常見問題和疑難排解

這份文件列出了 Identity-Aware Proxy (IAP) 的相關常見問題。

哪些應用程式可透過 IAP 保護?

IAP 可與下列項目搭配使用:

  • App Engine 標準環境和 App Engine 彈性環境應用程式
  • 與 HTTP(S) 負載平衡後端服務搭配使用的 Compute Engine 執行個體
  • Google Kubernetes Engine 容器
  • 搭配 HTTP(S) 負載平衡後端服務的 Cloud Run 應用程式
  • 按一下即可使用 Cloud Run,且沒有負載平衡後端服務

IAP 無法Cloud CDN 搭配使用。

登入應用程式之後,為什麼網址的結尾有 #?

在某些情況下,系統可能會於驗證之後,在某些瀏覽器中將 # 附加至網址。這種情形很正常,不會導致登入時發生問題。

為什麼要求失敗且傳回 405 Method Not Allowed

這通常是因為要求未附加 Cookie。根據預設,JavaScript 方法不會附加 Cookie。

不同要求方法需要不同的做法:

  • 如要為 XMLHttpRequest,請將 withCredentials 設為 true
  • 如果是 Fetch API,請將 credentials 設為 includesame-origin

如要處理工作階段相關錯誤,請參閱「管理 IAP 工作階段」。

為什麼我收到的是 HTTP 401 Unauthorized,而不是 302 Redirect

只有在用戶端設定為處理重新導向時,IAP 才會傳送 302 Redirect

在要求標頭中加入 HTTP Accept="text/html,*/*",表示支援重新導向。

為什麼 POST 要求不會觸發重新導向?

瀏覽器不會重新導向以回應 POST 要求。而是傳回 401 Unauthorized 狀態碼。

如要對受 IAP 保護的資源提出 POST 要求,請加入下列任一項目:

如果我已停用 API,還能使用 IAP 嗎?

可以。API 停用後,您仍可存取受 IAP 保護的資源,但無法修改 IAM 權限。

如何防止擁有者角色的使用者透過 TCP 使用 IAP?

建議您盡量不要使用「擁有者」角色 (roles/owner),改用更精細的權限。如需相關指引,請參閱 IAM 最佳做法

如果無法這麼做,可以使用防火牆規則封鎖 TCP 的 IAP。

IAP for TCP 使用哪個網域?

IAP 使用下列 Google 擁有的網域:

為什麼我會收到 Server Error

如果看到:

The server encountered a temporary error and could not complete your request. Please try again in 30 seconds.

防火牆可能封鎖了負載平衡器 IP。

確認防火牆允許來自 130.211.0.0/2235.191.0.0/16 的流量。如果這些 IP 無法連上後端,應用程式就會無法存取。

如要透過 IAP TCP 連線至特定 VM,請一併確認 VM 接受來自 35.235.240.0/20 範圍的連線。

為什麼我會間歇性收到內部伺服器錯誤訊息?

An internal server error occurred while authorizing your request. Error code X 等訊息表示後端發生錯誤。

錯誤代碼 130626364703 通常反映暫時性問題。實作指數輪詢以進行重試。

如何解決超出配額的錯誤 (錯誤代碼 429)?

如果應用程式超出 IAP 的要求限制,就會發生錯誤代碼 429。這項服務會強制執行個別配額:

  • 透過瀏覽器提出的要求:每項專案每分鐘 360,000 項
  • 程式輔助要求:每項專案每分鐘 360,000 項

程式輔助要求是指包含 AUTHORIZATIONPROXY-AUTHORIZATION 標頭,但不含 IAP Cookie 的要求。所有其他要求 (包括沒有憑證的要求) 都視為瀏覽器要求。

這些限制適用於專案中所有受 IAP 保護的資源。

如果遇到配額相關錯誤,請考慮採取下列解決方案:

  • 避免在正式環境中進行負載測試,請使用可略過 IAP 的替代網路路徑
  • 對於服務間的流量,請實作指數輪詢,妥善處理 429 錯誤
  • 將高流量應用程式分散在多個專案中
  • 針對以 API 為基礎的應用程式,使用 Apigee 或類似的 API 閘道解決方案
  • 如果自然成長導致問題,請與Google Cloud 支援團隊聯絡,要求提高配額

錯誤代碼

下表列出設定及使用 IAP 時,系統傳回的常見錯誤代碼和訊息。

錯誤代碼 說明 疑難排解
7 OAuth 用戶端 ID 或密鑰為空白 前往「憑證」頁面,驗證用戶端 ID 和密鑰。如果顯示的設定正確,但無法正常運作,請使用 API 方法檢查設定 (Compute Engine 為 GET,App Engine 為 GET),然後使用 PATCH 重設設定。
9 OAuth 重新導向失敗 這是系統自動記錄的內部錯誤。您無須採取任何行動。
9 (含路徑重新編寫規則) OAuth 重新導向失敗 負載平衡器的路徑重寫規則會導致 OAuth 無法完成。請確認負載平衡器後方的所有後端都使用相同的 OAuth 用戶端 ID。您可以使用 gcloud compute backend-services update 指令更新這項設定。
9 (含路徑轉送規則) OAuth 重新導向失敗 為每個路徑的兩個版本 (有和沒有尾端斜線) 建立路徑規則變體,並將其導向相同的後端。舉例來說,請同時加入 /path//path 的規則。
11 OAuth 用戶端 ID 設定有誤 在「憑證」頁面中,檢查用戶端 ID 和密鑰。如果顯示的設定正確,但無法正常運作,請使用 API 方法檢查設定 (Compute Engine 為 GET,App Engine 為 GET),然後使用 PATCH 重設設定。
13 OIDC 權杖無效 前往「憑證」頁面,確認用戶端 ID 未遭刪除或修改。
51 瀏覽器不支援連線集區 請要求使用者將瀏覽器更新至最新版本。如要進一步瞭解連線需求,請參閱「限制資源存取權」。
52 主機名稱/SSL 憑證不符 系統管理員必須更新 SSL 憑證,使其與主機名稱相符。如需相關指引,請參閱「限制資源存取權」。
52 (含主要憑證對應項目) 主機名稱/SSL 憑證不符 IAP 不支援主要憑證對應項目。請使用個別項目,將每個憑證對應至正確的主機名稱。如需相關指南,請參閱「建立憑證對應關係項目」一節。
53 主機名稱不在允許的網域中 管理員必須將您的主機名稱加入允許的網域清單。如需操作說明,請參閱「限制資源存取權」。
253、HTTP 429 超出要求配額 您已達到要求上限 (每種要求類型每分鐘 360,000 次)。請考慮將工作負載分配到多個專案、實作用戶端要求節流,或視需要與支援團隊聯絡,要求增加配額,以利業務成長。
551 在多個位置啟用 IAP 您無法同時在轉送規則和後端服務上啟用 IAP。按照「為 Compute Engine 啟用」一文的指引,在其中一個位置停用。
700、701 工作團隊集區提供者問題 為工作團隊集區設定一個提供者。如需詳細規定,請參閱「工作站集區限制」。
705 缺少員工身分識別的 OAuth 用戶端 ID 請按照完整設定程序操作:先建立 OAuth 用戶端 ID,然後更新 IAP 設定
708 工作團隊集區名稱無效 確認工作團隊集區存在,且使用正確格式:locations/global/workforcePools/WORKFORCE_POOL_ID
4003 連線或防火牆問題 確認 VM 程序正在執行,並在預期通訊埠上監聽。此外,請確認防火牆規則允許該通訊埠的連線。
4010 目的地關閉連線 重設 VM。如果問題持續發生,請檢查 auth.log (通常位於 /var/log/),或使用序列控制台進行更詳細的診斷。
4033 權限、存在與否或 VM 狀態問題 透過 IAP 頁面確認您已為資源指派通道使用者角色,並驗證 VM 是否存在且正在執行。
4047 執行個體不存在或已停止 確認 VM 已開機,且啟動程序已完全完成。

如果無法解決問題,或本頁面未列出您遇到的錯誤,請與 Cloud Customer Care 聯絡,並提供錯誤說明,以及對 API 進行 GET 呼叫時收到的回應。請務必從回應中移除用戶端密鑰。