Google-Compute-Engine
有一個 PaaS 解決方案可以充當 GCP 的堡壘主機嗎?
我試圖在沒有外部 IP 的情況下訪問我的 VM 實例,出於安全考慮,我不想打開埠或允許 SSH 策略。
AWS 中有像“會話管理器”這樣的解決方案,Google云平台中有這樣的東西嗎?
Google 提供 Cloud Identity-Aware Proxy (IAP),允許您連接到沒有外部 IP 的 VM 實例:
通過TCP 轉發,IAP 可以保護對託管在 Google Cloud 上的虛擬機的 SSH 和 RDP 訪問。您的 VM 實例甚至不需要公共 IP 地址。
查看文章Cloud IAP 可以通過 SSH 和 RDP 對 VM 進行上下文感知訪問,而無需首先使用堡壘主機。更多詳細資訊,請參閱文件為 Compute Engine 啟用 IAP和使用 IAP 進行 TCP 轉發。
我嘗試按照我的測試項目的文件進行操作,您可以在下面找到我的步驟:
- 創建沒有外部 IP 的 VM 實例:
gcloud compute instances create instance-1 --zone=us-central1-a --machine-type=e2-medium --subnet=default --no-address --maintenance-policy=MIGRATE --image=ubuntu-1804-bionic-v20200610 --image-project=ubuntu-os-cloud
- 轉到 Security -> Identity-Aware Proxy 並啟用 Identity-Aware Proxy API。
- 配置 GCP 防火牆以啟用來自 Cloud IAP 的入站流量:
gcloud compute firewall-rules create allow-ssh-ingress-from-iap --direction=INGRESS --action=allow --rules=tcp:22 --source-ranges=35.235.240.0/20
- 通過 IAP 隧道連接到 VM 實例:
$ gcloud compute ssh instance-1 --tunnel-through-iap --zone=us-central1-a Warning: Permanently added 'compute.3924477895872840881' (ECDSA) to the list of known hosts. Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 5.3.0-1026-gcp x86_64) ... instance-1:~$另外,看看 3rd 方影片教程。