IAP Https

今天來說說IAP在連線網頁上的實作以及運用，昨天已有大致的提到了IAP對應Https與SSH，TCP連線所需的IAM權限設定，以及所需要使用到的連線指令，那麼今天專攻分享一下我是如何使用IAP在連線網頁時，透過Gloud Armor方式限制黑白名單IP連線，和透過Oauth方式限制Google Account訪問連線的。

這邊可以分成三個階段：

1. 執行個體群組(前幾天已有提過會簡單帶過)
   • 建立Instance (這邊是不需要開放VM外網IP的～)
     
   • 建立Instances Group
     
   • 建立loadbalance(HTTPS) 這邊會帶到Cloud Armor (注意這邊需要使用HTTPS 因為在IAP只有支援HTTPS協定)
     1. 使用外部網路連線(公開外網IP)
        
     2. LB Backend(選定該Instances Group health armor) 設定
     3. LB Frontend(開啟HTTS協定需建立憑證) 設定
        
        
        
   • IAP 權限開關設定
     
2. OAuth2.0
   • 開啟Google OAuth認證，因為我設定為Google IAP使用因此不需要設置callback網域部分，但OAuth如果有需求使用外部連線，也可在這邊去設定應用程式網域跟授權網域。
     
3. Cloud Armor
   • 建立類是於防火牆規則之內容主要目的是限制IP進入的範圍(因只要使用Google LB 該VM防護會無視於防火牆規則)

P.S. 相關設定後面再詳細解說～

以上都設定完畢後可以由網頁開啟外部IP連線認證流程

• 第一步 他會先認證是否為Cloud Armor Allow IP
• 第二步 後面會驗證是否為Google帳號所使用者