So melden Sie sich bei privaten Instanzen ohne Bastion-Host auf Google Cloud Platform an

Identity-Aware Proxy ist ein verwalteter Dienst, der den Zugriff auf Ihre VM kontrollieren kann. Er ermöglicht es Ihnen, den TCP-Datenverkehr von Benutzern über IAP zu authentifizieren, bevor er an Ihre VM-Instanzen gesendet wird. Und außerdem funktioniert dies auch für private VMs ohne externe IP-Adresse. Sie brauchen also weder VPN noch einen Bastion-Host!

Cloud IAM wird als Identitätsanbieter verwendet und lässt sich nahtlos mit IAP integrieren. Die folgende Übersicht hilft Ihnen zu verstehen, wie diese Dienste zusammenspielen.

Denken Sie daran, dass IAP TCP-Tunneling für Verwaltungsdienste wie RDP, SSH oder die Verwaltungsoberfläche von MYSQL gedacht ist. Wenn Sie häufig große Datenmengen auf Ihre VM übertragen müssen, ist IAP wahrscheinlich nicht der Dienst, den Sie verwenden möchten.

IAP für SSH-ing in VM's verwenden

Die Aktivierung von IAP-Tunneling ist wirklich einfach. Die einzige Netzwerkänderung, die Sie vornehmen müssen, ist das Hinzufügen einer Ingress-Firewall-Regel, die auf Ihre VMs abzielt. Diese Firewall-Regel muss den TCP-Verkehr auf Port 22 (SSH) vom weiterleitenden Netzblock des IAP zulassen. Ein Beispiel in Terraform finden Sie unten:

resource "google_compute_firewall" "iap_to_ssh" {
  name    = "ingress-allow-iap-to-ssh"
  network = "default"

  direction = "INGRESS"
  priority  = 1000

  # Cloud IAP's TCP forwarding netblock
  source_ranges = ["35.235.240.0/20"]
  target_tags   = ["iap-tunnel"]

  allow {
    protocol = "tcp"
    ports    = [22]
  }
}

Die Zugriffskontrolle wird durch eine ressourcen- oder projektweite Cloud IAM-Richtlinie durchgesetzt, die durch Bindung der Rolle "IAP-Secured Tunnel User" an eine Google-Gruppe oder einen einzelnen Nutzer angewendet werden kann.

Nachdem Ihnen der Zugang gewährt wurde, sollten Sie den Befehl "gcloud compute ssh" mit dem Flag "tunnel-though-iap" verwenden können, um sich mit einer Instanz zu verbinden.

gcloud compute ssh my-instance-name 
--tunnel-through-iap

Einige erweiterte Funktionen wie die lokale Portweiterleitung werden ebenfalls unterstützt.

gcloud compute ssh my-instance-name 
--tunnel-through-iap 
--ssh-flag="-N -L 8081:localhost:8081"

Fazit

Mit IAP ist es sehr einfach, den Zugriff auf Ihre VMs zu sichern, ohne dass Sie dafür einen Overhead oder Wartungsaufwand haben.