En esta página se describe cómo gestiona Identity-Aware Proxy (IAP) el reenvío de TCP. Para saber cómo conceder acceso a recursos tunelizados a las entidades principales y cómo crear túneles que enruten el tráfico TCP, consulta el artículo Usar IAP para reenviar TCP.
Introducción
La función de reenvío de TCP de IAP te permite controlar quién puede acceder a servicios administrativos, como SSH y RDP, en tus backends desde Internet público. La función de reenvío de TCP evita que estos servicios se expongan abiertamente a Internet. En su lugar, las solicitudes a tus servicios deben superar las comprobaciones de autenticación y autorización antes de llegar al recurso de destino.
Si expones los servicios administrativos directamente a Internet al ejecutar cargas de trabajo en la nube, se generan riesgos. Reenviar tráfico TCP con IAP te permite reducir ese riesgo, ya que solo los usuarios autorizados pueden acceder a estos servicios sensibles.
Como esta función está dirigida específicamente a los servicios administrativos, no se admiten destinos con balanceo de carga.
No se puede llamar al servicio de reenvío de TCP de IAP en dispositivos móviles.
Cómo funciona el reenvío de TCP de IAP
La función de reenvío de TCP de IAP permite a los usuarios conectarse a puertos TCP arbitrarios en instancias de Compute Engine. En el caso del tráfico TCP general, IAP crea un puerto de escucha en el host local que reenvía todo el tráfico a una instancia específica. A continuación, IAP envuelve todo el tráfico del cliente en HTTPS. Los usuarios obtienen acceso a la interfaz y al puerto si superan la comprobación de autenticación y autorización de la política de gestión de identidades y accesos (IAM) del recurso de destino.
En un caso especial, al establecer una conexión SSH mediante gcloud compute ssh, la conexión SSH se encapsula en HTTPS y se reenvía a la instancia remota sin necesidad de un puerto de escucha en el host local.
Habilitar IAP en un recurso de administrador no bloquea automáticamente las solicitudes directas al recurso. IAP solo bloquea las solicitudes TCP que no proceden de las IPs de reenvío de TCP de IAP a los servicios pertinentes del recurso.
Para usar el reenvío de TCP con IAP, no es necesario asignar una dirección IP pública y enrutable a tu recurso. En su lugar, usa IPs internas.
Siguientes pasos
- Consulta cómo conectarte a puertos TCP en instancias y cómo conceder acceso a principales a recursos tunelizados.