Panoramica dell'inoltro TCP

In questa pagina viene descritto il modo in cui Identity-Aware Proxy (IAP) gestisce l'inoltro TCP. Per informazioni su come concedere alle entità l'accesso alle risorse con tunneling e come creare tunnel che instradano il traffico TCP, consulta la sezione Utilizzare IAP per il forwarding TCP.

Introduzione

La funzionalità di inoltro TCP di IAP ti permette di controllare chi può accedere ai servizi amministrativi come SSH e RDP sui backend dalla rete Internet pubblica. La funzionalità di inoltro TCP impedisce l'esposizione aperta di questi servizi a Internet. Le richieste ai tuoi servizi, invece, devono superare i controlli di autenticazione e autorizzazione prima di raggiungere la risorsa di destinazione.

Mostrare servizi amministrativi direttamente a Internet quando si eseguono carichi di lavoro nel cloud presenta dei rischi. L'inoltro del traffico TCP con IAP consente di ridurre questo rischio, garantendo che solo gli utenti autorizzati ottengano l'accesso a questi servizi sensibili.

Poiché questa funzionalità è appositamente progettata per i servizi amministrativi, i target con bilanciamento del carico non sono supportati.

La chiamata al servizio di forwarding TCP da IAP non è supportata sui dispositivi mobili.

Come funziona il forwarding TCP da IAP

La funzionalità di inoltro TCP di IAP consente agli utenti di connettersi a porte TCP arbitrarie sulle istanze di Compute Engine. Per il traffico TCP generale, IAP crea una porta di ascolto sull'host locale che inoltra tutto il traffico a un'istanza specificata. IAP quindi aggrega tutto il traffico dal client in HTTPS. Gli utenti ottengono l'accesso all'interfaccia e alla porta se superano il controllo di autenticazione e autorizzazione del criterio IAM (Gestione di identità e accessi) della risorsa di destinazione.

Un caso particolare, che stabilisce una connessione SSH tramite gcloud compute ssh, esegue il wrapping della connessione SSH all'interno di HTTPS e la inoltra all'istanza remota senza la necessità di una porta di ascolto sull'host locale.

L'abilitazione di IAP su una risorsa di amministratore non blocca automaticamente le richieste dirette alla risorsa. IAP blocca solo le richieste TCP non provenienti dagli IP di inoltro TCP IAP verso i servizi pertinenti nella risorsa.

Il forwarding TCP con IAP non richiede un indirizzo IP pubblico e instradabile assegnato alla tua risorsa. ma utilizza IP interni.

Passaggi successivi