[GCP] 部署 Docker 應用至 Cloud Run 並使用 IAP 驗證登入
在 GCP Cloud Run 上建立一個簡單的服務,透過部署 Docker 應用,同時設定 Identity-Aware Proxy (IAP) 功能 !
因為最近在實作 GCP 有關的服務,非常簡略的隨手把練習的筆記寫下來,所以前置作業並沒有寫上來,這篇參考參考就好!
學習目標:
- 如何使用 Cloud Run 的整合功能,串接外部應用 Load Balancer,並指定個人網域
- 將外部應用 Load Balancer 附加 IAP 安全功能
相關文件:
- Enabling IAP for Cloud Run | Identity-Aware Proxy | Google Cloud
- Map custom domains using a global external Application Load Balancer | Cloud Run Documentation | Google Cloud
- Set up a global external Application Load Balancer with Cloud Run, App Engine, or Cloud Functions | Load Balancing | Google Cloud
- 雲育鏈 GitHub
概念
- 內部應用放在 Cloud Run ( = AWS Lambda)
- 使用 Cloud Run 的整合功能
- 將輸出的 IP 對應到公司的域名
- 啟用 IAP 管理
- 建立 OAuth Screen
- 將 LB 與 IAP OAuth 關聯
- 存取網址
- 添加 IAP Web AP Mail 權限給其他人(同事)
- 用其他人(同事)的 Email 存取
實作步驟
參考雲育鏈的資料與實驗教材,在 Cloud Run 上先建立好一個 Cloud Run 應用,去 GitHub 把本實驗所需要在 Cloud Run 部署起來,部署來源可參考:
點選 Add integration,選擇 Custom Domain
新增你自己 Domain 到 Domain 1 欄位,系統會顯示 A Record,把 A Record 加入如 Godday 平台
等待 GCP 處理一陣子,搜尋 Identity-Aware Proxy 後 Enable IAP 的 API
OAuth consent screen 選擇 External
此步驟是選擇想要如何設定和註冊你的應用程式,包括目標用戶。只能將一個應用程式與你的專案關聯。
輸入自訂 App 名稱,Support Email 是聯絡人,如果有問題會顯示在網頁上
剩下的照預設往下一步
完成後回到 Dashboard
找到 IAP,將IAP enable 後會顯示 Cloud run 部署的程式,選擇 TURN ON
這邊要等個一陣子,約幾分鐘等,同步完成後會請你選擇登入帳戶
選擇帳號後應該會 Login 成功
因為會使用到 Load Balance,所以完成後記得把 Project 移除
本篇有誤歡迎聯絡指導!
Cloud Computing
- 2024.02 — AWS Certified Cloud Practitioner Certification (CCP)
- 2024.02 — AWS Certified Solutions Architect — Associate (SAA)
- 2024.03 — GCP Associate Cloud Engineer (GCP-ACE)
- 雲端網路存取控制規則檢視-官方指令彙整(Azure NSG, AWS Security Group/NACL ,GCP Firewall)
- Amazon Bedrock 試用心得 — 安全的在雲端上使用生成式 AI
- [GCP] 部署 Docker 應用至 Cloud Run 並使用 IAP 驗證登入
- 使用AWS CloudFront 的原始存取控制(OAC)建立安全的 S3 靜態網站
- AWS 架構安全評估工具 — AWS Well-Architected Tool
- 遠距辦公與資料保護 — 使用 AWS WorkSpaces 虛擬桌面服務
- Amazon CodeGuru Security: Your Code Review SAST Tool (靜態應用程式安全測試)
我想把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修同學對於申請考試和準備上有任何問題,可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。
- 其他聯絡方式 : https://kuronetwork.me/contact/
- 所有文章: https://kuronetwork.me/posts/
- 關於我:https://kuronetwork.me/about/
- LinkedIn: https://www.linkedin.com/in/kurohuang/
- 我做的資安貼圖 :
ISACA 考試延伸參考:
已取得(有付費的並持續更新)
- 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
- 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理)
- 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得)
- 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)( Link )
- 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我)
- 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
- 2020.07 — Azure AZ-900 (心得點我)
- 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得
2021 (心得連結在最後證照簡稱上)
- 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
- 2021.04 — Certified Information Systems Auditor ( CISA )
- 2021.05 — EC-Council Certified SOC Analyst ( CSA )
- 2021.08 — Certified Information Systems Manager ( CISM )
- 2021.09 — Certified in Risk and Information Systems Control (CRISC)
- 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
2022 (心得連結在最後證照簡稱上)
- 2022.07 — Certified Information Systems Security Professional (CISSP)
- 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
- 2022.12.30 — Certified Cloud Security Professional ( CCSP)
2023 (心得連結在最後證照簡稱上)
- 2023.02 — Certified in Cybersecurity Certification( CC)
- 2023.04 — EC-Council Certified Incident Handler ( ECIH)
- 2023.08 — EC-Council Certified Ethical Hacker Practical / Master (CEHP)