IAP für die TCP-Weiterleitung verwenden

Auf dieser Seite wird erläutert, wie Sie mit der TCP-Weiterleitung (Identity-Aware Proxy) den Administratorzugriff auf VM-Instanzen ermöglichen, die keine externen IP-Adressen haben oder keinen direkten Zugriff über das Internet zulassen.

Mit der TCP-Weiterleitung von IAP können Sie einen verschlüsselten Tunnel einrichten, über den Sie SSH, RDP und anderen Traffic zu VM-Instanzen weiterleiten können. Mit der TCP-Weiterleitung von IAP können Sie außerdem genau steuern, welche Nutzer Tunnel erstellen und auf welche VM-Instanzen die Nutzer zugreifen dürfen.

Weitere Informationen zur Funktionsweise der TCP-Weiterleitung von IAP finden Sie in der Übersicht zur TCP-Weiterleitung.

Projekt für die IAP-TCP-Weiterleitung vorbereiten

In diesem Abschnitt werden die erforderlichen Schritte zum Aktivieren der IAP-TCP-Weiterleitung in Ihrem Google Cloud-Projekt beschrieben.

Firewallregel erstellen

Damit IAP eine Verbindung zu den VM-Instanzen herstellen kann, erstellen Sie eine Firewallregel, die

  • gilt für alle VM-Instanzen, auf die Sie mit IAP zugreifen möchten.
  • Lässt eingehenden Traffic aus dem IP-Bereich 35.235.240.0/20 zu. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.
  • Ermöglicht Verbindungen zu allen Ports, auf die Sie mit IAP-TCP-Weiterleitung zugreifen möchten, z. B. Port 22 für SSH und Port 3389 für RDP.

Console

So gewähren Sie RDP- und SSH-Zugriff auf alle VM-Instanzen in Ihrem Netzwerk:

  • Öffnen Sie die Seite "Firewallregeln" und klicken Sie auf Firewallregel erstellen.

    Zur Seite "Firewallregeln"

  • Konfigurieren Sie die folgenden Einstellungen:

    • Name: allow-ingress-from-iap.
    • Trafficrichtung: Eingehend
    • Ziel: Alle Instanzen im Netzwerk
    • Quellfilter: IP-Bereiche.
    • Quell-IP-Bereiche: 35.235.240.0/20
    • Protokolle und Ports: Wählen Sie TCP aus und geben Sie 22,3389 ein, um sowohl RDP als auch SSH zuzulassen.
  • Klicken Sie auf Erstellen.

gcloud

Führen Sie folgenden Befehl aus, um RDP-Zugriff auf alle VM-Instanzen in Ihrem Netzwerk zuzulassen:

gcloud compute firewall-rules create allow-rdp-ingress-from-iap \
  --direction=INGRESS \
  --action=allow \
  --rules=tcp:3389 \
  --source-ranges=35.235.240.0/20

Führen Sie für den SSH-Zugriff folgenden Befehl aus:

gcloud compute firewall-rules create allow-ssh-ingress-from-iap \
  --direction=INGRESS \
  --action=allow \
  --rules=tcp:22 \
  --source-ranges=35.235.240.0/20

Führen Sie für andere Protokolle den folgenden Befehl aus:

gcloud compute firewall-rules create allow-ingress-from-iap \
  --direction=INGRESS \
  --action=allow \
  --rules=tcp:PORT \
  --source-ranges=35.235.240.0/20

Dabei ist PORT der vom Protokoll verwendete Port.

Berechtigungen für die Verwendung der IAP-TCP-Weiterleitung erteilen

Wenn Sie steuern möchten, welche Nutzer und Gruppen die IAP-TCP-Weiterleitung verwenden dürfen und welche VM-Instanzen eine Verbindung herstellen dürfen, konfigurieren Sie IAM-Berechtigungen (Identity and Access Management).

Wir empfehlen, vertrauenswürdigen Administratoren die folgenden Rollen zuzuweisen:

Wenn Sie OS Login verwenden (empfohlen), lesen Sie die Informationen unter OS Login-Rollen für Nutzerkonten konfigurieren. Wenn Sie Dienstkonten verwenden, lesen Sie diese Anleitung zum Einrichten der Rolle serviceAccountUser.

Sie können einem Nutzer oder einer Gruppe Zugriff auf alle VM-Instanzen in einem Projekt gewähren. Dazu konfigurieren Sie die IAM-Berechtigungen auf Projektebene:

Console

  1. Öffnen Sie in der Cloud Console die Seite IAM &Verwaltung.

    Seite "IAM &Verwaltung" öffnen

  2. Klicken Sie auf Hinzufügen und konfigurieren Sie Folgendes:

    • Neue Mitglieder: Geben Sie den Nutzer oder die Gruppe an, der Sie Zugriff gewähren möchten.
    • Rolle auswählen: Wählen Sie Cloud IAP – Nutzer mit IAP-gesichertem Tunnel aus.
  3. Optional können Sie auf Bedingung hinzufügen klicken und eine Mitgliederbeschränkung konfigurieren:

    • Titel: Geben Sie einen Namen für die Einschränkung ein.
    • Ausdruck: Geben Sie eine Bedingung ein, die ein Nutzer erfüllen muss, bevor er IAP für die TCP-Weiterleitung verwenden kann.

    Der folgende CEL-Ausdruck beschränkt beispielsweise den Zugriff auf Port 22:

    destination.port == 22
    

    Sie können den Zugriff auch anhand der Zugriffsebene einschränken:

    destination.port == 22 && "FULL_ACCESS_LEVEL_NAME" in request.auth.access_levels
    

    Dabei ist FULL_ACCESS_LEVEL_NAME eine vorhandene Zugriffsebene und verwendet das Format accessPolicies/POLICY_NAME/accessLevels/ACCESS_LEVEL_NAME.

  4. Klicken Sie auf Weitere Rolle hinzufügen und konfigurieren Sie Folgendes:

    • Rolle auswählen: Wählen Sie Compute Engine > Compute-Instanzadministrator (v1) aus.
  5. Klicken Sie auf Speichern.

gcloud

Weisen Sie dem Nutzer die beiden Rollen zu, indem Sie die folgenden Befehle ausführen:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL \
    --role=roles/iap.tunnelResourceAccessor
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL \
    --role=roles/compute.instanceAdmin.v1

Ersetzen Sie das:

  • PROJECT_ID: ID des Projekts
  • EMAIL: E-Mail-Adresse des Nutzers, dem Sie Zugriff gewähren möchten, z. B. user@example.com

Bei Bedarf können Sie stattdessen die Rolle iap.tunnelResourceAccessor nach VM konfigurieren (die anderen Rollen müssen sich im Projekt befinden):

Console

  1. Öffnen Sie die IAP-Administratorseite und wählen Sie den Tab SSH- und TCP-Ressourcen aus.

    Zur IAP-Administratorseite

  2. Wählen Sie die VM-Instanzen aus, die Sie konfigurieren möchten.
  3. Klicken Sie auf Infofeld ansehen, wenn das Infofeld nicht sichtbar ist.
  4. Klicken Sie auf Mitglied hinzufügen und konfigurieren Sie Folgendes:

    • Neue Mitglieder: Geben Sie den Nutzer oder die Gruppe an, der Sie Zugriff gewähren möchten.
    • Rolle auswählen: Wählen Sie Cloud IAP – Nutzer mit IAP-gesichertem Tunnel aus.
  5. Optional können Sie auf Bedingung hinzufügen klicken und eine Mitgliederbeschränkung konfigurieren:

    • Titel: Geben Sie einen Namen für die Einschränkung ein.
    • Ausdruck: Geben Sie eine Bedingung ein, die ein Nutzer erfüllen muss, bevor er IAP für die TCP-Weiterleitung verwenden kann.

    Der folgende CEL-Ausdruck beschränkt beispielsweise den Zugriff auf Port 22:

    destination.port == 22
    

    Sie können den Zugriff auch anhand der Zugriffsebene einschränken:

    destination.port == 22 && "FULL_ACCESS_LEVEL_NAME" in request.auth.access_levels
    

    Dabei ist FULL_ACCESS_LEVEL_NAME eine vorhandene Zugriffsebene und verwendet das Format accessPolicies/POLICY_NAME/accessLevels/ACCESS_LEVEL_NAME.

  6. Klicken Sie auf Speichern.

API

So bearbeiten Sie die Datei policy.json Ihrer Anwendung: Weitere Informationen zur Verwendung der IAM API zum Verwalten von Zugriffsrichtlinien finden Sie unter Zugriff auf mit IAP gesicherte Ressourcen verwalten.

  1. Laden Sie die Datei mit den Anmeldedaten für Ihr Dienstkonto herunter.

    1. Rufen Sie die Seite Dienstkonten“ auf.
      Zur Seite "Dienstkonten"

    2. Klicken Sie auf die E-Mail-Adresse Ihres Dienstkontos.

    3. Klicken Sie auf Edit (Bearbeiten).

    4. Klicken Sie auf Schlüssel erstellen.

    5. Wählen Sie als Schlüsseltyp JSON aus.

    6. Erstellen Sie einen neuen Schlüssel. Klicken Sie dazu auf Erstellen und schließen Sie das Bestätigungsfenster.

    Die JSON-Datei mit den Anmeldedaten wurde heruntergeladen.

  2. Exportieren Sie die folgenden Variablen.

    export IAP_BASE_URL=https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_tunnel
    # Replace with the path to your local service account's downloaded JSON file
    export JSON_CREDS=EXAMPLE.IAM.GSERVICEACCOUNT.COM.JSON
    # Replace POLICY_FILE.JSON with the name of JSON file to use for setIamPolicy
    export JSON_NEW_POLICY=POLICY_FILE.JSON
    

  3. Konvertieren Sie die JSON-Datei mit den Anmeldedaten für das Dienstkonto mithilfe von Oauth2l in ein OAuth-Zugriffstoken. Führen Sie dazu den folgenden Befehl aus:

    oauth2l header --json ${JSON_CREDS} cloud-platform

  4. Wenn Sie den obigen Befehl zum ersten Mal ausführen, wenn Sie dazu aufgefordert werden:

    1. Rufen Sie den Bestätigungscode ab. Klicken Sie dazu auf den angezeigten Link und kopieren Sie den Code.
    2. Fügen Sie den Bestätigungscode in die Eingabeaufforderung Ihrer App ein.
    3. Kopieren Sie das zurückgegebene Inhabertoken.
    4. Exportieren Sie eine neue Variable, die dem Wert des zurückgegebenen Inhabertokens zugewiesen ist.
      export CLOUD_OAUTH_TOKEN=AUTHORIZATION_BEARER_TOKEN
  5. Wenn Sie diesen Befehl schon einmal ausgeführt haben, exportieren Sie die folgende Variable.

    export CLOUD_OAUTH_TOKEN="$(oauth2l header --json ${JSON_CREDS} cloud-platform)"

  6. Rufen Sie die IAM-Richtlinie für die Compute Engine-Instanz mithilfe der Methode getIamPolicy ab. Das leere Datenbit am Ende wandelt die curl-Anfrage in POST anstelle von GET um.

    curl -i -H "${CLOUD_OAUTH_TOKEN}" \
         ${IAP_BASE_URL}/zones/ZONE_NAME/instances/INSTANCE_ID or INSTANCE_NAME:getIamPolicy \
         -d ''

  7. Weisen Sie Ihren Mitgliedern die Rolle iap.tunnelResourceAccessor zu, indem Sie die JSON-Datei der IAM-Richtlinie ändern.

  8. Fügen Sie optional Mitgliedereinschränkungen basierend auf IAM-Bedingungen und Zugriffsebenen hinzu.

    Das folgende Beispiel zeigt eine bearbeitete policy.json-Datei, die die Rolle iap.tunnelResourceAccessor an eine Gruppe von VM-Instanzadministratoren bindet und ihnen Zugriff auf durch IAP gesicherte Tunnelressourcen gewährt. Eine IAM-Bedingung wurde hinzugefügt, um die Ressourcen nur für Mitglieder der Gruppe der VM-Instanzadministratoren mit der privaten IP-Adresse 10.0.0.1 an Port 22 zugänglich zu machen. Dazu wurden die IAM-Bedingungen destination.ip und destination.port verwendet. Sie müssen außerdem die Anforderungen der Zugriffsebene ACCESS_LEVEL_NAME erfüllen.

    Wenn ein Mitglied die Rolle Inhaber hat, ist es berechtigt, IAP für die TCP-Weiterleitung zu verwenden.


    Beispiel für die Datei "policy.json"

    {
      "policy": {
        "bindings": [
          {
            "role": "roles/iap.tunnelResourceAccessor",
            "members": ["group:instance-admins@example.com"],
            "condition": {
              "expression": "\"accessPolicies/POLICY_NAME/accessLevels/ACCESS_LEVEL_NAME\" in request.auth.access_levels && destination.ip == \"10.0.0.1\" && destination.port == 22",
              "title": "CONDITION_NAME"
            }
          }
        ]
      }
    }

    Rufen Sie accessPolicies.list auf, um einen Richtliniennamen zu finden:

    GET https://accesscontextmanager.googleapis.com/v1/accessPolicies
    
  9. Legen Sie die neue Datei policy.json mithilfe der Methode setIamPolicy fest.

    curl -i -H "Content-Type:application/json" \
              -H "$(oauth2l header --json ${JSON_CREDS} cloud-platform)" \
              ${IAP_BASE_URL}/zones/ZONE_NAME/instances/INSTANCE_ID or INSTANCE_NAME:setIamPolicy \
              -d @${JSON_NEW_POLICY}
    

Berechtigungsdetails

Die erforderlichen Berechtigungen hängen davon ab, wie ein Nutzer die IAP-TCP-Weiterleitung verwendet:

Szenarien Erforderliche Berechtigungen
Alle
  • iap.tunnelInstances.accessViaIAP
gcloud compute [start-iap-tunnel, ssh, scp] verwenden
  • compute.instances.get
  • compute.instances.list
gcloud compute [ssh, scp] verwenden
  • compute.projects.get
VM mit OS Login Weitere Informationen
OS Login wird nicht verwendet
  • compute.instances.setMetadata
  • compute.projects.setCommonInstanceMetadata
  • compute.globalOperations.get
SSH-Verbindung zur VM über ein Dienstkonto herstellen
  • iam.serviceAccounts.actAs
SSH über den Browser Weitere Informationen

Wenn ein Nutzer beispielsweise mit gcloud compute ssh eine Verbindung zu einer VM ohne OS Login herstellen möchte, aber ein Dienstkonto verwendet, benötigt der Nutzer die folgenden Berechtigungen:

  • iap.tunnelInstances.accessViaIAP
  • compute.instances.get
  • compute.instances.list
  • compute.projects.get
  • compute.instances.setMetadata
  • compute.projects.setCommonInstanceMetadata
  • compute.globalOperations.get
  • iam.serviceAccounts.actAs

Tunneling von SSH-Verbindungen

Sie können eine Verbindung zu Linux-Instanzen herstellen, die keine externe IP-Adresse haben. Dazu führen Sie einen SSH-Traffic über IAP durch.

Wenn Sie IAP-Tunneling verwenden, stellen die IAP-Proxys eine Verbindung zur primären internen IPv4-Adresse von nic0 auf der VM her.

Console

Verwenden Sie die SSH-Schaltfläche in der Cloud Console, um eine Verbindung zu Ihrer Instanz herzustellen. Die Zugriffskonfiguration Ihrer Instanz (definiert durch IAM-Berechtigungen) muss TCP-Tunneling über IAP zulassen.

gcloud

Verwenden Sie den Befehl gcloud compute ssh, um eine Verbindung zu Ihrer Instanz herzustellen. Die Zugriffskonfiguration Ihrer Instanz (definiert durch IAM-Berechtigungen) muss TCP-Tunneling über IAP zulassen.

gcloud compute ssh INSTANCE_NAME

Ersetzen Sie dabei INSTANCE_NAME durch den Namen der Instanz, zu der eine SSH-Verbindung hergestellt werden soll.

Wenn die Instanz keine externe IP-Adresse hat, verwendet die Verbindung automatisch IAP-TCP-Tunneling. Wenn die Instanz eine externe IP-Adresse hat, verwendet die Verbindung die externe IP-Adresse anstelle des IAP TCP-Tunneling.

Sie können das Flag --tunnel-through-iap verwenden, damit gcloud compute ssh immer das IAP-TCP-Tunneling verwendet.

Verwenden Sie das Flag --internal-ip, damit gcloud compute ssh niemals das IAP-TCP-Tunneling verwendet und direkt eine Verbindung zur internen IP-Adresse der VM herstellt. Dies ist für Clients nützlich, die mit demselben VPC-Netzwerk wie die Ziel-VM verbunden sind.

IAP Desktop

Sie können IAP Desktop verwenden, um über SSH- und IAP-TCP-Weiterleitung eine Verbindung zu einer VM-Instanz herzustellen.

  1. Wählen Sie in der Anwendung Datei und Google Cloud-Projekt hinzufügen aus.

  2. Geben Sie die ID oder den Namen Ihres Projekts ein und klicken Sie auf OK.

  3. Klicken Sie im Fenster Project Explorer mit der rechten Maustaste auf die VM-Instanz, zu der Sie eine Verbindung herstellen möchten, und wählen Sie Connect aus.

IAP Desktop

Weitere Informationen zu IAP Desktop finden Sie auf der GitHub-Projektseite.

PuTTY

Sie können PuTTY so einrichten, dass eine Verbindung mit einer VM-Instanz über die TCP-Weiterleitung von IAP hergestellt wird. Die Zugriffskonfiguration Ihrer Instanz (definiert durch IAM-Berechtigungen) muss TCP-Tunneling über IAP zulassen.

Bevor Sie PuTTY konfigurieren, verwenden Sie den Befehl gcloud compute ssh einmal, um sicherzustellen, dass Sie auf Ihrem lokalen Computer einen privaten SSH-Schlüssel haben und dieser in Compute Engine veröffentlicht wurde:

  1. Öffnen Sie eine Eingabeaufforderung und führen Sie den folgenden Befehl aus, um eine Verbindung zur VM-Instanz herzustellen:

    gcloud compute ssh INSTANCE_NAME `
      --tunnel-through-iap `
      --project PROJECT_ID `
      --zone ZONE
    

    Ersetzen Sie das:

    • INSTANCE_NAME ist der Name der Instanz, zu der eine Verbindung hergestellt werden soll.
    • PROJECT_ID: Projekt-ID des Projekts, in dem sich die VM-Instanz befindet
    • ZONE ist die Zone, in der sich die VM-Instanz befindet.

    Bestätigen Sie gegebenenfalls, dass Sie SSH-Schlüssel generieren möchten, indem Sie Y drücken.

  2. Führen Sie den folgenden Befehl aus, um Ihren Nutzernamen auf der VM zu ermitteln:

    whoami
    

    Sie benötigen diesen Nutzernamen später.

Sie können PuTTY jetzt für die Verwendung der IAP-TCP-Weiterleitung konfigurieren:

  1. Öffnen Sie PuTTY und wählen Sie die Kategorie Verbindung > Proxy.
  2. Konfigurieren Sie die folgenden Proxy-Einstellungen:

    • Wählen Sie für Proxytyp die Option Lokal aus.
    • Geben Sie im Feld Telnet-Befehl oder lokaler Proxy-Befehl Folgendes ein:

      gcloud.cmd compute start-iap-tunnel %host %port --listen-on-stdin --project PROJECT_ID --zone ZONE
      

      Ersetzen Sie das:

      • PROJECT_ID: Projekt-ID des Projekts, in dem sich die VM-Instanz befindet
      • ZONE: Zone, in der sich die VM-Instanz befindet
    • Wählen Sie für die Option Druck-Proxy-Diagnose im Terminalfenster die Option Nur bis zum Start der Sitzung aus.

  3. Wählen Sie die Kategorie Verbindung > SSH & Authentifizierung aus.

  4. Klicken Sie auf Durchsuchen, fügen Sie den folgenden Dateinamen ein und klicken Sie auf Öffnen:

    %USERPROFILE%\.ssh\google_compute_engine.ppk
    
  5. Wählen Sie die Kategorie Sitzung aus.

  6. Konfigurieren Sie die folgenden Proxy-Einstellungen:

    • Geben Sie in das Feld Host name (or IP address) Folgendes ein:

      USERNAME@INSTANCE_NAME
      

      Ersetzen Sie das:

      • USERNAME: der Linux-Nutzername, den Sie zuvor ermittelt haben
      • INSTANCE_NAME ist der Name der VM-Instanz, zu der Sie eine Verbindung herstellen möchten.
    • Gespeicherte Sitzungen: Geben Sie einen Namen für die Sitzung ein.

  7. Klicken Sie auf Speichern.

  8. Klicken Sie auf Öffnen, um die SSH-Sitzung zu starten.

Tunneling von RDP-Verbindungen

Sie können eine Verbindung zu Windows-Instanzen herstellen, die keine externe IP-Adresse haben, indem Sie den RDP-Traffic über IAP durch Tunneling leiten:

IAP Desktop

Sie können IAP Desktop verwenden, um über die TCP-Weiterleitung von IAP eine Verbindung zum Remote Desktop einer oder mehrerer VM-Instanzen herzustellen.

  1. Wählen Sie in der Anwendung Datei und Google Cloud-Projekt hinzufügen aus.

  2. Geben Sie die ID oder den Namen Ihres Projekts ein und klicken Sie auf OK.

  3. Klicken Sie im Fenster Project Explorer mit der rechten Maustaste auf die VM-Instanz, zu der Sie eine Verbindung herstellen möchten, und wählen Sie Connect aus.

IAP Desktop

Weitere Informationen zu IAP Desktop finden Sie auf der GitHub-Projektseite.

gcloud

Wenn Sie eine Verbindung zum Remote Desktop einer VM-Instanz herstellen möchten, müssen Sie zuerst einen Tunnel erstellen.

  1. Erstellen Sie mit dem Befehl gcloud compute start-iap-tunnel einen verschlüsselten Tunnel zum RDP-Port der VM-Instanz.

    gcloud compute start-iap-tunnel INSTANCE_NAME 3389 \
        --local-host-port=localhost:LOCAL_PORT \
        --zone=ZONE
    

    Ersetzen Sie INSTANCE_NAME durch den Namen der VM-Instanz, zu der Sie eine Verbindung herstellen möchten. Ersetzen Sie LOCAL_PORT durch den Port des localhost, an den der Proxy gebunden werden soll, oder verwenden Sie 0, um einen nicht verwendeten Port automatisch auswählen zu lassen. Ersetzen Sie ZONE durch die Zone, in der sich die VM-Instanz befindet.

  2. gcloud führt einen Konnektivitätstest mit der VM-Instanz durch, öffnet dann einen Tunnel und zeigt eine Portnummer an.

    Listening on port [LOCAL_PORT].
    

    Der gesamte an localhost:LOCAL_PORT gesendete Traffic wird an die VM-Instanz weitergeleitet. Auf den Port können nur Anwendungen zugreifen, die auf Ihrem lokalen Computer ausgeführt werden.

  3. Lassen Sie gcloud laufen und öffnen Sie die Microsoft Windows Remote Desktop Connection-Anwendung.

  4. Geben Sie den Tunnelendpunkt als Computernamen ein:

    localhost:LOCAL_PORT
    

    Ersetzen Sie LOCAL_PORT durch die Portnummer, die angezeigt wurde, als der Tunnel von gcloud geöffnet wurde.

  5. Klicken Sie auf Connect.

Tunneling anderer TCP-Verbindungen

Sie können die IAP-TCP-Weiterleitung für andere TCP-basierte Protokolle verwenden, indem Sie mit dem Befehl gcloud compute start-iap-tunnel einen lokalen Port zuweisen. Der lokale Port leitet den Datenverkehr vom lokalen Computer zum Remote-Computer in einem HTTPS-Stream. IAP empfängt dann die Daten, wendet Zugriffssteuerungen an und leitet die entpackten Daten an den Remote-Port weiter. Umgekehrt werden alle Daten vom Remote-Port verpackt, bevor sie an den lokalen Port gesendet werden, wo sie dann entpackt werden.

gcloud

Erstellen Sie einen verschlüsselten Tunnel zu einem Port der VM-Instanz:

gcloud compute start-iap-tunnel INSTANCE_NAME INSTANCE_PORT \
    --local-host-port=localhost:LOCAL_PORT \
    --zone=ZONE

Ersetzen Sie INSTANCE_NAME und INSTANCE_PORT durch den Namen und den Port der VM-Instanz, zu der Sie eine Verbindung herstellen möchten. Ersetzen Sie LOCAL_PORT durch den localhost-Port, an den der Proxy gebunden werden soll. Ersetzen Sie ZONE durch die Zone, in der sich die VM-Instanz befindet.

gcloud führt einen Konnektivitätstest mit der VM-Instanz durch, öffnet dann einen Tunnel und zeigt eine Portnummer an.

Listening on port [LOCAL_PORT].

Der gesamte an localhost:LOCAL_PORT gesendete Traffic wird an die VM-Instanz weitergeleitet. Auf den Port kann nur von Anwendungen zugegriffen werden, die auf Ihrem lokalen Computer ausgeführt werden.

Bandbreite für den TCP-Upload von IAP erhöhen

Wenn Sie die IAP-TCP-Uploadbandbreite erhöhen möchten, sollten Sie NumPy installieren. Eine Anleitung zur Installation von NumPy finden Sie unter NumPy.org.

gcloud

Führen Sie den folgenden Befehl aus, damit gcloud auf externe Pakete zugreifen kann:

export CLOUDSDK_PYTHON_SITEPACKAGES=1.

Bekannte Einschränkungen

Bandbreite: Die TCP-Weiterleitungsfunktion von IAP ist für die Massenübertragung von Daten vorgesehen. IAP behält sich das Recht vor, die Rate von Nutzern, die diesen Dienst missbrauchen, zu begrenzen.

Verbindungslänge: IAP trennt Sitzungen nach einer Stunde Inaktivität automatisch. Es empfiehlt sich, in Ihren Anwendungen eine Logik zur Wiederherstellung eines Tunnels zu verwenden, wenn die Verbindung getrennt wird.

Mehr zur Verwendung von Google Pay erfahren