Auf dieser Seite wird gezeigt, wie Identity-Aware Proxy (IAP) die TCP-Weiterleitung verarbeitet. Informationen dazu, wie Sie Hauptkonten Zugriff auf getunnelte Ressourcen gewähren und Tunnel erstellen, die TCP-Traffic weiterleiten, finden Sie unter IAP für TCP-Weiterleitung verwenden.
Einführung
Mit dem Feature der TCP-Weiterleitung von IAP können Sie festlegen, wer auf Ihren Back-Ends auf administrative Dienste wie SSH und RDP über das öffentliche Internet zugreifen kann. Durch Verwendung der TCP-Weiterleitung ist es nicht notwendig, diese Dienste öffentlich im Internet bereitzustellen. Stattdessen müssen Anfragen an Ihre Dienste authentifiziert und autorisiert werden, bevor sie zur Zielressource weitergeleitet werden.
Bei der Ausführung von Arbeitslasten in der Cloud ist die Bereitstellung administrativer Dienste direkt im Internet mit bestimmten Risiken verbunden. Durch die Weiterleitung von TCP-Traffic mit IAP können Sie dieses Risiko verringern und dafür sorgen, dass nur autorisierte Nutzer Zugriff auf diese vertraulichen Dienste erhalten.
Da dieses Feature speziell für administrative Dienste gedacht ist, werden Ziele mit Load-Balancing nicht unterstützt.
Das Aufrufen des TCP-Weiterleitungsdienstes von IAP wird auf Mobilgeräten nicht unterstützt.
Funktionsweise der TCP-Weiterleitung von IAP
Über das TCP-Weiterleitungs-Feature von IAP können Nutzer eine Verbindung zu beliebigen TCP-Ports auf Instanzen von Compute Engine herstellen. Für den allgemeinen TCP-Traffic erstellt IAP auf dem lokalen Host einen Überwachungsport, der den gesamten Traffic an die festgelegte Instanz weiterleitet. IAP fasst dann den gesamten Traffic vom Client innerhalb von HTTPS zusammen. Nutzer erhalten Zugriff auf die Schnittstelle und den Port, wenn sie die Authentifizierungs- und Autorisierungsprüfung der IAM-Richtlinie der Zielressource bestanden haben.
Als Sonderfall kann eine mit gcloud compute ssh eingerichtete SSH-Verbindung in HTTPS zusammengefasst und an die Remote-Instanz weitergeleitet werden, ohne dass ein Überwachungsport auf dem lokalen Host vorhanden sein muss.
Durch Aktivierung von IAP für eine Administratorressource werden direkte Anfragen an die Ressource nicht automatisch blockiert. IAP blockiert nur TCP-Anfragen an die erforderlichen Dienste der Ressource, die nicht von TCP-Weiterleitungs-IPs von IAP stammen.
Für die TCP-Weiterleitung mit IAP ist keine öffentliche routingfähige IP-Adresse erforderlich, die Ihrer Ressource zugewiesen ist. Stattdessen werden interne IP-Adressen verwendet.
Nächste Schritte
- Verbindung zu TCP-Ports auf Instanzen herstellen und Hauptkonten Zugriff auf getunnelte Ressourcen gewähren