將介紹 Google 的 Identity Aware Proxy 服務 (IAP),這是⼀個Google 提供的完全託管的解決⽅案,可⽤於多種 GCP 資源(包括 Compute Engine)上實施零信任架構。這篇實作,將⽰範包括建⽴⼀個 VM,使⽤ IAP API 通過隧道連接到沒有Public IP 的VM
使用情境
沒有WAN IP 或不允透過 Internet 直接存取的 VM ,在無需建⽴VPN的情況下存取管理。
原理
IAP TCP 轉發為建⽴⼀個加密隧道,您可以通過該隧道將 SSH、RDP 和其他流量轉發到VM 。
操作步驟
步驟一、建立VM
透過Console 建⽴VM時,要將賦予External IP 調整為None。選項位於Advanced options>Networking>External IPv4 address。
步驟二、啟⽤Identity-Aware Proxy API
預設Identity-Aware Proxy API是關閉的所以要特別啟⽤。
步驟三、建立防火牆規則 a firewall rule
IaP的服務IP網段為35.235.240.0/20,我們要建⽴⼀個防⽕牆允許這個網段透過22存取我們的VM。
步驟四、連線測試
回到VM平台上,驗證測試是否真的可以直接透過Private IP存取VM做管控。
相關⽂章
啟⽤NAT Gateway
參考⽂獻
1. Using IAP for TCP forwarding
2. How IAP’s TCP forwarding works
3. IAP Desktop