Questa pagina descrive come Identity-Aware Proxy (IAP) gestisce l'inoltro TCP. Per scoprire come concedere ai principal l'accesso alle risorse sottoposte a tunneling e come creare tunnel che instradano il traffico TCP, consulta Utilizzo di IAP per inoltro TCP.
Introduzione
La funzionalità di forwarding TCP di IAP consente di controllare chi può accedere ai servizi amministrativi come SSH e RDP sui backend da internet pubblico. La funzionalità di inoltro TCP impedisce che questi servizi siano apertamente esposti a internet. Al contrario, le richieste ai tuoi servizi devono superare i controlli di autenticazione e autorizzazione prima di raggiungere la risorsa di destinazione.
L'esposizione diretta a internet dei servizi amministrativi durante l'esecuzione dei carichi di lavoro nel cloud introduce un rischio. L'inoltro del traffico TCP con IAP ti consente di ridurre questo rischio consentendo solo agli utenti autorizzati di accedere a questi servizi sensibili.
Poiché questa funzionalità è specificamente pensata per i servizi amministrativi, non supporta i target con bilanciamento del carico.
La chiamata al servizio di inoltro TCP IAP non è supportata sui dispositivi mobili.
Come funziona l'inoltro TCP di IAP
La funzionalità di inoltro TCP di IAP consente agli utenti di connettersi a porte TCP arbitrarie sulle istanze Compute Engine. Per il traffico TCP generale, IAP crea una porta di ascolto sull'host locale che inoltra tutto il traffico a un'istanza specificata. IAP esegue il wrapping di tutto il traffico dal client in HTTPS. Gli utenti possono accedere all'interfaccia e alla porta se superano i controlli di autenticazione e autorizzazione dei criteri di Identity and Access Management (IAM) della risorsa di destinazione.
Quando stabilisci una connessione SSH utilizzando gcloud compute ssh,
il comando racchiude la connessione SSH all'interno di HTTPS e la inoltra all'istanza remota
senza richiedere una porta di ascolto sull'host locale.
L'abilitazione di IAP su una risorsa amministrativa non blocca automaticamente le richieste dirette alla risorsa. IAP blocca solo le richieste TCP che non provengono dagli IP di inoltro TCP IAP ai servizi pertinenti sulla risorsa.
L'inoltro TCP con IAP non richiede un indirizzo IP pubblico e instradabile assegnato alla risorsa. Utilizza invece gli IP interni.
Passaggi successivi
- Scopri come connetterti alle porte TCP sulle istanze e concedere ai principal l'accesso alle risorse sottoposte a tunneling.