3

为应用程序配置了 Google Cloud Identity Aware Proxy。到目前为止,只要我不使用公司代理,我就可以 ssh 到它。尝试通过代理(IAP 端点位于公司代理中的“允许”列表中),但由于 SSL 证书错误而失败。

错误:

...
"/Library/Frameworks/Python.framework/Versions/3.7/lib/python3.7/ssl.py", line 853, in _create
    self.do_handshake()
  File "/Library/Frameworks/Python.framework/Versions/3.7/lib/python3.7/ssl.py", line 1117, in do_handshake
    self._sslobj.do_handshake()
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1056)
INFO: Error during WebSocket processing:
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1056)

INFO: Client closed connection from [stdin].
DEBUG: (gcloud.compute.start-iap-tunnel) Error while connecting [[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1056)].
Traceback (most recent call last):
  File "/usr/local/Caskroom/google-cloud-sdk/latest

...

有没有人成功为 IAP 配置公司代理?如果是,您认为需要什么配置才能使其正常工作?

提前非常感谢!!

4

1 回答 1

4

回答我自己的问题:

是的,可以配置代理来访问 IAP 端点节点。

脚步:

  1. 请您友好的代理管理员将以下内容添加到允许列表中:

    wss://tunnel.cloudproxy.app

  2. 配置您当前的 GCLOUD_SDK 环境

    $ gcloud config set proxy/type http
    更新的属性 [proxy/type]。

     $ gcloud config set proxy/address proxy.testcorp.com                                                                           
 Updated property [proxy/address].

 $ gcloud config set proxy/port 8080                                                                                            
 Updated property [proxy/port].

 $ gcloud config set proxy/username user001                                                                                    
 Updated property [proxy/username].

 $ gcloud config set proxy/password XXXXXXXXXXXX                                                                                
 Updated property [proxy/password].

  3. 确保您的工作站上安装了正确的 SSL 证书。您可以GCLOUD_SDK使用以下命令配置使用您的证书:

    gcloud 配置设置 custom_ca_certs_file /Users/user01/gce/certs/corpcerts.pem

接下来,您可以继续发出'gcloud ssh'命令--tunnel-through-iap 以连接到您的节点。

于 2020-07-09T15:43:14.027 回答