使用 Identity-Aware Proxy 連線至 Linux VM

本文說明如何使用 Identity-Aware Proxy (IAP) TCP 轉送,透過虛擬機器 (VM) 執行個體的內部 IP 位址連線至該執行個體。

IAP TCP 轉送功能可讓您建立加密通道,將 SSH 連線轉送至 VM。連線至使用 IAP 的 VM 時,IAP 會先將 SSH 連線包裝在 HTTPS 內,再將連線轉送至 VM。接著,IAP 會檢查您是否具備必要 IAM 權限,如果具備,就會授予 VM 存取權。

如要連線至沒有外部 IP 位址的 VM,但無法使用 IAP,請參閱僅限內部 VM 的連線選項,瞭解其他方法。

事前準備

  • 建立防火牆規則,啟用來自 IAP 的連線。
  • 如果尚未設定驗證,請先完成設定。 「驗證」是指驗證身分的程序,確認您有權存取 Trusted Cloud by S3NS 服務和 API。如要從本機開發環境執行程式碼或範例,請選取下列任一選項,向 Compute Engine 進行驗證:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.

    gcloud

    1. 安裝 Google Cloud CLI,然後 使用同盟身分登入 gcloud CLI。 登入後,執行下列指令初始化 Google Cloud CLI: 

      gcloud init
    2. Set a default region and zone.

支援的作業系統

Compute Engine 提供的所有公開 Linux 映像檔都支援這些連線方法。如果是 Fedora CoreOS 映像檔,您必須先設定 SSH 存取權,才能使用這些方法。

連線至 VM

如要連線至 VM,請按照下列分頁中的步驟進行。

主控台

使用瀏覽器中的 SSH,透過 VM 的內部 IP 位址建立 SSH 連線通道,方法如下:

  1. In the Trusted Cloud console, go to the VM instances page.

    Go to VM instances

  2. In the list of virtual machine instances, click SSH in the row of the instance that you want to connect to.

gcloud

使用 gcloud compute ssh 指令--tunnel-through-iap 標記,透過 VM 的內部 IP 位址建立 SSH 連線通道:

    In the Trusted Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Trusted Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  1. 執行下列指令,連線至 VM:

    gcloud compute ssh VM-NAME \
    --tunnel-through-iap

    2. VM_NAME 替換為要連線的 VM 名稱。

    IAP Desktop

    如要使用 IAP Desktop 連線至 VM,請按照下列步驟操作:

    1. 如果尚未在工作站上安裝 IAP Desktop,請先完成這項程序。

    2. 開啟 IAP Desktop。「新增專案」視窗隨即開啟。

    3. 看到提示訊息後,請使用可存取專案的 Google 帳戶登入,專案中包含您要連線的 VM。

    4. 在「新增專案」視窗中,輸入要連線的 VM 所在專案的 ID 或名稱。

    5. 在「Project Explorer」視窗中,再次以滑鼠右鍵按一下 VM 名稱,然後選取「Connect」,即可連線至 VM。

    PuTTY 應用程式

    使用 PuTTY 透過 VM 的內部 IP 位址建立 SSH 連線通道,方法如下:

    1. 如果尚未新增安全殼層金鑰,請新增安全殼層金鑰至 VM。
    2. 如果工作站尚未安裝 PuTTY 應用程式,請下載 PuTTY 套件檔案

    3. 前往 Trusted Cloud 控制台的「VM Instances」(VM 執行個體) 頁面,並找到要連線的 VM 名稱。

      前往 VM 執行個體

    4. 開啟 PuTTY 應用程式,連線設定視窗隨即開啟。

    5. Host Name 欄位中,輸入安全殼層金鑰的相關使用者名稱,以及要連線的 VM 名稱。請使用下列格式:

      USERNAME@VM_NAME

      更改下列內容:

    6. 在「Category」選單中,依序前往「Connection」>「SSH」>「Auth」
    7. 在「Private key file for authentication」欄位中,選取與您新增至 VM 的公開金鑰對應的私密安全殼層金鑰檔案。
    8. 在「Category」選單中,依序前往「Connection」>「Proxy」
    9. 在「Proxy type」部分,選取「Local」

    10. 在「Telnet command, or local proxy command」欄位中,輸入下列指令:

      gcloud.cmd compute start-iap-tunnel VM_NAME PORT_NUMBER --listen-on-stdin --project=PROJECT_ID --zone=ZONE

      更改下列內容:

      • VM_NAME:要連線的 VM 名稱。
      • PORT_NUMBER:sshd daemon 執行的通訊埠。預設 PORT_NUMBER22
      • PROJECT_ID:要連線的 VM 所在專案。
      • ZONE:VM 所在的區域。
    11. 按一下「開啟」即可連線至 VM。

疑難排解

如要瞭解如何診斷及解決 SSH 連線失敗的問題,請參閱「排解 SSH 問題」。

後續步驟