  2. 點選「建立負載平衡器」
  3. 按一下「開始設定網路負載平衡器 (TCP/SSL)」,然後選取下列選項:
    1. 「負載平衡器類型」:選取「網路負載平衡器 (TCP/UDP/SSL)」
    2. 「直通或使用 Proxy」:選取「直通」
    3. 在「Internet facing or internal only」(連結網際網路或僅限內部) 中,選取「Internal」(內部)
    4. 按一下「Next」
    5. 按一下 [繼續]
  4. 輸入負載平衡器名稱,然後選取要部署負載平衡器的區域和網路。
    重要事項:您為負載平衡器選擇的網路必須與執行個體群組使用的網路相同。
  5. 按一下「後端設定」分頁標籤。
    1. 「通訊協定」:選取「TCP」
    2. 在「IP stack type」(IP 堆疊類型),選取「IPv4」
    3. 選取執行個體群組。
      如要建立執行個體群組,請前往「執行個體群組」
    4. 從清單中選取健康狀態檢查。如要建立新的健康狀態檢查:
      1. 選取「建立健康狀態檢查」
      2. 輸入健康狀態檢查的名稱 (例如:ping-port)。
      3. 選取「區域範圍」
      4. 在「通訊協定」部分,選取「HTTPS」
      5. 將通訊埠保留為 443。
      6. 在「Proxy 通訊協定」部分,選取「無」
      7. 在「要求路徑」部分,保留「/」。
      8. 啟用記錄功能。
      9. 保留健康狀態判定條件的預設值。
  6. 按一下「前端設定」分頁標籤。
    1. (選用) 輸入前端名稱。
    2. 在「IP version」(IP 版本) 部分,選取「IPv4」
    3. 選擇子網路。
    4. 在「內部 IP 用途」部分,選取「非共用」
    5. 在「通訊埠」部分,選取「單一」
    6. 輸入通訊埠編號 443。
    7. 在「全域存取權」部分,選取「啟用」
  7. 按一下「檢查並完成」分頁標籤,查看負載平衡器配置設定。
  8. 按一下 [建立]。

為 Cloud Run 資源建立內部負載平衡器

  1. 在 Google Cloud 控制台中,前往「負載平衡」頁面。
  2. 點選「建立負載平衡器」
  3. 按一下「開始設定網路負載平衡器 (HTTP/S)」,然後選取下列選項。
    1. 在「Type of load balancer」(負載平衡器類型) 部分,選取「Application Load Balancer (HTTP/HTTPS)」(應用程式負載平衡器 (HTTP/HTTPS))
    2. 在「網際網路對向或僅限內部」部分,選取「內部」
    3. 在「跨區域或單一區域部署」部分,選取「單一區域」
    4. 按一下「Next」
    5. 按一下 [設定]
  4. 輸入負載平衡器名稱,然後選取要部署負載平衡器的區域和網路。
  5. 按一下「後端設定」分頁標籤。
    1. 建立或選取後端服務。
    2. 如要建立服務,請選取「無伺服器網路端點群組」後端類型,然後選取一個網路端點群組。
    3. 如果沒有無伺服器網路端點,請選取建立新端點的選項。
      建立無伺服器網路端點群組之前,請先建立端點群組要指向的 Cloud Run 服務。
  6. 按一下「前端設定」分頁標籤
    1. 在「通訊協定」部分,選取「HTTPS」
    2. 選取子網路。
    3. 如果您尚未保留子網路,請按照畫面上的步驟操作。
    4. 啟用全域存取權。
    5. 關於憑證,請選擇建立新憑證,或選擇現有憑證。
  7. 按一下 [建立]。

建立服務連結網址

如要設定 PSC 網址,請建立使用內部 IP 位址的服務連結。

  1. 前往 Google Cloud 控制台的「Private Service Connect」頁面。
  2. 按一下「發布服務」分頁標籤。
  3. 按一下「發布服務」
  4. 為要發布的服務選取「負載平衡器類型」
    • 內部直通式網路負載平衡器
    • 區域性內部 Proxy 網路負載平衡器
    • 區域性內部應用程式負載平衡器
  5. 為要發布的服務選取負責託管的「內部負載平衡器」
    「網路和區域」欄位會填入所選內部負載平衡器的詳細資料。
  6. 在「服務名稱」部分,輸入服務連結的名稱。
  7. 為服務選取一或多個「子網路」。如要新增子網路,可以按照以下步驟操作:
    1. 按一下「保留新的子網路」
    2. 輸入子網路的「名稱」和「說明」 (選填)。
    3. 選取子網路的「區域」
    4. 輸入要用於子網路的「IP 範圍」,然後按一下「新增」
  8. 在「連線偏好設定」部分,選取「自動接受所有連線」
  9. 按一下「新增服務」
  10. 按一下已發布的服務。使用「服務連結」欄位中的服務連結名稱來建立網址:
    https://www.googleapis.com/compute/v1/SERVICE_ATTACHMENT_NAME

在 Google Workspace 中新增私人網頁應用程式時,請使用這個網址。請參閱「將網頁應用程式新增到 Workspace 帳戶」。

針對由其他雲端服務供應商或地端部署資料中心託管的網路應用程式,進行相關設定

如要安全地將雲端網路或地端部署網路連線至 Google Cloud,請新增應用程式連接器。

使用應用程式連接器,即可安全地從其他雲端將應用程式連線至 Google,不需要點對點虛擬私人網路 (VPN)。

在非 Google 網路中建立虛擬機器

每個應用程式連接器遠端代理程式都必須安裝在專屬的虛擬機器 (VM),或非 Google 環境的 Bare Metal 伺服器上。

  • 如要建立 VM,請洽詢網路管理員,或按照雲端服務供應商提供的指示操作。
  • 如要執行遠端代理程式,請在各個 VM 或伺服器上使用 Docker。
  • 確保遠端代理程式 VM 網路防火牆,允許所有 IAP-TCP IP 範圍 35.235.240.0/20 中,透過通訊埠 443 啟動的輸出流量。請參閱「驗證防火牆設定」,瞭解遠端代理程式 VM 防火牆應允許輸出流量至哪些網域。

新增應用程式連接器並安裝遠端代理程式

  1. 新增應用程式連接器:

    1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「應用程式」接下來「網頁和行動應用程式」

      必須有行動裝置管理服務的管理員權限。

    2. 按一下「BeyondCorp Enterprise (BCE) 連接器」分頁標籤。
    3. 按一下「新增連接器」
    4. 輸入連接器名稱,例如 connect-myapp。
    5. 選取靠近非 Google 環境的區域。
    6. 按一下「新增連接器」
    7. 如要查看狀態,請依序按一下右上方的「沙漏」圖示 接下來「您的工作」
  2. 建立 VM 執行個體來託管遠端代理程式。
    請按照網路管理員或雲端服務供應商提供的說明操作。請參閱「在非 Google 網路中建立虛擬機器」。
  3. 安裝遠端代理程式。
    1. 按一下應用程式連接器名稱。
    2. 按一下「安裝遠端代理程式」
    3. 在非 Google 環境中安裝遠端代理程式:
      • 建立虛擬機器 (VM) 執行個體來託管遠端代理程式。請按照網路管理員或雲端服務供應商提供的說明操作。
      • 須安裝 Docker 才能執行遠端代理程式。請參閱線上說明文件,瞭解安裝 Docker Engine 的操作說明。
      • 使用 Google Workspace 應用程式連接器頁面中顯示的指令列介面 (CLI) 指令,安裝並註冊遠端代理程式。
      • 成功註冊遠端代理程式後,請複製及貼上公開金鑰。
    4. 按一下「儲存」

應用程式連接器頁面會顯示您已成功新增公開金鑰。

限制存取權和驗證

建立網頁應用程式的管理員可決定使用者可在哪些條件下存取應用程式。舉例來說,您可以限制只有特定網域的使用者才可存取,或僅允許在特定時間或天數存取。如果使用者存取遭拒,系統會將其重新導向至特定網頁。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「應用程式」接下來「網頁和行動應用程式」

    必須有行動裝置管理服務的管理員權限。

  2. 按一下「應用程式」分頁標籤 接下來 按一下應用程式,開啟詳細資料頁面。
  3. 按一下 [進階設定]
  • 403 到達網頁:輸入網址,當使用者存取應用程式遭拒時,系統會將其重新導向至該網址。請使用以下格式:https://<網址>
  • 驗證網域:輸入貴機構的單一登入 (SSO) 網址,讓使用者可透過機構憑證登入。如果使用者不具備您 Google Workspace 網域的有效憑證,則系統也會拒絕該使用者存取。格式如下:sso.your.org.com。
  • 允許的網域:勾選「啟用允許的網域」方塊,即可限制使用者只能存取指定網域。請以半形逗號分隔不同的項目,例如:test.your.org.com, prod.your.org.com。
  • 重新驗證:使用這些選項,即可要求使用者必須在一段時間後重新驗證。舉例來說,使用者可以輕觸安全金鑰或使用雙重驗證 (2FA)。
    • 登入:要求使用者在指定的時間長度後,輸入使用者名稱和密碼重新進行驗證。
    • 安全金鑰:要求使用者透過自己的安全金鑰重新驗證。
    • 已註冊的雙重驗證:要求使用者透過雙重驗證重新驗證。

詳情請參閱「IAP 重新驗證」。

指派情境感知存取權控管

透過情境感知存取權功能,您可以根據特定條件 (例如使用者的裝置是否符合您的 IT 政策),控管使用者可存取的私人網頁應用程式。

舉例來說,您可以根據使用者身分、位置、裝置安全性狀態和 IP 位址等屬性,為存取 Google Workspace 資料的應用程式建立精細的存取權控管政策。

詳情請參閱「為私人網頁應用程式指派存取層級」。