google-iap - Google Cloud Identity Aware Proxy over Corporate Proxy

Question

为应用程序配置了 Google Cloud Identity Aware Proxy。到目前为止，只要我不使用公司代理，我就可以 ssh 到它。尝试通过代理（IAP 端点位于公司代理中的“允许”列表中），但由于 SSL 证书错误而失败。

错误：

...
"/Library/Frameworks/Python.framework/Versions/3.7/lib/python3.7/ssl.py", line 853, in _create
    self.do_handshake()
  File "/Library/Frameworks/Python.framework/Versions/3.7/lib/python3.7/ssl.py", line 1117, in do_handshake
    self._sslobj.do_handshake()
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1056)
INFO: Error during WebSocket processing:
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1056)

INFO: Client closed connection from [stdin].
DEBUG: (gcloud.compute.start-iap-tunnel) Error while connecting [[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1056)].
Traceback (most recent call last):
  File "/usr/local/Caskroom/google-cloud-sdk/latest

...

有没有人成功为 IAP 配置公司代理？如果是，您认为需要什么配置才能使其正常工作？

提前非常感谢！！

Answer 1

回答我自己的问题：

是的，可以配置代理来访问 IAP 端点节点。

脚步：

1. 请您友好的代理管理员将以下内容添加到允许列表中：

   wss://tunnel.cloudproxy.app

2. 配置您当前的 GCLOUD_SDK 环境

   $ gcloud config set proxy/type http
   更新的属性 [proxy/type]。

    $ gcloud config set proxy/address proxy.testcorp.com                                                                           
    Updated property [proxy/address].
   
    $ gcloud config set proxy/port 8080                                                                                            
    Updated property [proxy/port].
   
    $ gcloud config set proxy/username user001                                                                                    
    Updated property [proxy/username].
   
    $ gcloud config set proxy/password XXXXXXXXXXXX                                                                                
    Updated property [proxy/password].
   

3. 确保您的工作站上安装了正确的 SSL 证书。您可以GCLOUD_SDK使用以下命令配置使用您的证书：

   gcloud 配置设置 custom_ca_certs_file /Users/user01/gce/certs/corpcerts.pem

接下来，您可以继续发出'gcloud ssh'命令--tunnel-through-iap 以连接到您的节点。