iT邦幫忙

2021 iThome 鐵人賽

DAY 20
0

GCP IAP

今天再來了解一下什麼事IAP?他的全名即是dentity-Aware Proxy簡稱IAP,主要的功能就是來限制身份認證的我們以GCE為例他可以做到HTTP(S),SSH的外部連線驗證,在HTTPS底下會以OAuth 2.0 Google帳號登錄認證,SSH連線則會透過Google proxy tunnel方式連線,在這邊就會需要開放防火牆(IP range 35.235.240.0/20)。流程圖大致如下:
https://ithelp.ithome.com.tw/upload/images/20210905/20129516UuZPaDWfWG.png

權限設定

  • 在設定IAP設定上還需要開放IAM使用者來透過使用者的認證,所以可以說是IAP是透過綁定使用者,且在IAM被賦予權限的人才可以使用。

如何連線

在Compute Engine 執行個體中可以有兩種情境:

  1. SSH 連線方式(無論有無關閉外網)

    gcloud compute ssh INSTANCE_NAME \
     --project=PROJECT --zone=ZONE --tunnel-through-iap
    
  2. Port-Forward 方式(無論有無關閉外網但必須對應服務內的Port)

    gcloud compute start-iap-tunnel INSTANCE_NAME 3389 \
     --local-host-port=localhost:LOCAL_PORT \
     --zone=ZONE
    

在HTTP(S)外部連線:

  1. HTTPS 負載平衡器Backend
    • 使用前兩天說的GCP Loadbalance即可實作(可以去翻翻前兩天的內容/images/emoticon/emoticon08.gif
  2. App Engine 應用程式
    • 開放Google App Engine服務即可

上一篇
GCP loadbalanc(二)
下一篇
IAP 建立Https
系列文
GCP的雲端世界30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言