使用 IAP 保护虚拟机

本页说明如何使用 IAP TCP 转发来对没有公共 IP 地址或不允许通过 Internet 直接访问的 VM 实例进行管理访问。

IAP TCP 转发允许您建立加密隧道,通过该隧道可以将 SSH、RDP 和其他流量转发到 VM 实例。IAP TCP 转发还提供了对哪些用户可以建立隧道和用户可以与哪些虚拟机实例连接的精细控制。

如需了解有关 IAP TCP 转发如何工作的更多信息,请参阅 TCP 转发概览

为 IAP TCP 转发准备项目

本部分将引导您通过必要步骤在 Google Cloud 项目中启用 IAP TCP 转发。

创建防火墙规则

如需允许 IAP 连接到您的虚拟机实例,请创建一个防火墙规则,该规则:

  • 适用于您希望使用 IAP 可访问的所有 VM 实例。
  • 允许 IP 范围 35.235.240.0/20 的入站流量。此范围包含 IAP 用于 TCP 转发的所有 IP 地址。
  • 允许连接到您希望通过使用 IAP TCP 转发访问的所有端口,例如,SSH 的端口 22 和 RDP 的端口 3389

控制台

如需允许 RDP 和 SSH 访问网络中的所有虚拟机实例,请执行以下操作:

  • 打开防火墙规则页面,然后点击创建防火墙规则

    打开“防火墙规则”页面

  • 配置以下设置:

    • 名称allow-ingress-from-iap
    • 流量方向入站
    • 目标网络中的所有实例
    • 来源过滤IP 地址范围
    • 来源 IP 地址范围35.235.240.0/20
    • 协议和端口:选择 TCP,然后输入 22,3389 以允许 RDP 和 SSH。
  • 点击创建

gcloud

如需允许 RDP 访问网络中的所有虚拟机实例,请运行:

gcloud compute firewall-rules create allow-rdp-ingress-from-iap \
  --direction=INGRESS \
  --action=allow \
  --rules=tcp:3389 \
  --source-ranges=35.235.240.0/20

对于 SSH 访问,请运行:

gcloud compute firewall-rules create allow-ssh-ingress-from-iap \
  --direction=INGRESS \
  --action=allow \
  --rules=tcp:22 \
  --source-ranges=35.235.240.0/20

对于其他协议,运行

gcloud compute firewall-rules create allow-ingress-from-iap \
  --direction=INGRESS \
  --action=allow \
  --rules=tcp:PORT \
  --source-ranges=35.235.240.0/20

其中 PORT 是协议使用的端口。

授予使用 IAP TCP 转发的权限

如需控制允许哪些用户和群组使用 IAP TCP 转发以及允许它们连接到哪些虚拟机实例,请配置 Identity and Access Management (IAM) 权限。

我们建议为受信任的管理员授予以下所有角色:

您可以通过在项目级层配置 IAM 权限来授予用户或群组对某项目中所有虚拟机实例的访问权限:

控制台

  1. 在 Cloud Console 中打开 IAM 和管理页面。

    打开“IAM 和管理”页面

  2. 点击添加并配置以下内容:

    • 新成员:指定您要授予访问权限的用户或群组。
    • 选择角色:选择 Cloud IAP > 受 IAP 保护的隧道用户
  3. (可选)点击添加条件并配置成员限制:

    • 标题:输入限制的名称。
    • 表达式:输入用户必须满足才允许使用 IAP 进行 TCP 转发的条件

    例如,以下 CEL 表达式会限制访问端口 22:

    destination.port == 22
    

    您还可以按访问权限级层限制访问:

    destination.port == 22 && "FULL_ACCESS_LEVEL_NAME" in request.auth.access_levels
    

    其中 FULL_ACCESS_LEVEL_NAME 是现有的访问权限级层,并使用格式 accessPolicies/POLICY_NAME/accessLevels/ACCESS_LEVEL_NAME

  4. 点击添加其他角色并配置以下内容:

    • 选择角色 选择 Compute Engine > Compute Instance Admin (v1)
  5. 点击添加其他角色并配置以下内容:

    • 选择角色 选择服务帐号 > Service Account User
  6. 点击保存

gcloud

将三个角色授予用户:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL \
    --role=roles/iap.tunnelResourceAccessor
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL \
    --role=roles/compute.instanceAdmin.v1
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL \
    --role=roles/iam.serviceAccountUser

请替换以下内容:

  • PROJECT_ID:项目的 ID
  • EMAIL:您要授予访问权限的用户的电子邮件地址,例如 user@example.com

如果需要,您可以改为按虚拟机配置 iap.tunnelResourceAccessor 角色(其他角色必须位于项目中):

控制台

  1. 打开 IAP 管理页面,然后选择 SSH 和 TCP 资源标签页。

    打开 BeyondCorp Enterprise 管理页面

  2. 选择要配置的虚拟机实例。
  3. 如果未显示信息面板,请点击显示信息面板
  4. 点击添加成员并配置以下内容:

    • 新成员:指定您要授予访问权限的用户或群组。
    • 选择角色:选择 Cloud IAP > 受 IAP 保护的隧道用户
  5. (可选)点击添加条件并配置成员限制:

    • 标题:输入限制的名称。
    • 表达式:输入用户必须满足才允许使用 IAP 进行 TCP 转发的条件

    例如,以下 CEL 表达式会限制访问端口 22:

    destination.port == 22
    

    您还可以按访问权限级层限制访问:

    destination.port == 22 && "FULL_ACCESS_LEVEL_NAME" in request.auth.access_levels
    

    其中 FULL_ACCESS_LEVEL_NAME 是现有的访问权限级层,并使用格式 accessPolicies/POLICY_NAME/accessLevels/ACCESS_LEVEL_NAME

  6. 点击保存

API

如需编辑应用的 policy.json 文件,请执行以下过程。如需详细了解如何使用 IAM API 管理访问权限政策,请参阅管理对受 BeyondCorp Enterprise 保护的资源的访问权限

  1. 根据您的服务帐号下载凭据文件。

    1. 转到“服务帐号”页面
      转到“服务帐号”页面

    2. 点击您的服务帐号的电子邮件地址。

    3. 点击修改

    4. 点击创建密钥

    5. 选择 JSON 作为密钥类型。

    6. 点击创建并关闭随即显示的确认窗口,创建新密钥。

    您的 JSON 凭据文件现已下载完毕。

  2. 导出以下变量。

    export IAP_BASE_URL=https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_tunnel
    # Replace with the path to your local service account's downloaded JSON file
    export JSON_CREDS=EXAMPLE.IAM.GSERVICEACCOUNT.COM.JSON
    # Replace POLICY_FILE.JSON with the name of JSON file to use for setIamPolicy
    export JSON_NEW_POLICY=POLICY_FILE.JSON
    

  3. 运行以下命令,以使用 Oauth2l 将服务帐号凭据 JSON 文件转换为 OAuth 访问令牌:

    oauth2l header --json ${JSON_CREDS} cloud-platform

  4. 如果这是您第一次运行上述命令,请在系统提示时执行以下操作:

    1. 点击显示的链接并复制代码,以获取验证码。
    2. 将验证码粘贴到您的应用提示中。
    3. 复制返回的不记名令牌。
    4. 导出分配给返回的不记名令牌值的新变量。
      export CLOUD_OAUTH_TOKEN=AUTHORIZATION_BEARER_TOKEN
  5. 如果您之前运行过此命令,请导出以下变量。

    export CLOUD_OAUTH_TOKEN="$(oauth2l header --json ${JSON_CREDS} cloud-platform)"

  6. 使用 getIamPolicy 方法获取 Compute Engine 实例的 IAM 政策。最后的空数据位表示将 curl 请求转换为 POST,而不是 GET。

    curl -i -H "${CLOUD_OAUTH_TOKEN}" \
         ${IAP_BASE_URL}/zones/ZONE_NAME/instances/INSTANCE_ID or INSTANCE_NAME:getIamPolicy \
         -d ''

  7. 通过修改 IAM 政策 JSON 文件,为您的成员授予 iap.tunnelResourceAccessor 角色。

  8. (可选)根据 IAM 条件访问权限级别添加成员限制。

    以下是经过修改的 policy.json 文件的示例,该文件会将 iap.tunnelResourceAccessor 角色绑定到一组虚拟机实例管理员,并为他们授予对受 BeyondCorp Enterprise 保护的隧道资源的访问权限。示例中添加了 IAM Conditions,利用 destination.ipdestination.port IAM Conditions,仅允许虚拟机实例管理员组中端口 22 上具有专用 IP 地址 10.0.0.1 的成员访问资源。它们还必须满足 ACCESS_LEVEL_NAME 访问权限级层的要求。

    请注意,如果成员具有 Owner 角色,他们就有权使用 IAP 进行 TCP 转发。


    policy.json 文件示例

    {
      "policy": {
        "bindings": [
          {
            "role": "roles/iap.tunnelResourceAccessor",
            "members": ["group:instance-admins@example.com"],
            "condition": {
              "expression": "\"accessPolicies/POLICY_NAME/accessLevels/ACCESS_LEVEL_NAME\" in request.auth.access_levels && destination.ip == \"10.0.0.1\" && destination.port == 22",
              "title": "CONDITION_NAME"
            }
          }
        ]
      }
    }

    如需查找政策名称,请调用 accessPolicies.list

    GET https://accesscontextmanager.googleapis.com/v1/accessPolicies
    
  9. 使用 setIamPolicy 方法设置新的 policy.json 文件。

    curl -i -H "Content-Type:application/json" \
              -H "$(oauth2l header --json ${JSON_CREDS} cloud-platform)" \
              ${IAP_BASE_URL}/zones/ZONE_NAME/instances/INSTANCE_ID or INSTANCE_NAME:setIamPolicy \
              -d @${JSON_NEW_POLICY}
    

权限详情

所需权限因用户使用 IAP TCP 转发的方式而异:

情况 所需权限
全部
  • iap.tunnelInstances.accessViaIAP
使用 gcloud compute [start-iap-tunnel, ssh, scp]
  • compute.instances.get
  • compute.instances.list
使用 gcloud compute [ssh, scp]
  • compute.projects.get
使用 OS Login 的虚拟机 请参阅这些说明
不使用 OS Login
  • compute.instances.setMetadata
  • compute.projects.setCommonInstanceMetadata
  • compute.globalOperations.get
使用服务帐号通过 SSH 连接到虚拟机
  • iam.serviceAccounts.actAs
通过浏览器进行 SSH 连接 请参阅这些说明

例如,如果用户想要使用 gcloud compute ssh 连接到没有使用 OS Login 但使用服务帐号的虚拟机,则需要以下权限:

  • iap.tunnelInstances.accessViaIAP
  • compute.instances.get
  • compute.instances.list
  • compute.projects.get
  • compute.instances.setMetadata
  • compute.projects.setCommonInstanceMetadata
  • compute.globalOperations.get
  • iam.serviceAccounts.actAs

通过隧道传输 SSH 连接

您可以通过 IAP 隧道传输 SSH 流量来连接到没有公共 IP 地址的 Linux 实例:

控制台

如需连接到您的实例,请使用 Cloud Console 中的 SSH 按钮。您的实例的访问权限配置(通过 IAM 权限定义)必须允许通过 IAP 进行 TCP 隧道传输。

gcloud

如需连接到您的实例,请使用 gcloud compute ssh 命令。您的实例的访问权限配置(通过 IAM 权限定义)必须允许通过 IAP 进行 TCP 隧道传输。

gcloud compute ssh INSTANCE_NAME

INSTANCE_NAME 替换为要通过 SSH 登录到的实例的名称。

如果实例没有公共 IP 地址,则连接会自动使用 IAP TCP 隧道传输。如果实例确实具有公共 IP 地址,则连接将使用公共 IP 地址,而不使用 IAP TCP 隧道传输。

您可以使用 --tunnel-through-iap 标志,以便 gcloud compute ssh 始终使用 IAP TCP 隧道传输。

使用 --internal-ip 标志,以便 gcloud compute ssh 绝不使用 IAP TCP 隧道,而是直接连接到虚拟机的内部 IP。此方法适用于连接到与目标虚拟机所在的同一 VPC 网络的客户端。

IAP 桌面

您可以使用 SSH 和 IAP TCP 转发,使用 IAP 桌面连接到虚拟机实例。

  1. 在应用中,依次选择文件 > 添加 Google Cloud 项目

  2. 输入您的项目的 ID 或名称,然后点击确定

  3. Project Explorer 窗口中,右键点击要连接的虚拟机实例,然后选择连接

IAP 桌面

如需详细了解 IAP 桌面,请参阅 GitHub 项目页面

PuTTY

您可以设置 PuTTY,使其使用 IAP TCP 转发来连接到虚拟机实例。您的实例的访问权限配置(通过 IAM 权限定义)必须允许通过 IAP 进行 TCP 隧道传输。

在配置 PuTTY 之前,请使用一次 gcloud compute ssh 命令,以确保本地计算机上有 SSH 私钥并且 SSH 公钥已发布到 Compute Engine:

  1. 打开命令提示符,并运行以下命令以连接到虚拟机实例:

    gcloud compute ssh INSTANCE_NAME `
      --tunnel-through-iap `
      --project PROJECT_ID `
      --zone ZONE
    

    请替换以下内容:

    • INSTANCE_NAME:要连接到的实例的名称
    • PROJECT_ID:虚拟机实例所在项目的项目 ID
    • ZONE:虚拟机实例所在的可用区

    如有必要,按 Y 确认您要生成 SSH 密钥。

  2. 在虚拟机上,通过运行以下命令来确定您的用户名:

    whoami
    

    您稍后需要使用此用户名。

您现在可以将 PuTTY 配置为使用 IAP TCP 转发:

  1. 打开 PuTTY 并选择类别 Connection > Proxy
  2. 配置以下代理设置:

    • 对于 Proxy type,选择 Local
    • Telnet command, or local proxy command 字段中,输入以下内容:

      gcloud.cmd compute start-iap-tunnel %host %port --listen-on-stdin --project PROJECT_ID --zone ZONE
      

      请替换以下内容:

      • PROJECT_ID:虚拟机实例所在项目的项目 ID
      • ZONE:虚拟机实例所在的可用区
    • 对于 Print proxy diagnostics in the terminal window,选择 Only until session starts

  3. 选择类别 Connection > SSH > Auth

  4. 点击 Browse 并粘贴以下文件名,然后点击 Open

    %USERPROFILE%\.ssh\google_compute_engine.ppk
    
  5. 选择类别 Session

  6. 配置以下代理设置:

    • Host name (or IP address) 字段中,输入以下内容:

      USERNAME@INSTANCE_NAME
      

      请替换以下内容:

      • USERNAME:您之前确定的 Linux 用户名
      • INSTANCE_NAME:您要连接的虚拟机实例的名称
    • Saved sessions:输入会话的名称。

  7. 点击保存

  8. 点击 Open 以启动 SSH 会话。

通过隧道传输 RDP 连接

您可以通过 IAP 隧道传输 RDP 流量来连接到没有公共 IP 地址的 Windows 实例:

IAP 桌面

您可以使用 IAP TCP 转发,使用 IAP 桌面连接到一个或多个虚拟机实例的远程桌面。

  1. 在应用中,依次选择文件 > 添加 Google Cloud 项目

  2. 输入您的项目的 ID 或名称,然后点击确定

  3. Project Explorer 窗口中,右键点击要连接的虚拟机实例,然后选择连接

IAP 桌面

如需详细了解 IAP 桌面,请参阅 GitHub 项目页面

gcloud

如需连接到虚拟机实例的远程桌面,首先要创建一个隧道。

  1. 使用 gcloud compute start-iap-tunnel 命令创建到虚拟机实例的 RDP 端口的加密隧道。

    gcloud compute start-iap-tunnel INSTANCE_NAME 3389 \
        --local-host-port=localhost:LOCAL_PORT \
        --zone=ZONE
    

    INSTANCE_NAME 替换为要连接到的虚拟机实例的名称。将 LOCAL_PORT 替换为要绑定代理的 localhost 端口,或使用 0 自动选择未使用的端口。将 ZONE 替换为虚拟机实例所在的区域。

  2. gcloud 执行与虚拟机实例的连接测试,然后打开隧道并显示端口号。

    Listening on port [LOCAL_PORT].
    

    发送到 localhost:LOCAL_PORT 的所有流量都转发到虚拟机实例。该端口只能由本地计算机上运行的应用访问。

  3. 保持 gcloud 运行并打开 Microsoft Windows 远程桌面连接应用。

  4. 输入隧道端点作为计算机名称:

    localhost:LOCAL_PORT
    

    LOCAL_PORT 替换为用 gcloud 打开隧道时显示的端口号。

  5. 点击连接

通过隧道传输其他 TCP 连接

您可以使用 gcloud compute start-iap-tunnel 命令分配本地端口,以将 IAP TCP 转发功能用于其他基于 TCP 的协议。该本地端口会将来自本地机器的数据流量以 HTTPS 数据流形式通过隧道传送到远程机器。IAP 随即会接收数据,应用访问权限控制,并将未封装的数据转发到远程端口。反之,来自远程端口的所有数据在也会先进行封装,然后再发送至本地端口并在这里解除封装。

gcloud

创建到虚拟机实例端口的加密隧道:

gcloud compute start-iap-tunnel INSTANCE_NAME INSTANCE_PORT \
    --local-host-port=localhost:LOCAL_PORT \
    --zone=ZONE

INSTANCE_NAMEINSTANCE_PORT 替换为要连接的虚拟机实例的名称和端口。将 LOCAL_PORT 替换为您想要绑定代理的 localhost 端口。将 ZONE 替换为虚拟机实例所在的区域。

gcloud 执行与虚拟机实例的连接测试,然后打开隧道并显示端口号。

Listening on port [LOCAL_PORT].

发送到 localhost:LOCAL_PORT 的所有流量都转发到虚拟机实例。该端口只能由本地计算机上运行的应用访问。

已知限制

带宽:IAP TCP 转发功能并非为批量转移数据而设计。IAP 保留对滥用此项服务的用户施加速率限制的权利。

连接时长:闲置 1 小时后,IAP 会自动断开会话连接。建议在应用中添加逻辑,以便在连接断开时重建隧道。

后续步骤