本頁面說明 Identity-Aware Proxy (IAP) 如何處理 TCP 轉送。如要瞭解如何將通道資源的存取權授予主體,以及如何建立會轉送 TCP 流量的通道,請參閱針對 TCP 轉送使用 IAP。
簡介
IAP 的 TCP 轉送功能可讓您控制誰可以從公開網際網路存取管理服務 (例如後端的 SSH 與遠端桌面協定)。TCP 轉送功能可避免這些服務明確暴露在網際網路下。向您服務發出的要求必須通過驗證與授權檢查,才能抵達目標資源。
在雲端執行工作負載時,管理服務若直接暴露在網際網路下將產生風險。透過 IAP 轉送 TCP 流量可讓您降低該風險,確保只有已獲授權的使用者能夠存取這些敏感服務。
由於這項功能專為管理服務設計,因此不支援已達到負載平衡的目標。
行動裝置不支援呼叫 IAP TCP 轉送服務。
IAP TCP 轉送功能的運作方式
IAP 的 TCP 轉送功能可讓使用者連線至 Compute Engine 執行個體上的任意 TCP 通訊埠。以一般的 TCP 流量而言,IAP 會在本機主機上建立監聽通訊埠,藉以將所有流量都轉送至指定執行個體。IAP 接著會將用戶端的所有流量以 HTTPS 打包,若使用者通過目標資源身分與存取權管理 (IAM) 政策的驗證與授權檢查,即可取得此介面與通訊埠的存取權。
使用 gcloud compute ssh 建立 SSH 連線時,這項指令會將 SSH 連線包裝在 HTTPS 內,並轉送至遠端執行個體,無須在本機主機上建立監聽通訊埠。
針對管理資源啟用 IAP 並不會自動封鎖對資源的直接要求。IAP 只會封鎖不是從 IAP TCP 轉送 IP 到資源相關服務的 TCP 要求。
IAP 的 TCP 轉送功能指派給資源的 IP 位址,不需要為公開且可轉送,而是會使用內部 IP。
後續步驟
- 瞭解如何連結至執行個體上的 TCP 通訊埠,並將通道資源存取權授予主體。