使用 IAP 进行 TCP 转发

本页说明如何使用 IAP TCP 转发来对没有公共 IP 地址或不允许通过 Internet 直接访问的 VM 实例进行管理访问。

IAP TCP 转发允许您建立加密隧道,通过该隧道可以将 SSH、RDP 和其他流量转发到 VM 实例。IAP TCP 转发还提供了对哪些用户可以建立隧道和用户可以与哪些虚拟机实例连接的精细控制。

如需了解有关 IAP TCP 转发如何工作的更多信息,请参阅 TCP 转发概览

为 IAP TCP 转发准备项目

本部分将引导您通过必要步骤在 Google Cloud 项目中启用 IAP TCP 转发。

创建防火墙规则

如需允许 IAP 连接到您的虚拟机实例,请创建一个防火墙规则,该规则:

  • 适用于您希望使用 IAP 可访问的所有 VM 实例。
  • 允许 IP 范围 35.235.240.0/20 的入站流量。此范围包含 IAP 用于 TCP 转发的所有 IP 地址。
  • 允许连接到您希望通过使用 IAP TCP 转发访问的所有端口,例如,SSH 的端口 22 和 RDP 的端口 3389

控制台

如需允许 RDP 和 SSH 访问网络中的所有虚拟机实例,请执行以下操作:

  • 打开防火墙规则页面,然后点击创建防火墙规则

    打开“防火墙规则”页面

  • 配置以下设置:

    • 名称allow-ingress-from-iap
    • 流量方向入站
    • 目标网络中的所有实例
    • 来源过滤IP 地址范围
    • 来源 IP 地址范围35.235.240.0/20
    • 协议和端口:选择 TCP,然后输入 22,3389 以允许 RDP 和 SSH。
  • 点击创建

gcloud

如需允许 RDP 访问网络中的所有虚拟机实例,请运行:

gcloud compute firewall-rules create allow-rdp-ingress-from-iap \
  --direction=INGRESS \
  --action=allow \
  --rules=tcp:3389 \
  --source-ranges=35.235.240.0/20

对于 SSH 访问,请运行:

gcloud compute firewall-rules create allow-ssh-ingress-from-iap \
  --direction=INGRESS \
  --action=allow \
  --rules=tcp:22 \
  --source-ranges=35.235.240.0/20

对于其他协议,运行

gcloud compute firewall-rules create allow-ingress-from-iap \
  --direction=INGRESS \
  --action=allow \
  --rules=tcp:PORT \
  --source-ranges=35.235.240.0/20

其中 PORT 是协议使用的端口。

授予使用 IAP 的权限

如需控制允许哪些用户和群组使用 IAP TCP 转发以及允许它们连接到哪些虚拟机实例,请配置 Identity and Access Management (IAM) 权限。

您可以通过在项目级层配置 IAM 权限来授予用户或群组对某项目中所有虚拟机实例的访问权限:

控制台

  1. 在 Cloud Console 中打开 IAM 和管理页面。

    打开“IAM 和管理”页面

  2. 点击添加并配置以下内容:

    • 新成员:指定您要授予访问权限的用户或群组。
    • 选择角色:选择 Cloud IAP > 受 IAP 保护的隧道用户
  3. 点击保存

gcloud

向用户授予 iap.tunnelResourceAccessor 角色:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL \
    --role=roles/iap.tunnelResourceAccessor

替换以下内容:

  • PROJECT_ID:项目的 ID
  • EMAIL:您要授予访问权限的用户的电子邮件地址,例如 user@example.com

API

如需编辑应用的 policy.json 文件,请执行以下过程。如需详细了解如何使用 IAM API 管理访问权限政策,请参阅管理对受 IAP 保护的资源的访问权限

  1. 根据您的服务帐号下载凭据文件。

    1. 转到“服务帐号”页面
      转到“服务帐号”页面

    2. 点击您的服务帐号的电子邮件地址。

    3. 点击修改

    4. 点击创建密钥

    5. 选择 JSON 作为密钥类型。

    6. 点击创建并关闭随即显示的确认窗口,创建新密钥。

    您的 JSON 凭据文件现已下载完毕。

  2. 导出以下变量。

    export IAP_BASE_URL=https://iap.googleapis.com/v1/projects/PROJECT_NUMBER/iap_tunnel
    # Replace with the path to your local service account's downloaded JSON file
    export JSON_CREDS=EXAMPLE.IAM.GSERVICEACCOUNT.COM.JSON
    # Replace POLICY_FILE.JSON with the name of JSON file to use for setIamPolicy
    export JSON_NEW_POLICY=POLICY_FILE.JSON
    

  3. 运行以下命令,以使用 Oauth2l 将服务帐号凭据 JSON 文件转换为 OAuth 访问令牌:

    oauth2l header --json ${JSON_CREDS} cloud-platform

  4. 如果这是您第一次运行上述命令,请在系统提示时执行以下操作:

    1. 点击显示的链接并复制代码,以获取验证码。
    2. 将验证码粘贴到您的应用提示中。
    3. 复制返回的不记名令牌。
    4. 导出分配给返回的不记名令牌值的新变量。
      export CLOUD_OAUTH_TOKEN=AUTHORIZATION_BEARER_TOKEN
  5. 如果您之前运行过此命令,请导出以下变量。

    export CLOUD_OAUTH_TOKEN="$(oauth2l header --json ${JSON_CREDS} cloud-platform)"

  6. 使用 getIamPolicy 方法获取 Compute Engine 实例的 IAM 政策。最后的空数据位表示将 curl 请求转换为 POST,而不是 GET。

    curl -i -H "${CLOUD_OAUTH_TOKEN}" \
         ${IAP_BASE_URL}/zones/ZONE_NAME/instances/INSTANCE_ID or INSTANCE_NAME:getIamPolicy \
         -d ''

  7. 通过修改 IAM 政策 JSON 文件,为您的成员授予 iap.tunnelResourceAccessor 角色。

  8. (可选)根据 IAM 条件访问权限级别添加成员限制。

    以下是经过修改的 policy.json 文件的示例,该文件会将 iap.tunnelResourceAccessor 角色绑定到一组虚拟机实例管理员,并为他们授予对受 IAP 保护的隧道资源的访问权限。示例中添加了 IAM Conditions,利用 destination.ipdestination.port IAM Conditions,仅允许虚拟机实例管理员组中端口 22 上具有专用 IP 地址 10.0.0.1 的成员访问资源。它们还必须满足 ACCESS_LEVEL_NAME 访问权限级层的要求。

    请注意,如果成员具有 Owner 角色,他们就有权使用 IAP 进行 TCP 转发。


    policy.json 文件示例

    {
      "policy": {
        "bindings": [
          {
            "role": "roles/iap.tunnelResourceAccessor",
            "members": ["group:instance-admins@example.com"],
            "condition": {
              "expression": "\"accessPolicies/POLICY_NAME/accessLevels/ACCESS_LEVEL_NAME\" in request.auth.access_levels && destination.ip == \"10.0.0.1\" && destination.port == 22",
              "title": "CONDITION_NAME"
            }
          }
        ]
      }
    }

    如需查找政策名称,请调用 accessPolicies.list

    GET https://accesscontextmanager.googleapis.com/v1/accessPolicies
    
  9. 使用 setIamPolicy 方法设置新的 policy.json 文件。

    curl -i -H "Content-Type:application/json" \
              -H "$(oauth2l header --json ${JSON_CREDS} cloud-platform)" \
              ${IAP_BASE_URL}/zones/ZONE_NAME/instances/INSTANCE_ID or INSTANCE_NAME:setIamPolicy \
              -d @${JSON_NEW_POLICY}
    

或者,您也可以按虚拟机逐个配置 IAM 权限:

控制台

  1. 打开 IAP 管理页面,然后选择 SSH 和 TCP 资源标签页。

    打开 IAP 管理页面

  2. 选择要配置的虚拟机实例。
  3. 如果未显示信息面板,请点击显示信息面板
  4. 点击添加成员并配置以下内容:

    • 新成员:指定您要授予访问权限的用户或群组。
    • 选择角色:选择 Cloud IAP > 受 IAP 保护的隧道用户
  5. (可选)点击添加条件并配置成员限制:

    • 标题:输入限制的名称。
    • 表达式:输入用户使用 IAM TCP 转发必须满足的条件

    例如,以下 CEL 表达式会限制访问端口 22:

    destination.port == 22
    

    您还可以按访问权限级层限制访问:

    destination.port == 22 && "FULL_ACCESS_LEVEL_NAME" in request.auth.access_levels
    

    其中 FULL_ACCESS_LEVEL_NAME 是现有的访问权限级层,并使用格式 accessPolicies/POLICY_NAME/accessLevels/ACCESS_LEVEL_NAME

  6. 点击保存

通过隧道传输 SSH 连接

您可以通过 IAP 隧道传输 SSH 流量来连接到没有公共 IP 地址的 Linux 实例:

控制台

如需连接到您的实例,请使用 Cloud Console 中的 SSH 按钮。您的实例的访问权限配置(通过 IAM 权限定义)必须允许通过 IAP 进行 TCP 隧道传输。

gcloud

如需连接到您的实例,请使用 gcloud compute ssh 命令。您的实例的访问权限配置(通过 IAM 权限定义)必须允许通过 IAP 进行 TCP 隧道传输。

gcloud compute ssh INSTANCE_NAME

INSTANCE_NAME 替换为要通过 SSH 登录到的实例的名称。

如果实例没有公共 IP 地址,则连接会自动使用 IAP TCP 隧道传输。如果实例确实具有公共 IP 地址,则连接将使用公共 IP 地址,而不使用 IAP TCP 隧道传输。

您可以使用 --tunnel-through-iap 标志,以便 gcloud compute ssh 始终使用 IAP TCP 隧道传输。

使用 --internal-ip 标志,以便 gcloud compute ssh 绝不使用 IAP TCP 隧道,而是直接连接到虚拟机的内部 IP。此方法适用于连接到与目标虚拟机所在的同一 VPC 网络的客户端。

通过隧道传输 RDP 连接

您可以通过 IAP 隧道传输 RDP 流量来连接到没有公共 IP 地址的 Windows 实例:

IAP 桌面

您可以使用 IAP TCP 转发,使用 IAP 桌面连接到一个或多个虚拟机实例的远程桌面。

  1. 在应用中,依次选择文件 > 添加 Google Cloud 项目

  2. 输入您的项目的 ID 或名称,然后点击确定

  3. Project Explorer 窗口中,右键点击要连接的虚拟机实例,然后选择连接

IAP 桌面

如需详细了解 IAP 桌面,请参阅 GitHub 项目页面

gcloud

如需连接到虚拟机实例的远程桌面,首先要创建一个隧道。

  1. 使用 gcloud compute start-iap-tunnel 命令创建到虚拟机实例的 RDP 端口的加密隧道。

    gcloud compute start-iap-tunnel INSTANCE_NAME 3389 \
        --local-host-port=localhost:LOCAL_PORT \
        --zone=ZONE
    

    INSTANCE_NAME 替换为要连接到的虚拟机实例的名称。将 LOCAL_PORT 替换为要绑定代理的 localhost 端口,或使用 0 自动选择未使用的端口。将 ZONE 替换为虚拟机实例所在的区域。

  2. gcloud 执行与虚拟机实例的连接测试,然后打开隧道并显示端口号。

    Listening on port [LOCAL_PORT].
    

    发送到 localhost:LOCAL_PORT 的所有流量都转发到虚拟机实例。该端口只能由本地计算机上运行的应用访问。

  3. 保持 gcloud 运行并打开 Microsoft Windows 远程桌面连接应用。

  4. 输入隧道端点作为计算机名称:

    localhost:LOCAL_PORT
    

    LOCAL_PORT 替换为用 gcloud 打开隧道时显示的端口号。

  5. 点击连接

通过隧道传输其他 TCP 连接

您可以使用 gcloud compute start-iap-tunnel 命令分配本地端口,以将 IAP TCP 转发功能用于其他基于 TCP 的协议。该本地端口会将来自本地机器的数据流量以 HTTPS 数据流形式通过隧道传送到远程机器。IAP 随即会接收数据,应用访问权限控制,并将未封装的数据转发到远程端口。反之,来自远程端口的所有数据在也会先进行封装,然后再发送至本地端口并在这里解除封装。

gcloud

创建到虚拟机实例端口的加密隧道:

gcloud compute start-iap-tunnel INSTANCE_NAME INSTANCE_PORT \
    --local-host-port=localhost:LOCAL_PORT \
    --zone=ZONE

INSTANCE_NAMEINSTANCE_PORT 替换为要连接的虚拟机实例的名称和端口。将 LOCAL_PORT 替换为您想要绑定代理的 localhost 端口。将 ZONE 替换为虚拟机实例所在的区域。

gcloud 执行与虚拟机实例的连接测试,然后打开隧道并显示端口号。

Listening on port [LOCAL_PORT].

发送到 localhost:LOCAL_PORT 的所有流量都转发到虚拟机实例。该端口只能由本地计算机上运行的应用访问。

已知限制

带宽:IAP TCP 转发功能并非为批量转移数据而设计。IAP 保留对滥用此项服务的用户施加速率限制的权利。

连接时长:闲置 1 小时后,IAP 会自动断开会话连接。建议在应用中添加逻辑,以便在连接断开时重建隧道。

后续步骤