Esta página descreve como o Identity-Aware Proxy (IAP) processa o encaminhamento TCP. Para saber como conceder aos principais acesso a recursos em túnel e como criar túneis que encaminham o tráfego TCP, consulte o artigo Usar o IAP para encaminhamento TCP.
Introdução
A funcionalidade de encaminhamento TCP do IAP permite-lhe controlar quem pode aceder a serviços administrativos, como SSH e RDP, nos seus back-ends a partir da Internet pública. A funcionalidade de encaminhamento TCP impede que estes serviços sejam expostos abertamente à Internet. Em alternativa, os pedidos aos seus serviços têm de passar por verificações de autenticação e autorização antes de chegarem ao recurso de destino.
Expor serviços administrativos diretamente à Internet quando executa cargas de trabalho na nuvem introduz riscos. O encaminhamento do tráfego TCP com o IAP permite-lhe reduzir esse risco, garantindo que apenas os utilizadores autorizados obtêm acesso a estes serviços confidenciais.
Uma vez que esta funcionalidade se destina especificamente a serviços administrativos, os destinos com equilíbrio de carga não são suportados.
A chamada do serviço de encaminhamento TCP da IAP não é suportada em dispositivos móveis.
Como funciona o encaminhamento TCP do IAP
A funcionalidade de encaminhamento TCP do IAP permite que os utilizadores se liguem a portas TCP arbitrárias em instâncias do Compute Engine. Para o tráfego TCP geral, o IAP cria uma porta de escuta no anfitrião local que encaminha todo o tráfego para uma instância especificada. Em seguida, o IAP envolve todo o tráfego do cliente em HTTPS. Os utilizadores obtêm acesso à interface e à porta se passarem na verificação de autenticação e autorização da política de gestão de identidade e de acesso (IAM) do recurso de destino.
Um caso especial, o estabelecimento de uma ligação SSH através de gcloud compute ssh envolve a ligação SSH em HTTPS e encaminha-a para a instância remota sem necessidade de uma porta de escuta no anfitrião local.
A ativação da IAP num recurso de administrador não bloqueia automaticamente os pedidos diretos ao recurso. O IAP apenas bloqueia pedidos TCP que não sejam de IPs de encaminhamento TCP do IAP para serviços relevantes no recurso.
O encaminhamento TCP com o IAP não requer um endereço IP público e encaminhável atribuído ao seu recurso. Em alternativa, usa IPs internos.
O que se segue?
- Saiba como estabelecer ligação a portas TCP em instâncias e conceder aos principais acesso a recursos em túnel.