Descripción general de la redirección de TCP

En esta página, se describe cómo Cloud Identity-Aware Proxy (Cloud IAP) controla la redirección de TCP. Si deseas saber cómo otorgar acceso a los recursos en túnel para los miembros y cómo crear túneles que enruten el tráfico de TCP, consulta Uso de Cloud IAP para redirección de TCP.

Introducción

La característica de redirección de TCP de Cloud IAP te permite controlar quién puede acceder a los recursos administrativos, como SSH y RDP en tus backends desde Internet de acceso público. La característica de redirección de TCP evita que estos servicios se expongan abiertamente a Internet. Por el contrario, las solicitudes realizadas a tus servicios deben pasar comprobaciones de autenticación y autorización antes de llegar al recurso de destino.

Exponer los servicios administrativos directamente a Internet cuando se ejecutan cargas de trabajo en la nube constituye un riesgo. La redirección de tráfico de TCP con Cloud IAP te permite reducir ese riesgo, lo que garantiza que solo los usuarios autorizados tengan acceso a estos servicios sensibles.

Dado que esta característica está dirigida específicamente a los servicios administrativos, no es compatible con objetivos de balanceo de cargas.

Cómo funciona la redirección de TCP de Cloud IAP

La característica de redirección de TCP de Cloud IAP permite a los usuarios conectarse a puertos TCP arbitrarios en instancias de Compute Engine. Para el tráfico de TCP general, Cloud IAP crea un puerto de escucha en el host local que reenvía todo el tráfico a una instancia específica. Cloud IAP luego une todo el tráfico del cliente en formato HTTPS. Los usuarios pueden acceder a la interfaz y al puerto si pasan la comprobación de autenticación y autorización de la política de Cloud Identity and Access Management (Cloud IAM) del recurso de destino.

Ocasionalmente, cuando se establece una conexión SSH mediante gcloud compute ssh, se une la conexión SSH dentro de HTTPS y se la reenvía a la instancia remota sin la necesidad de que haya un puerto de escucha en el host local.

La habilitación de Cloud IAP en un recurso administrativo no bloquea de forma automática las solicitudes directas realizadas a ese recurso. Cloud IAP solo bloquea las solicitudes de TCP a servicios relevantes del recurso que no provengan de direcciones IP de redirección de TCP de Cloud IAP.

La redirección de TCP con Cloud IAP no necesita que asignes a tu recurso una dirección IP pública y enrutable. En su lugar, este servicio usa direcciones IP internas.

¿Qué sigue?

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación de Identity-Aware Proxy