In questa pagina viene descritto in che modo Identity-Aware Proxy (IAP) gestisce l'inoltro TCP. Per scoprire come concedere alle entità l'accesso alle risorse con tunnel e come creare tunnel che instradano il traffico TCP, consulta Utilizzo di IAP per l'inoltro TCP.
Introduzione
La funzionalità di inoltro TCP di IAP consente di controllare chi può accedere a servizi amministrativi come SSH e RDP sui tuoi backend dalla rete internet pubblica. La funzionalità di inoltro TCP impedisce a questi servizi di essere apertamente esposti a internet. Le richieste ai tuoi servizi devono invece superare i controlli di autenticazione e autorizzazione prima di arrivare alla risorsa di destinazione.
L'esposizione dei servizi amministrativi direttamente a internet durante l'esecuzione di carichi di lavoro nel cloud comporta dei rischi. L'inoltro del traffico TCP con IAP ti consente di ridurre questo rischio, garantendo che solo gli utenti autorizzati possano accedere a questi servizi sensibili.
Poiché questa funzionalità è specificamente destinata ai servizi amministrativi, le destinazioni con bilanciamento del carico non sono supportate.
Le chiamate al servizio di inoltro TCP di IAP non sono supportate sui dispositivi mobili.
Come funziona l'inoltro TCP di IAP
La funzionalità di forwarding TCP di IAP consente agli utenti di connettersi a porte TCP arbitrarie sulle istanze di Compute Engine. Per il traffico TCP generale, IAP crea una porta di ascolto sull'host locale che inoltra tutto il traffico a un'istanza specificata. In seguito, IAP esegue il wrapping di tutto il traffico proveniente dal client in HTTPS. Gli utenti possono accedere all'interfaccia e alla porta se superano il controllo di autenticazione e autorizzazione del criterio IAM (Identity and Access Management) della risorsa di destinazione.
Un caso speciale, in cui viene stabilita una connessione SSH tramite gcloud compute ssh
, esegue il wrapping della connessione SSH all'interno di HTTPS e la inoltra all'istanza remota senza bisogno di una porta di ascolto sull'host locale.
L'abilitazione di IAP su una risorsa di amministrazione non blocca automaticamente le richieste dirette alla risorsa. IAP blocca solo le richieste TCP che non provengono dagli IP di forwarding TCP IAP ai servizi pertinenti sulla risorsa.
L'inoltro TCP con IAP non richiede un indirizzo IP pubblico instradabile assegnato alla risorsa. ma utilizza IP interni.
Passaggi successivi
- Scopri come connetterti alle porte TCP sulle istanze e concedere alle entità l'accesso alle risorse con tunnel.