Configura l'inoltro TCP IAP

Questa pagina descrive come configurare e utilizzare l'inoltro TCP di Identity-Aware Proxy (IAP) con un indirizzo IP o un nome host in un Google Cloud ambiente o nonGoogle Cloud ambiente.

Panoramica

Puoi utilizzare Google Cloud CLI per creare tunnel alle risorse utilizzando un indirizzo IP privato o un nome host della risorsa. Se hai risorse esterne in ambienti non-Google Cloud connessi a Google Cloud tramite Cloud Interconnect o una VPN, puoi utilizzare l'inoltro TCP di IAP con queste risorse.

Prima di iniziare

Se devi creare un tunnel alle risorse esterne Google Cloud, devi aver configurato la connettività ibrida. La connettività ibrida è necessaria per connettere le risorse esterne non-Google Cloud a Google Cloud. Per saperne di più, consulta la documentazione di Cloud Interconnect o Cloud VPN.

Il router cloud deve annunciare l'intervallo IP IAP-TCP 35.235.240.0/20, in modo che le destinazioni inviino il traffico di risposta tramite Cloud VPN o Cloud Interconnect e non tramite internet. Se non hai questa configurazione, non puoi creare tunnel alle risorse esterne al tuo Google Cloud progetto.

Per configurare il router cloud in modo che annunci l'intervallo IP IAP-TCP 35.235.240.0/20, segui le istruzioni riportate in Annuncio di intervalli IP personalizzati.

Le seguenti procedure forniscono esempi di Google Cloud CLI per completare le attività. Per informazioni su come interagire con i gruppi di destinazione utilizzando le API, consulta Risorsa REST: projects.iap_tunnel.locations.destGroups.

Creare un gruppo di destinazione del tunnel

Quando configuri un tunnel, devi specificare un gruppo di destinazione del tunnel da utilizzare per i controlli delle autorizzazioni. I gruppi di destinazione del tunnel rappresentano le risorse che hanno le stesse restrizioni di accesso al tunnel. Puoi creare un numero qualsiasi di gruppi di destinazione, ognuno con un numero qualsiasi di intervalli IP o nomi di dominio completi (FQDN) corrispondenti. I gruppi di destinazione possono sovrapporsi per una maggiore flessibilità.

Quando crei un gruppo di destinazione, devi specificare una regione. Per risultati ottimali, la regione specificata deve corrispondere alla località delle risorse di destinazione. Ad esempio, se le risorse sono connesse tramite una VPN, devi utilizzare la regione del gateway VPN.

Per creare un gruppo di destinazione, devi disporre dell'autorizzazione iap.tunnelDestGroups.create, che puoi concedere tramite il ruolo iap.tunnelDestGroupEditor. Per concedere un singolo ruolo, consulta Concedi un singolo ruolo nella documentazione di IAM.

Console

  1. Vai alla pagina IAP e seleziona un progetto, se non è già selezionato.

  2. Nella scheda Risorse SSH e TCP, fai clic su Crea gruppo di destinazione.

  3. Inserisci un nome per il gruppo. Il nome del gruppo può contenere solo lettere minuscole (a-z) e trattini (-).

  4. Dall'elenco a discesa, seleziona la regione in cui creare il gruppo di destinazione.

  5. Nella sezione Indirizzo IP , fai clic su Aggiungi riga e poi inserisci gli indirizzi IP o i FQDN delle risorse.

    Un intervallo IP è costituito da intervalli separati da virgole che utilizzano la notazione CIDR, ad esempio 10.1.2.0/24,172.0.0.0/8.

    Un elenco di FQDN è un elenco di nomi host separati da virgole, ad esempio *.internal.company.com. Puoi utilizzare i caratteri jolly con la voce FQDN.

  6. Fai clic su Crea gruppo di destinazione.

gcloud

gcloud iap tcp dest-groups create YOUR_GROUP_NAME \
  --region=REGION \
  --ip-range-list=IP_RANGE_LIST \
  --fqdn-list=FQDN_LIST

Sostituisci quanto segue:

  • YOUR_GROUP_NAME: il nome del gruppo. Il nome del gruppo può contenere solo lettere minuscole (a-z) e trattini (-).
  • REGION: la regione in cui creare il gruppo di destinazione, ad esempio us-central1.
  • IP_RANGE_LIST: facoltativo. L'elenco degli intervalli IP, costituito da intervalli separati da virgole che utilizzano la notazione CIDR, ad esempio 10.1.2.0/24,172.0.0.0/8.
  • FQDN_LIST: facoltativo. L'elenco di FQDN è un elenco di nomi host separati da virgole, ad esempio *.internal.company.com. Se una voce FQDN ha un prefisso con carattere jolly, corrisponderà a qualsiasi nome host con la fine specificata. In caso contrario, è necessaria una corrispondenza esatta. Se una richiesta corrisponde a un intervallo IP o a un FQDN, viene considerata una corrispondenza.

Se non sai quali gruppi esistono già, esegui il seguente comando per elencare i gruppi:

gcloud iap tcp dest-groups list \
  --region=REGION

Gestire i gruppi di destinazione del tunnel

Puoi visualizzare i dettagli di un gruppo di destinazione, modificarlo e rimuoverlo.

Console

  1. Vai alla pagina IAP e fai clic sulla scheda Risorse SSH e TCP.

    • Per visualizzare i dettagli di un gruppo di destinazione, fai clic sul nome del gruppo di destinazione.

    • Per modificare un gruppo di destinazione, selezionalo e poi fai clic sull'icona a forma di matita per aprire il riquadro Modifica gruppo di destinazione. Puoi anche eliminare il gruppo di destinazione da questo riquadro.

    • Per rimuovere un gruppo di destinazione, selezionalo e poi fai clic sull'icona del cestino.

gcloud

Per informazioni dettagliate su come gestire i gruppi di destinazione utilizzando gcloud CLI, consulta i comandi gcloud del gruppo di destinazione.

Configurare le autorizzazioni del tunnel

Per creare un tunnel, devi disporre dell'autorizzazione iap.tunnelDestGroups.accessViaIAP sul gruppo di destinazione pertinente. Puoi concedere l'autorizzazione tramite il ruolo iap.tunnelResourceAccessor.

Per configurare le autorizzazioni sui gruppi di destinazione, devi disporre dell'autorizzazione iap.tunnelDestGroups.setIamPolicy, che puoi concedere tramite il ruolo iap.admin.

Console

  1. Vai alla pagina IAP.

  2. Nella scheda Risorse SSH e TCP, seleziona il gruppo di destinazione per il quale vuoi configurare le autorizzazioni.

  3. Nel riquadro che si apre, fai clic su Aggiungi entità e inserisci un indirizzo email per l'utente.

  4. Nella sezione Assegna ruoli, seleziona un ruolo da assegnare all'entità.

  5. Fai clic su Salva.

gcloud

gcloud iap tcp dest-groups add-iam-policy-binding \
  --member=MEMBER \
  --role=ROLE \
  --dest-group=GROUP_NAME \
  --region=REGION

Sostituisci quanto segue:

  • MEMBER: l'indirizzo email dell'utente, ad esempio user:exampleuser@company.com.

  • ROLE: il ruolo IAP richiesto, roles/iap.tunnelResourceAccessor.

  • GROUP_NAME: il nome del gruppo di destinazione.

  • REGION: il nome della regione, ad esempio us-central1.

Informazioni sull'utilizzo del tunnel

Esistono tre comandi gcloud CLI che puoi utilizzare quando lavori con IAP-TCP: start-iap-tunnel, ssh e scp.

I comandi IAP-TCP sono stati aggiornati per supportare il tunneling basato su IP e FQDN. Per passare all'indirizzo IP o al FQDN, procedi nel seguente modo quando utilizzi i comandi:

  • Specifica un indirizzo IP o un FQDN anziché il nome dell'istanza.
  • Utilizza --region anziché --zone.
  • Utilizza --dest-group per specificare il gruppo di destinazione da utilizzare.
  • Utilizza --network per specificare il nome della rete VPC da utilizzare.

L'indirizzo IP specificato deve essere l'indirizzo IP privato della destinazione. Non puoi utilizzare IAP-TCP con indirizzi IP pubblici. Se utilizzi un FQDN, questo deve essere risolto nell'indirizzo IP privato della destinazione. Tieni presente che la risoluzione dei nomi viene eseguita all'interno della rete VPC specificata, non dalla rete del client. Ad esempio, se stai tentando di creare un tunnel a vm.corp.company.com, il passaggio che converte vm.corp.company.com in un indirizzo IP avviene nel contesto della rete VPC.

La regione specificata deve corrispondere alla regione del gruppo di destinazione.

La rete specificata deve corrispondere al nome della rete VPC che ha accesso alla destinazione. Un nome di rete tipico è default. Puoi visualizzare l'elenco dei nomi di rete nella pagina Reti VPC della Google Cloud console oppure puoi recuperare l'elenco dei nomi di rete eseguendo il seguente comando:

gcloud compute networks list --format='value(name)'

Esempi

I seguenti esempi utilizzano un indirizzo IP di esempio 172.16.1.2. Ogni comando può anche accettare un FQDN (ad esempio example.internal.company.com) al posto dell'indirizzo IP.

Esempio di SSH

Per avviare una sessione SSH su 172.16.1.2, esegui il seguente comando:

gcloud compute ssh 172.16.1.2 \
    --region=us-central1 \
    --dest-group=DESTINATION_GROUP_NAME \
    --network=default \
    --tunnel-through-iap

Sostituisci DESTINATION_GROUP_NAME con il nome del gruppo di destinazione.

Tieni presente che --plain è implicito, quindi non viene tentato di gestire e inviare automaticamente le chiavi SSH quando si utilizza un indirizzo IP.

Se ricevi l'errore Permission denied (publickey), il comando non ha trovato il file contenente le chiavi SSH. Per risolvere il problema, aggiungi il percorso del file contenente le chiavi private SSH come parametro per il comando SSH, come mostrato nell'esempio seguente:

gcloud compute ssh 172.16.1.2 \
    --region=us-central1 \
    --dest-group=DESTINATION_GROUP_NAME \
    --network=default \
    --tunnel-through-iap \
    -- -i ~/.ssh/google_compute_engine

Sostituisci DESTINATION_GROUP_NAME con il nome del gruppo di destinazione.

Se vuoi accedere come utente specifico, utilizza il formato USER@IP anziché specificare solo l'IP:

gcloud compute ssh user@172.16.1.2 \
    --region=us-central1 \
    --dest-group=DESTINATION_GROUP_NAME \
    --network=default \
    --tunnel-through-iap

Se l'account è protetto da password, devi inserirne una. Se l'account è protetto da una coppia di chiavi SSH privata o pubblica, devi specificarla utilizzando il flag -- -i come specificato sopra.

Esempio di tunnel

Per stabilire un tunnel a una porta TCP diversa, utilizza il comando start-iap-tunnel. Per creare un tunnel da localhost:8022 alla porta 172.16.1.2:8085, esegui il seguente comando:

gcloud compute start-iap-tunnel 172.16.1.2 8085 \
    --local-host-port=localhost:8022 \
    --region=us-central1 \
    --dest-group=DESTINATION_GROUP_NAME \
    --network=default

Tieni presente che in questo esempio la macchina di destinazione deve essere in ascolto sulla porta 8085.

Dopo aver stabilito un tunnel, puoi utilizzare qualsiasi strumento, ad esempio PuTTY, per stabilire una connessione.

Esempio di SCP

Per copiare un file in 172.16.1.2 utilizzando SCP, esegui il seguente comando:

gcloud compute scp file.txt 172.16.1.2:~/ \
    --region=us-central1 \
    --dest-group=DESTINATION_GROUP_NAME \
    --network=default \
    --tunnel-through-iap

Tieni presente che --plain è implicito, quindi non viene tentato di gestire e inviare automaticamente le chiavi SSH quando si utilizza un indirizzo IP.

Esempio di ProxyCommand SSH

Per utilizzare il comando come ProxyCommand che esegue sempre il tunneling a 172.16.1.2, aggiungi una voce alla configurazione ~/.ssh/config o equivalente, come mostrato nell'esempio seguente:

Host example
ProxyCommand gcloud compute start-iap-tunnel 172.16.1.2 '%p' --region=us-central1 --dest-group=DESTINATION_GROUP_NAME --network=default --verbosity=warning

Il ProxyCommand ha effetto quando esegui il seguente comando: ssh example

Puoi anche configurare ProxyCommand per gestire molti nomi host, come mostrato nell'esempio seguente: 

Host *.internal.company.com
ProxyCommand gcloud compute start-iap-tunnel '%h' '%p' --region=us-central1 --dest-group=DESTINATION_GROUP_NAME --network=default --verbosity=warning

Il ProxyCommand ha effetto quando esegui il seguente comando: ssh example.internal.company.com