GCP 允许外部 HTTPS 负载平衡器受 Identity Aware Proxy (IAP) 的保护,使用您的 google 帐户凭据来保护负载平衡器后面的 Web 服务器。这是一种保护您想要在内部使用的 Web 服务的简单方法。但是,有时您需要在另一个域的网站内提供访问权限,例如另一个团队的子域,或者在使用Honeycomb.io 的 Secure Tenancy等第三方服务时。这需要启用跨域资源共享或 CORS。
GCP可以配置为允许跨 IAP 的 CORS 请求,但文档很少。您如何实际启用它?
从 gcloud 277.0 开始,这可以通过gcloud beta iap settings命令完成。Cloud Console 支持即将推出。你想要这样的东西:
cat > settings <<EOF
accessSettings:
corsSettings:
allowHttpOptions: true
EOF
gcloud beta iap settings set settings \
--project=project-id \
--resource-type=compute \
--service=backend-service-name
更新: https ://twitter.com/mattsachs/status/1220907777247154178?s=19
目前,GCP 并没有通过Cloud Console、gcloud命令行工具,或者他们的各种语言 api 库来公开这个 api 。它需要curl从 VM 实例中发出 Web 请求。
注意:这似乎可以使用 Cloud Shell 完成,无需虚拟机。
首先,在 GCP 中创建启用 IAP 的外部负载均衡器,并在同一网络中创建要连接的 VM 实例。它应该与启用 IAP 的负载均衡器在同一个项目中。
重要提示:创建 VM 时,Allow full access to all Cloud APIs在Identity and API access>中选择Access scopes。
通过 SSH 连接到 VM [或 Cloud Shell],并在整个过程的其余部分中将该会话用于 shell 命令。
我们将准备以下环境变量(或稍后手动替换值):
BEARER_TOKEN = OAuth token used in curl API calls
PROJECT_ID = ID for the compute project
INSTANCE_ID = ID for the IAP instance
IAP_NAME = Name for the IAP instance
PROJECT_ID=<PROJECT_ID>和INSTANCE_ID=<INSTANCE_ID>PROJECT_ID=<PROJECT_ID>
INSTANCE_ID=<INSTANCE_ID>
BEARER_TOKEN=`gcloud auth application-default print-access-token`
INSTANCE_NAME="projects/${PROJECT_ID}/iap_web/compute/services/${INSTANCE_ID}"
curl --request GET --header "Accept: application/json" --header "Content-Type: application/json" --header "Authorization: Bearer ${BEARER_TOKEN}" "https://iap.googleapis.com/v1/${INSTANCE_NAME}:iapSettings"
SETTINGS_BODY='{"name":"'${INSTANCE_NAME}'","accessSettings":{"corsSettings":{"allowHttpOptions":true}}}'
curl --request PATCH --header "Accept: application/json" --header "Content-Type: application/json" --header "Authorization: Bearer ${BEARER_TOKEN}" --data ${SETTINGS_BODY} --compressed "https://iap.googleapis.com/v1/${INSTANCE_NAME}:iapSettings"
这应该返回更新的设置,类似于步骤 5 的输出,但具有新值。
请享用!