GCP IAP

GCP IAP

今天再来了解一下什麽事IAP？他的全名即是dentity-Aware Proxy简称IAP，主要的功能就是来限制身份认证的我们以GCE为例他可以做到HTTP(S)，SSH的外部连线验证，在HTTPS底下会以OAuth 2.0 Google帐号登录认证，SSH连线则会透过Google proxy tunnel方式连线，在这边就会需要开放防火墙(IP range 35.235.240.0/20)。流程图大致如下：

权限设定

• 在设定IAP设定上还需要开放IAM使用者来透过使用者的认证，所以可以说是IAP是透过绑定使用者，且在IAM被赋予权限的人才可以使用。

如何连线

在Compute Engine 执行个体中可以有两种情境：

1. SSH 连线方式(无论有无关闭外网)

   gcloud compute ssh INSTANCE_NAME \
    --project=PROJECT --zone=ZONE --tunnel-through-iap
   

2. Port-Forward 方式(无论有无关闭外网但必须对应服务内的Port)

   gcloud compute start-iap-tunnel INSTANCE_NAME 3389 \
    --local-host-port=localhost:LOCAL_PORT \
    --zone=ZONE
   

在HTTP(S)外部连线：

1. HTTPS 负载平衡器Backend
   • 使用前两天说的GCP Loadbalance即可实作（可以去翻翻前两天的内容）
2. App Engine 应用程序
   • 开放Google App Engine服务即可