Halaman ini menjelaskan cara Identity-Aware Proxy (IAP) menangani penerusan TCP. Untuk mempelajari cara memberikan akses pokok ke resource yang di-tunnel dan cara membuat tunnel yang merutekan traffic TCP, lihat Menggunakan IAP untuk penerusan TCP.
Pengantar
Fitur penerusan TCP IAP memungkinkan Anda mengontrol siapa saja yang dapat mengakses layanan administratif, seperti SSH dan RDP di backend Anda dari internet publik. Fitur penerusan TCP mencegah layanan ini terekspos ke internet secara terbuka. Sebagai gantinya, permintaan ke layanan Anda harus lulus pemeriksaan autentikasi dan otorisasi sebelum mencapai target resource.
Mengekspos layanan administratif secara langsung ke internet saat menjalankan workload di cloud menimbulkan risiko. Meneruskan traffic TCP dengan IAP memungkinkan Anda mengurangi risiko tersebut dengan mengizinkan hanya pengguna yang diberi otorisasi untuk mengakses layanan sensitif ini.
Karena fitur ini secara khusus ditujukan untuk layanan administratif, fitur ini tidak mendukung target yang di-load balance.
Memanggil layanan penerusan TCP IAP tidak didukung di perangkat seluler.
Cara kerja penerusan TCP IAP
Fitur penerusan TCP IAP memungkinkan pengguna terhubung ke port TCP arbitrer pada instance Compute Engine. Untuk traffic TCP umum, IAP membuat port pendengar di host lokal yang meneruskan semua traffic ke instance yang ditentukan. Kemudian, IAP akan mengenkapsulasi semua traffic dari klien dalam HTTPS. Pengguna dapat mengakses antarmuka dan port jika mereka lulus pemeriksaan autentikasi dan otorisasi kebijakan Identity and Access Management (IAM) resource target.
Saat Anda membuat koneksi SSH menggunakan gcloud compute ssh,
perintah akan menggabungkan koneksi SSH di dalam HTTPS dan meneruskannya ke instance jarak jauh
tanpa memerlukan port pendengar di host lokal.
Mengaktifkan IAP pada resource administratif tidak otomatis memblokir permintaan langsung ke resource. IAP hanya memblokir permintaan TCP yang bukan berasal dari IP penerusan TCP IAP ke layanan yang relevan di resource.
Penerusan TCP dengan IAP tidak memerlukan alamat IP publik yang dapat dirutekan yang ditetapkan ke resource Anda. Sebagai gantinya, VM menggunakan IP internal.
Langkah berikutnya
- Pelajari cara terhubung ke port TCP di instance dan memberikan akses akun utama ke resource yang di-tunnel.