Halaman ini menjelaskan cara Identity-Aware Proxy (IAP) menangani penerusan TCP. Untuk mempelajari cara memberikan akses akun utama ke resource yang di-tunnel dan cara membuat tunnel yang merutekan traffic TCP, lihat Menggunakan IAP untuk penerusan TCP.
Pengantar
Fitur penerusan TCP IAP memungkinkan Anda mengontrol siapa saja yang dapat mengakses layanan administratif seperti SSH dan RDP di backend Anda dari internet publik. Fitur penerusan TCP mencegah layanan ini terekspos ke internet secara terbuka. Sebagai gantinya, permintaan ke layanan Anda harus lulus pemeriksaan autentikasi dan otorisasi sebelum mencapai resource targetnya.
Mengekspos layanan administratif secara langsung ke internet saat menjalankan workload di cloud akan menimbulkan risiko. Dengan meneruskan traffic TCP menggunakan IAP, Anda dapat mengurangi risiko tersebut, sehingga memastikan hanya pengguna yang diotorisasi yang mendapatkan akses ke layanan sensitif ini.
Karena fitur ini secara khusus ditujukan untuk layanan administratif, target load balancing tidak didukung.
Memanggil layanan penerusan TCP IAP tidak didukung di perangkat seluler.
Cara kerja penerusan TCP IAP
Fitur penerusan TCP IAP memungkinkan pengguna terhubung ke port TCP arbitrer di instance Compute Engine. Untuk traffic TCP umum, IAP membuat port pemrosesan di host lokal yang meneruskan semua traffic ke instance yang ditentukan. IAP kemudian menggabungkan semua traffic dari klien dalam HTTPS. Pengguna mendapatkan akses ke antarmuka dan port jika mereka lulus pemeriksaan autentikasi dan otorisasi kebijakan Identity and Access Management (IAM) resource target.
Kasus khusus, membuat koneksi SSH menggunakan gcloud compute ssh
akan menggabungkan koneksi SSH di dalam HTTPS dan meneruskannya ke instance jarak jauh
tanpa memerlukan port pemrosesan di host lokal.
Mengaktifkan IAP di resource admin tidak otomatis memblokir permintaan langsung ke resource. IAP hanya memblokir permintaan TCP yang bukan berasal dari IP penerusan TCP IAP ke layanan yang relevan di resource.
Penerusan TCP dengan IAP tidak memerlukan alamat IP publik yang dapat dirutekan yang ditetapkan ke resource Anda. Sebagai gantinya, aplikasi ini menggunakan IP internal.
Langkah selanjutnya
- Pelajari cara terhubung ke port TCP di instance dan memberikan akses akun utama ke resource yang di-tunnel.