Esta página descreve como o Identity-Aware Proxy (IAP) processa o encaminhamento TCP. Para saber como conceder aos principais acesso a recursos em túnel e como criar túneis que encaminham o tráfego TCP, consulte o artigo Usar o IAP para encaminhamento TCP.
Introdução
A funcionalidade de encaminhamento TCP do IAP permite-lhe controlar quem pode aceder a serviços administrativos, como SSH e RDP, nos seus back-ends a partir da Internet pública. A funcionalidade de encaminhamento TCP impede que estes serviços sejam expostos abertamente à Internet. Em alternativa, os pedidos aos seus serviços têm de passar por verificações de autenticação e autorização antes de chegarem ao recurso de destino.
Expor serviços administrativos diretamente à Internet quando executa cargas de trabalho na nuvem introduz riscos. O encaminhamento de tráfego TCP com o IAP permite-lhe reduzir esse risco, permitindo que apenas os utilizadores autorizados acedam a estes serviços confidenciais.
Uma vez que esta funcionalidade se destina especificamente a serviços administrativos, não suporta alvos com equilíbrio de carga.
A chamada do serviço de encaminhamento TCP da IAP não é suportada em dispositivos móveis.
Como funciona o encaminhamento TCP do IAP
A funcionalidade de encaminhamento TCP do IAP permite que os utilizadores se liguem a portas TCP arbitrárias em instâncias do Compute Engine. Para o tráfego TCP geral, o IAP cria uma porta de escuta no anfitrião local que encaminha todo o tráfego para uma instância especificada. Em seguida, o IAP envolve todo o tráfego do cliente em HTTPS. Os utilizadores podem aceder à interface e à porta se passarem nas verificações de autenticação e autorização da política de gestão de identidade e de acesso (IAM) do recurso de destino.
Quando estabelece uma ligação SSH através de gcloud compute ssh,
o comando envolve a ligação SSH em HTTPS e encaminha-a para a instância remota
sem necessitar de uma porta de escuta no anfitrião local.
A ativação da IAP num recurso administrativo não bloqueia automaticamente os pedidos diretos ao recurso. O IAP bloqueia apenas pedidos TCP que não sejam de IPs de encaminhamento TCP do IAP para serviços relevantes no recurso.
O encaminhamento TCP com o IAP não requer um endereço IP público encaminhável atribuído ao seu recurso. Em alternativa, usa IPs internos.
O que se segue?
- Saiba como estabelecer ligação a portas TCP em instâncias e conceder aos principais acesso a recursos em túnel.