Google cloud platform 连接到没有外部IP的VM实例
我正在尝试通过Google cloud platform 连接到没有外部IP的VM实例,google-cloud-platform,virtual-machine,Google Cloud Platform,Virtual Machine,我正在尝试通过cloudshell和cloudsdk连接到一个没有外部IP地址的google cloud VM实例 谷歌文档说我们可以使用IAP连接它 通过IAP连接:请参阅 a) 将角色/iap.tunnelResourceAccessor角色授予希望连接到虚拟机的用户 b) 使用下面的命令连接到VM gcloud compute ssh instance-name --zone zone 或 使用IAP进行TCP转发:请参阅 我们还可以通过为IP'35.235.240.0/20'设置入口防
cloudshell
和cloudsdk
连接到一个没有外部IP地址的google cloud VM实例
谷歌文档说我们可以使用IAP连接它
通过IAP连接:请参阅
a) 将角色/iap.tunnelResourceAccessor
角色授予希望连接到虚拟机的用户
b) 使用下面的命令连接到VM
gcloud compute ssh instance-name --zone zone
或
使用IAP
进行TCP
转发:请参阅
我们还可以通过为IP
'35.235.240.0/20'
设置入口防火墙规则来连接端口TCP:22
然后选择一个IAM
角色选择Cloud IAP>IAP Secured Tunnel User
这两种不同的方法有什么区别?这两种独立的IAM角色有什么区别
roles/iap.tunnelResourceAccessor
IAP-secured Tunnel User
我是云计算新手,请记住我的基本知识。这完全是一样的。看 IAP安全隧道用户(角色/IAP.tunnelResourceAccessor)
您有在GUI中看到的角色的显示名称:
IAP Secured Tunnel User
,还有必须在脚本和CLI中使用的角色的技术名称roles/IAP.tunnelResourceAccessor
,两者完全相同。看
IAP安全隧道用户(角色/IAP.tunnelResourceAccessor)
您有在GUI中看到的角色的显示名称:
IAP Secured Tunnel User
,还有您必须在脚本和CLI中使用的角色的技术名称roles/IAP.tunnelResourceAccessor
,问题中提到的链接(“参考”)实际上指向
.
除了通过IAP访问之外,通过堡垒主机进行连接也是另一种方法
如文件所述
IAP的TCP转发功能将SSH连接封装在HTTPS中。
IAP的TCP转发功能然后将其发送到远程实例
因此,问题的两个部分(或之前或之后)属于相同的访问方法:。因此,第一个问题的答案是“无差异”,因为所有这些都描述了IAP TCP转发的工作原理,以及设置和使用IAP TCP转发的步骤:
1.创建一个防火墙规则:
- 适用于您希望使用IAP访问的所有VM实例李>
- 允许来自IP范围
(此范围包含IAP用于TCP转发的所有IP地址)的入口流量李>35.235.240.0/20
- 允许使用IAP TCP转发连接到您希望访问的所有端口,例如SSH的端口
22
- 使用GCP控制台或gcloud向用户添加角色
(IAP安全隧道用户
)。角色/IAP.tunnelResourceAccessor
注意:
有权访问项目的用户始终有权使用IAP进行TCP转发Owner
- GCP控制台:使用云控制台中的
按钮李>SSH
gcloud计算ssh实例\u名称
您可以使用
--tunnel through iap
标志,以便gcloud compute ssh
始终使用iap TCP隧道
如前所述,角色/iap.tunnelResourceAccessor
和iap安全隧道用户
不是不同的IAM角色,而是相同角色的角色名称和角色标题。还有一个资源以方便的形式表示这一点:问题中提到的链接(“参考”)实际上指向 . 除了通过IAP访问之外,通过堡垒主机进行连接也是另一种方法 如文件所述 IAP的TCP转发功能将SSH连接封装在HTTPS中。 IAP的TCP转发功能然后将其发送到远程实例 因此,问题的两个部分(或之前或之后)属于相同的访问方法:。因此,第一个问题的答案是“无差异”,因为所有这些都描述了IAP TCP转发的工作原理,以及设置和使用IAP TCP转发的步骤: 1.创建一个防火墙规则:
- 适用于您希望使用IAP访问的所有VM实例李>
- 允许来自IP范围
(此范围包含IAP用于TCP转发的所有IP地址)的入口流量李>35.235.240.0/20
- 允许使用IAP TCP转发连接到您希望访问的所有端口,例如SSH的端口
22
- 使用GCP控制台或gcloud向用户添加角色
(IAP安全隧道用户
)。角色/IAP.tunnelResourceAccessor
注意:
有权访问项目的用户始终有权使用IAP进行TCP转发Owner
- GCP控制台:使用云控制台中的
按钮李>SSH
gcloud计算ssh实例\u名称