TCP 전달 개요

이 페이지에서는 Cloud IAP(Identity-Aware Proxy)에서 TCP 전달을 처리하는 방법을 설명합니다. 구성원에게 터널링된 리소스에 대한 액세스 권한을 부여하는 방법과 TCP 트래픽을 전달하는 터널을 만드는 방법을 알아보려면 TCP 전달을 위한 Cloud IAP 사용을 참조하세요.

소개

Cloud IAP의 TCP 전달 기능을 사용하면 공용 인터넷에서 백엔드의 SSH 및 RDP와 같은 관리 서비스에 액세스할 수 있는 사용자를 제어할 수 있습니다. TCP 전달 기능은 이러한 서비스가 인터넷에 공개적으로 노출되지 않도록 방지합니다. 대신 서비스 요청이 대상 리소스에 도달하기 전에 인증 및 승인을 통과해야 합니다.

클라우드에서 작업 부하를 실행할 때 인터넷에 직접 관리 서비스를 노출하는 것은 위험합니다. Cloud IAP를 사용하여 TCP 트래픽을 전달하면 이러한 위험을 줄여 승인된 사용자만 민감한 서비스에 액세스하도록 보장할 수 있습니다.

이 기능은 특별히 관리 서비스를 대상으로 하기 때문에, 부하 분산된 대상은 지원되지 않습니다.

Cloud IAP의 TCP 전달 작동 방법

Cloud IAP의 TCP 전달 기능을 사용하면 Compute Engine 인스턴스에서 임의 TCP 포트에 연결할 수 있습니다. 일반 TCP 트래픽에 대해 Cloud IAP는 모든 트래픽을 지정된 인스턴스로 전달하는 로컬 호스트에 수신 포트를 만듭니다. 그런 다음 Cloud IAP는 클라이언트에서 발생하는 모든 트래픽을 HTTPS로 래핑합니다. 사용자는 대상 리소스의 Cloud IAM(Cloud Identity and Access Management) 정책에 대한 인증 및 승인을 통과하면 인터페이스와 포트에 액세스할 수 있습니다.

gcloud compute ssh를 사용하여 SSH 연결을 설정하는 특별한 경우에는 HTTPS 내에서 SSH 연결을 래핑하고 로컬 호스트에 수신 포트 없이 원격 인스턴스로 이를 전달합니다.

관리 리소스에 Cloud IAP를 사용 설정해도 이 리소스에 대한 직접 요청이 자동으로 차단되지는 않습니다. Cloud IAP는 Cloud IAP TCP의 전달 IP에서 리소스의 관련 서비스로의 TCP 요청이 아닌 TCP 요청만 차단합니다.

Cloud IAP의 TCP 전달 기능은 라우팅 가능한 공개 IP 주소를 리소스에 할당할 필요가 없습니다. 대신 내부 IP를 사용합니다.

다음 단계

  • 인스턴스의 TCP 포트에 연결하여 구성원에게 터널링된 리소스에 대한 액세스 권한을 부여하는 방법 알아보기
이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Identity-Aware Proxy 문서