企业在不是应用时，为了保证安全性，一般不面向公网的VM都不配置公网IP。要管理这些VM的时候，一般采用堡垒机的方式实现。这台堡垒机有公网IP，可以登陆相关VM，并且可以有Audit功能。

在GCP上，有一个IAP功能：Identity Awared Proxy。这个功能可以根据用户的Identity，实现各种TCP应用的Proxy功能。比如TCP 22端口的SSH功能。

采用这个功能，可以采用IAP实现堡垒机相似的功能。

具体实现方式如下：

一创建一台VM，没有公网IP

二 Enable IAP

进入IAP配置页面，如果没有enable IAP，会花一点时间enable IAP的API。

Enable后，可以看到配置页面：

在SSH AND TCP RESOURCES配置中，可以看到GCE的resource，点中相关的资源后，可以看到相关授权的用户。

当然也可以点击添加按钮，添加可以IAP的用户：

三 SSH登陆VM

用有IAP权限的用户采用gcloud命令登陆VM：

可以看到用户是hengwei@google.com，这个用户有IAP的权限。采用这个用户登陆：

可以看到，登陆成功。

四配置Audit功能

首先导出project的IAM配置文件：
gcloud projects get-iam-policy weiheng-sc-test > sctest.yaml
添加Audit相关的配置：

应用此配置文件：

gcloud projects set-iam-policy weiheng-sc-test sctest.yaml
Updated IAM policy for project [weiheng-sc-test].
auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_READ
  - logType: DATA_WRITE
  service: allServices ……

在logging中查看相关信息：

可以看到相关的Audit信息：

五总结

通过GCP的IAP Tunneling功能，可以实现类似堡垒机的功能，通过IAP登陆GCE，并可以对登录相关的信息进行Audit。

文章版权归作者所有，未经许可不得转载。

创作场景

使用 GCP 的 IAP 功能实现 VM 无公网 IP 的 SSH 登陆