今天再來了解一下什麼事IAP?他的全名即是dentity-Aware Proxy簡稱IAP,主要的功能就是來限制身份認證的我們以GCE為例他可以做到HTTP(S),SSH的外部連線驗證,在HTTPS底下會以OAuth 2.0 Google帳號登錄認證,SSH連線則會透過Google proxy tunnel方式連線,在這邊就會需要開放防火牆(IP range 35.235.240.0/20)。流程圖大致如下:
SSH 連線方式(無論有無關閉外網)
gcloud compute ssh INSTANCE_NAME \
--project=PROJECT --zone=ZONE --tunnel-through-iap
Port-Forward 方式(無論有無關閉外網但必須對應服務內的Port)
gcloud compute start-iap-tunnel INSTANCE_NAME 3389 \
--local-host-port=localhost:LOCAL_PORT \
--zone=ZONE