Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questa pagina descrive come Identity-Aware Proxy (IAP) gestisce l'inoltro TCP. Per scoprire come concedere ai principali l'accesso alle risorse sottoposte a tunnel e come creare tunnel che instradano il traffico TCP, consulta Utilizzo di IAP per l'inoltro TCP.
Introduzione
La funzionalitร di inoltro TCP di IAP ti consente di controllare chi puรฒ accedere ai servizi amministrativi come SSH e RDP sui tuoi backend dall'internet pubblico. La funzionalitร di inoltro TCP impedisce che questi servizi siano esposti indiscriminatamente a internet. Le richieste ai tuoi servizi devono invece superare i controlli di autenticazione e autorizzazione prima di raggiungere la risorsa di destinazione.
L'esposizione dei servizi amministrativi direttamente a internet durante l'esecuzione dei carichi di lavoro nel cloud comporta dei rischi. Il reindirizzamento del traffico TCP con IAP consente di ridurre questo rischio, garantendo che solo gli utenti autorizzati accedano a questi servizi sensibili.
Poichรฉ questa funzionalitร รจ specificamente rivolta ai servizi amministrativi,
i target con bilanciamento del carico non sono supportati.
La chiamata al servizio di inoltro TCP IAP non รจ supportata sui dispositivi mobili.
Come funziona l'inoltro TCP di IAP
La funzionalitร di inoltro TCP di IAP consente agli utenti di connettersi a porte TCP arbitrarie sulle istanze Compute Engine. Per il traffico TCP generico, IAP crea una porta di ascolto sull'host locale che inoltra tutto il traffico a un'istanza specificata. L'IAP quindi racchiude tutto
il traffico dal client in HTTPS. Gli utenti ottengono l'accesso all'interfaccia e alla porta se superano il controllo di autenticazione e autorizzazione del criterio IAM (Identity and Access Management) della risorsa di destinazione.
Un caso speciale, la creazione di una connessione SSH utilizzando gcloud compute ssh, consente di racchiudere la connessione SSH all'interno di HTTPS e di inoltrarla all'istanza remota senza la necessitร di una porta di ascolto sull'host locale.
L'abilitazione di IAP in una risorsa di amministrazione non blocca automaticamente le richieste dirette alla risorsa. IAP blocca solo le richieste TCP
che non provengono dagli IP di inoltro TCP di IAP ai servizi pertinenti
nella risorsa.
L'inoltro TCP con IAP non richiede un indirizzo IP pubblico e inoltrabile assegnato alla risorsa. Utilizza invece indirizzi IP interni.
Passaggi successivi
Scopri come connetterti alle porte TCP sulle istanze
e concedere alle entitร l'accesso alle risorse sottoposte a tunnel.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema รจ stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-08-18 UTC."],[[["\u003cp\u003eIAP's TCP forwarding feature controls access to administrative services like SSH and RDP on backends, preventing them from being openly exposed to the internet.\u003c/p\u003e\n"],["\u003cp\u003eOnly authorized users who pass authentication and authorization checks gain access to sensitive services via IAP's TCP forwarding, reducing the risk of exposing administrative services directly to the internet.\u003c/p\u003e\n"],["\u003cp\u003eIAP's TCP forwarding establishes a local listening port that forwards traffic to a specified instance, wrapping all client traffic in HTTPS for general TCP connections.\u003c/p\u003e\n"],["\u003cp\u003eIAP's TCP forwarding doesn't require the resource to have a public, routable IP address, instead using internal IPs for forwarding.\u003c/p\u003e\n"],["\u003cp\u003eEnabling IAP on an administrative resource does not block all requests, it will only block TCP requests that do not come from an IAP TCP forwarding IP.\u003c/p\u003e\n"]]],[],null,["# Overview of TCP forwarding\n\nThis page describes how Identity-Aware Proxy (IAP) handles TCP\nforwarding. To learn how to grant principals access to tunneled resources and how\nto create tunnels that route TCP traffic, see\n[Using IAP for TCP forwarding](/iap/docs/using-tcp-forwarding).\n\nIntroduction\n------------\n\nIAP's TCP forwarding feature lets you control who\ncan access administrative services like SSH and RDP on your backends from the\npublic internet. The TCP forwarding feature prevents these services from being\nopenly exposed to the internet. Instead, requests to your services must pass\nauthentication and authorization checks before they get to their target\nresource.\n\nExposing administrative services directly to the internet when running workloads\nin the cloud introduces risk. Forwarding TCP traffic with IAP\nallows you to reduce that risk, ensuring only authorized users gain access to\nthese sensitive services.\n\nSince this feature is specifically aimed at administrative services,\nload-balanced targets aren't supported.\n| **Note:** Administrative services, as defined here, are services that are typically used to administer a machine, such as RDP, SSH, and MySQL's admin interface.\n\nCalling the IAP TCP forwarding service isn't supported on\nmobile devices.\n\nHow IAP's TCP forwarding works\n------------------------------\n\nIAP's TCP forwarding feature allows users to connect to\narbitrary TCP ports on Compute Engine instances. For general TCP traffic,\nIAP creates a listening port on the local host that forwards\nall traffic to a specified instance. IAP then wraps all\ntraffic from the client in HTTPS. Users gain access to the interface and port if\nthey pass the authentication and authorization check of the target resource's\nIdentity and Access Management (IAM) policy.\n\nA special case, establishing an SSH connection using [`gcloud compute ssh`](/sdk/gcloud/reference/compute/ssh)\nwraps the SSH connection inside HTTPS and forwards it to the remote instance\nwithout the need of a listening port on local host.\n\nEnabling IAP on an admin resource doesn't automatically block\ndirect requests to the resource. IAP only blocks TCP requests\nthat aren't from IAP TCP forwarding IPs to relevant services\non the resource.\n\nTCP forwarding with IAP doesn't require a\npublic, routable IP address assigned to your resource. Instead, it uses internal\nIPs.\n\nWhat's next\n-----------\n\n- Learn how to connect to [TCP ports on instances](/iap/docs/using-tcp-forwarding) and grant principals access to tunneled resources."]]
