GCP IAP

今天再來了解一下什麼事IAP？他的全名即是dentity-Aware Proxy簡稱IAP，主要的功能就是來限制身份認證的我們以GCE為例他可以做到HTTP(S)，SSH的外部連線驗證，在HTTPS底下會以OAuth 2.0 Google帳號登錄認證，SSH連線則會透過Google proxy tunnel方式連線，在這邊就會需要開放防火牆(IP range 35.235.240.0/20)。流程圖大致如下：

權限設定

• 在設定IAP設定上還需要開放IAM使用者來透過使用者的認證，所以可以說是IAP是透過綁定使用者，且在IAM被賦予權限的人才可以使用。

如何連線

在Compute Engine 執行個體中可以有兩種情境：

1. SSH 連線方式(無論有無關閉外網)

   gcloud compute ssh INSTANCE_NAME \
    --project=PROJECT --zone=ZONE --tunnel-through-iap
   

2. Port-Forward 方式(無論有無關閉外網但必須對應服務內的Port)

   gcloud compute start-iap-tunnel INSTANCE_NAME 3389 \
    --local-host-port=localhost:LOCAL_PORT \
    --zone=ZONE
   

在HTTP(S)外部連線：

1. HTTPS 負載平衡器Backend
   • 使用前兩天說的GCP Loadbalance即可實作（可以去翻翻前兩天的內容）
2. App Engine 應用程式
   • 開放Google App Engine服務即可