[GCP] 部署 Docker 應用至 Cloud Run 並使用 IAP 驗證登入

Kuro Huang
資安工作者的學習之路
10 min readMar 10, 2024

在 GCP Cloud Run 上建立一個簡單的服務,透過部署 Docker 應用,同時設定 Identity-Aware Proxy (IAP) 功能 !

因為最近在實作 GCP 有關的服務,非常簡略的隨手把練習的筆記寫下來,所以前置作業並沒有寫上來,這篇參考參考就好!

學習目標:

  • 如何使用 Cloud Run 的整合功能,串接外部應用 Load Balancer,並指定個人網域
  • 將外部應用 Load Balancer 附加 IAP 安全功能

相關文件:

概念

  1. 內部應用放在 Cloud Run ( = AWS Lambda)
  2. 使用 Cloud Run 的整合功能
  3. 將輸出的 IP 對應到公司的域名
  4. 啟用 IAP 管理
  5. 建立 OAuth Screen
  6. 將 LB 與 IAP OAuth 關聯
  7. 存取網址
  8. 添加 IAP Web AP Mail 權限給其他人(同事)
  9. 用其他人(同事)的 Email 存取

實作步驟

參考雲育鏈的資料與實驗教材,在 Cloud Run 上先建立好一個 Cloud Run 應用,去 GitHub 把本實驗所需要在 Cloud Run 部署起來,部署來源可參考:

點選 Add integration,選擇 Custom Domain

新增你自己 Domain 到 Domain 1 欄位,系統會顯示 A Record,把 A Record 加入如 Godday 平台

等待 GCP 處理一陣子,搜尋 Identity-Aware Proxy 後 Enable IAP 的 API

OAuth consent screen 選擇 External

此步驟是選擇想要如何設定和註冊你的應用程式,包括目標用戶。只能將一個應用程式與你的專案關聯。

輸入自訂 App 名稱,Support Email 是聯絡人,如果有問題會顯示在網頁上

剩下的照預設往下一步

完成後回到 Dashboard

找到 IAP,將IAP enable 後會顯示 Cloud run 部署的程式,選擇 TURN ON

這邊要等個一陣子,約幾分鐘等,同步完成後會請你選擇登入帳戶

選擇帳號後應該會 Login 成功

因為會使用到 Load Balance,所以完成後記得把 Project 移除

本篇有誤歡迎聯絡指導!

我想把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修同學對於申請考試和準備上有任何問題,可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。

ISACA 考試延伸參考:

已取得(有付費的並持續更新)

  • 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
  • 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理
  • 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得
  • 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)( Link )
  • 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我
  • 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
  • 2020.07 — Azure AZ-900 (心得點我)
  • 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得

2021 (心得連結在最後證照簡稱上)

  • 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
  • 2021.04 — Certified Information Systems Auditor ( CISA )
  • 2021.05 — EC-Council Certified SOC Analyst ( CSA )
  • 2021.08 — Certified Information Systems Manager ( CISM )
  • 2021.09 — Certified in Risk and Information Systems Control (CRISC)
  • 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)

2022 (心得連結在最後證照簡稱上)

  • 2022.07 — Certified Information Systems Security Professional (CISSP
  • 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
  • 2022.12.30 — Certified Cloud Security Professional ( CCSP

2023 (心得連結在最後證照簡稱上)

  • 2023.02 — Certified in Cybersecurity Certification( CC
  • 2023.04 — EC-Council Certified Incident Handler ( ECIH
  • 2023.08 — EC-Council Certified Ethical Hacker Practical / Master (CEHP)

2024 (心得連結在最後證照簡稱上)

  • 2024.02 — AWS Certified Cloud Practitioner Certification (CCP)
  • 2024.02 — AWS Certified Solutions Architect — Associate (SAA-C03)
  • 2024.03 — GCP Associate Cloud Engineer (GCP-ACE)

--

--

資安工作者的學習之路
資安工作者的學習之路

Published in 資安工作者的學習之路

業餘資安寫手,希望透過紀錄所學的知識來回饋於社群上,互相學習分享。個人介紹參考 https://portaly.cc/kurohuang

Kuro Huang
Kuro Huang

Written by Kuro Huang

對教育充滿期待的資安從業者,現任ISC2台北分會理監事,希望對資安社群盡一點心力。期望自己與各位夥伴能有所進步,歡迎喝咖啡聊資安。希望保持著定期參與資安社群活動。個人介紹 https://portaly.cc/kurohuang

No responses yet