Назад | Перейти на главную страницу

Браузер SSH для экземпляра виртуальной машины без внешнего IP

В моем проекте GCP для меня, как владельца проекта, включена опция SSH в браузере на экземпляре виртуальной машины без внешнего IP-адреса, но не для других пользователей, у которых есть Compute Admin и с «ролями / iam.serviceAccountUser» для вычисления учетной записи службы. Те же пользователи могут использовать SSH через браузер и использовать Cloud IAP в оболочке для экземпляров с внешними IP-адресами.

Даже если экземпляр создан пользователем, у него не включен SSH в браузере, и он включен для владельца проекта.

Какая конфигурация позволяет роли владельца проекта включать SSH в браузере для экземпляров без внешнего IP-адреса и отключать его для других пользователей?

Я просмотрел документацию Google по SSH, разрешениям и т. Д. Везде говорится о способах доступа к экземплярам без внешнего IP, что полезно, если владелец также не может использовать SSH из браузера. Я понимаю, что мы можем подключаться к экземплярам по SSH и другими способами. Я хотел бы знать, какое разрешение / роль позволяло владельцу подключаться к SSH из браузера.

Спасибо, Правин

GCP SSH из браузера в экземпляры без внешнего IP-адреса работает только в нескольких конфигурациях. Из документации:

Подключение к экземплярам, ​​у которых нет внешнего IP-адреса. Если у вашего экземпляра Compute Engine есть только внутренний IP-адрес, используйте один из следующих вариантов для подключения:

  1. SSH из браузера с настроенным Перенаправление TCP прокси с идентификацией. Если экземпляр без внешнего IP-адреса настроен для разрешения TCP-туннелирования через IAP, вы также можете подключиться к экземпляру с помощью SSH из браузера.

  2. SSH из браузера с хостом Bastion. Используйте SSH из браузера для подключения к экземпляру бастиона, имеющему внешний IP-адрес. Из экземпляра бастиона подключитесь к целевому экземпляру, у которого есть только внутренний IP-адрес. ssh -A internal-ip

Первый вариант - это TCP-прокси, предоставляемый GCP, который они также заставили работать с SSH в браузере.

Во-вторых, вы запускаете оболочку, доступную как по периметру, так и по внутренней сети. Также известен как хозяин бастиона.