이 페이지에서는 IAP(Identity-Aware Proxy)가 TCP 전달을 처리하는 방법에 대해 설명합니다. 주 구성원에게 터널링된 리소스에 대한 액세스 권한을 부여하는 방법과 TCP 트래픽을 전달하는 터널을 만드는 방법을 알아보려면 TCP 전달을 위한 IAP 사용을 참조하세요.
소개
IAP의 TCP 전달 기능을 사용하면 공용 인터넷에서 백엔드의 SSH 및 RDP와 같은 관리 서비스에 액세스할 수 있는 사용자를 제어할 수 있습니다. TCP 전달 기능은 이러한 서비스가 인터넷에 공개적으로 노출되지 않도록 방지합니다. 대신 서비스 요청이 대상 리소스에 도달하기 전에 인증 및 승인을 통과해야 합니다.
클라우드에서 작업 부하를 실행할 때 인터넷에 직접 관리 서비스를 노출하는 것은 위험합니다. IAP를 사용하여 TCP 트래픽을 전달하면 이러한 위험을 줄여 승인된 사용자만 민감한 서비스에 액세스하도록 보장할 수 있습니다.
이 기능은 특별히 관리 서비스를 대상으로 하기 때문에, 부하 분산된 대상은 지원되지 않습니다.
휴대기기에서는 IAP TCP 전달 서비스 호출이 지원되지 않습니다.
IAP의 TCP 전달 작동 방식
IAP의 TCP 전달 기능을 사용하면 Compute Engine 인스턴스에서 임의 TCP 포트에 연결할 수 있습니다. 일반 TCP 트래픽에 대해 IAP는 모든 트래픽을 지정된 인스턴스로 전달하는 로컬 호스트에 리슨 포트를 만듭니다. 그런 다음 IAP는 클라이언트에서 발생하는 모든 트래픽을 HTTPS로 래핑합니다. 대상 리소스의 ID 및 액세스 관리(IAM) 정책에 대한 인증 및 승인 검사를 통과하면 사용자는 인터페이스와 포트에 액세스할 수 있습니다.
gcloud compute ssh를 사용하여 SSH 연결을 설정하는 특별한 경우에는 HTTPS 내에서 SSH 연결을 래핑하고 로컬 호스트에 리슨 포트 없이 원격 인스턴스로 이를 전달합니다
관리 리소스에 IAP를 사용 설정해도 이 리소스에 대한 직접 요청이 자동으로 차단되지는 않습니다. IAP는 IAP TCP의 전달 IP에서 리소스의 관련 서비스로의 TCP 요청이 아닌 TCP 요청만 차단합니다
IAP의 TCP 전달 기능은 라우팅 가능한 공개 IP 주소를 리소스에 할당할 필요가 없습니다 대신 내부 IP를 사용합니다.
다음 단계
- 인스턴스의 TCP 포트에 연결하여 주 구성원에게 터널링된 리소스에 대한 액세스 권한을 부여하는 방법 알아보기