GSP1036

總覽

在本實驗室，您將瞭解如何使用 Chrome Enterprise 進階版和 Identity-Aware Proxy (IAP) TCP 轉送功能，以管理員身分存取沒有外部 IP 位址的 VM 執行個體，或不允許直接透過網際網路存取的 VM 執行個體。

課程內容

• 在 Google Cloud 專案啟用 IAP TCP 轉送功能
• 測試是否能連線至 Linux 和 Windows 執行個體
• 設定 BCE 所需的防火牆規則
• 授予 IAP TCP 轉送功能的使用權限
• 實際透過 SSH 和 RDP 連線建立通道

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

您必須預先安裝 RDP 用戶端，才能連線至 Windows 執行個體並進行測試。

工作 1：在 Google Cloud 專案啟用 IAP TCP 轉送功能

1. 開啟「導覽選單」，依序選取「API 和服務」>「程式庫」。

2. 搜尋 IAP，接著選取「Cloud Identity-Aware Proxy API」。

3. 點選「啟用」。

工作 2：建立 Linux 和 Windows 執行個體

請為本實驗室建立三個執行個體： - 兩個用於示範 (Linux 和 Windows) - 一個用於測試連線能力 (Windows)

Linux 執行個體

1. 依序選取「導覽選單」圖示 >「Compute Engine」>「VM 執行個體」。

2. 點選「建立執行個體」。

3. 前往「機器設定」專區：

   選取下列值：

   • 名稱：linux-iap
   • 可用區：

4. 點選「網路」。

   在「網路介面」部分，從網路下拉式選單，點選「預設」來編輯設定。將「外部 IPv4 位址」變更為「無」。

5. 按一下「完成」。

   

6. 接著點選「建立」。這個 VM 會稱為 linux-iap

Windows 執行個體

1. 點選「建立執行個體」，建立 Windows Demo VM。

2. 前往「機器設定」專區：

   選取下列值：

   • 名稱：windows-iap
   • 可用區：

3. 點選「OS 和儲存空間」專區。

   點選「變更」，開始設定開機磁碟，並選取下列值：

   • 「公開映像檔」>「作業系統」>「Windows Server」
   • 「版本」>「Windows Server 2016 Datacenter」

   

   按一下「選取」。

4. 點選「網路」。

   在「網路介面」部分，從網路下拉式選單，點選「預設」來編輯設定。將「外部 IPv4 位址」變更為「無」，然後點選「完成」。

5. 接著點選「建立」。這個 VM 會稱為 windows-iap

6. 點選「建立執行個體」，建立 Windows Connectivity VM。

7. 前往「機器設定」專區：

   選取下列值：

   • 名稱：windows-connectivity
   • 可用區：

8. 依序點選「OS 和儲存空間」專區和「變更」。

   前往「自訂映像檔」分頁，為 OS 設定下列項目：

   • 映像檔的來源專案：Qwiklabs Resources
   • 映像檔：iap-desktop-v001

   按一下「選取」。

9. 點選「安全性」。

   在「存取權範圍」專區，選取「允許所有 Cloud API 的完整存取權」。

   請勿停用這個執行個體的外部 IP 位址

10. 接著點選「建立」。這個 VM 會稱為 windows-connectivity

確認 3 個執行個體都已建立完成

工作 3：測試是否能連線至 Linux 和 Windows 執行個體

1. 執行個體建立完成後，請測試能否存取 linux-iap 和 windows-iap，確認無法存取沒有外部 IP 的 VM。

2. linux-iap：點選「SSH」按鈕連線至機器，並確認頁面顯示如下訊息：

   

注意：即使外部 IPv4 設為「無」，VM 清單頁面上的「SSH」按鈕仍可能會顯示為可點選。如要確認執行個體沒有外部 IP 位址，請點選執行個體名稱，然後將滑鼠游標懸停在詳細資料頁面的「SSH」按鈕上，此時應會顯示「這個執行個體沒有任何外部 IP」。訊息。

4. windows-iap：點選「RDP」按鈕，並確認是否看見下列訊息：

   

依下列步驟設定及使用 IAP，即可連線至沒有外部 IP 的執行個體。

工作 4：設定 BCE 所需的防火牆規則

1. 開啟「導覽選單」，依序選取「虛擬私有雲網路」>「防火牆」，接著點選「建立防火牆規則」。

2. 進行下列設定：

欄位	設定
名稱	allow-ingress-from-iap
流量方向	輸入
目標	網路中的所有執行個體
來源篩選器	IPv4 範圍
來源 IPv4 範圍	35.235.240.0/20
通訊協定和通訊埠	選取「TCP」並輸入 22 和 3389，分別允許 SSH 和 RDP

3. 點選「建立」，建立防火牆規則。

確認防火牆規則已建立完成。

工作 5：授予 IAP TCP 轉送功能的使用權限

依下列步驟為 VM 授予 iap.tunnelResourceAccessor 角色。

1. 開啟「導覽選單」，依序選取「安全性」>「Identity-Aware Proxy」，並切換至「SSH 和 TCP 資源」分頁。如果 HTTPS 部分出現 OAuth 同意畫面錯誤訊息，可以直接略過。
2. 選取「linux-iap」和「windows-iap」這兩個 VM 執行個體。
3. 點選「新增主體」，接著輸入與 windows-connectivity VM 相關的服務帳戶，格式應為：-compute@developer.gserviceaccount.com。
4. 為角色依序選取「Cloud IAP」>「受 IAP 保護的通道使用者」。
5. 點選「儲存」。
6. 點選頁面右上方的「S」圖示，開啟個人資料並複製學員帳戶的電子郵件地址。
7. 再次點選「新增主體」，新增學員帳戶。
8. 輸入學生帳戶。您可以從實驗室的詳細資料窗格複製這個值。
9. 為角色依序選取「Cloud IAP」>「受 IAP 保護的通道使用者」。
10. 點選「儲存」。

「受 IAP 保護的通道使用者」角色會授予權限，允許 windows-connectivity 執行個體透過 IAP 連線至資源。新增學員帳戶有助於確認步驟正確完成。

確認已為服務帳戶設定 IAM 角色。

工作 6：使用 IAP Desktop 連線至 Windows 和 Linux 執行個體

您可以使用 IAP Desktop，從具有 Windows 桌面的執行個體，透過圖形使用者介面連線至執行個體。如要進一步瞭解 IAP Desktop，請按這裡前往託管該工具下載程式的 GitHub 存放區。

如要使用 IAP Desktop 連線至本實驗室的執行個體：

1. 下載 RDP 檔案，透過 RDP 連線至 windows-connectivity 執行個體。依序前往「Compute Engine」>「VM 執行個體」頁面。在 Compute Engine 到達網頁中，點選 windows-connectivity 執行個體旁的向下箭頭，即可下載檔案。

2. 開啟 RDP 檔案，透過遠端桌面通訊協定連線至執行個體。出現提示訊息時，請使用下方的憑證連線至執行個體：

   • 使用者名稱：student
   • 密碼：Learn123!

3. 連線至 windows-connectivity 執行個體後，請在執行個體的桌面上找出並開啟 IAP Desktop 應用程式。

4. 應用程式開啟後，請點選「使用 Google 帳戶登入」按鈕來登入。請輸入實驗室控制台列出的使用者名稱和密碼，在 IAP Desktop 驗證身分。系統提示您繼續操作時，請依序點選「繼續」和「允許」。

5. 通過驗證後，您必須新增專案，才能透過 IAP Desktop 連線至 Compute Engine 執行個體。請選取與實驗室執行個體相關的實驗室專案：

6. 在 IAP Desktop 應用程式，按兩下「windows-iap」登入執行個體。

7. 第一次透過 IAP Desktop 連線至執行個體時，系統可能會提示您輸入執行個體的憑證，此時請選取「Generate new credentials」。

8. 在「Generate logon credentials」彈出式視窗，點選「OK」。

9. 憑證建立完畢後，系統會將您導向 windows-iap 執行個體的桌面，此時就可以看到使用者介面。

工作 7：實際透過 SSH 和 RDP 連線建立通道

1. 您會透過 RDP 用戶端測試能否連線至 RDP 執行個體，因為您需要在本機透過 IAP 通道連線至執行個體。

2. 依序前往「Compute Engine」>「VM 執行個體」頁面。

3. 點選 windows-connectivity 執行個體旁的向下箭頭，接著選取「設定 Windows 密碼」。請複製並儲存密碼。

4. 接著點選「連線」旁的向下箭頭，再點選「下載遠端桌面協定檔案」。透過用戶端開啟 RDP 檔案並輸入密碼。

5. 連線至 windows-connectivity 執行個體後，請開啟 Google Cloud SDK Shell：

   

6. 在指令列中輸入下列內容，確認能否連線至 linux-iap 執行個體：

   gcloud compute ssh linux-iap

   出現提示訊息時，請輸入 Y 繼續操作，接著選取可用區。

   請務必根據執行個體選取正確的可用區。

7. 出現 PuTTy 安全性警示時，請接受。

系統應會指出找不到外部 IP 位址，因此將使用 IAP 通道。

8. 更新 PuTTy 設定，允許在本機透過通道連線。依序點選 PuTTy 視窗左上角 >「Change Settings」。

   

9. 勾選「Local ports accept connections from other hosts」核取方塊，允許本機通訊埠接受其他主機的連線。

   

10. 關閉 PuTTy 工作階段，接著點選「Apply」。輸入下列指令，為 VM 執行個體的 RDP 通訊埠建立加密通道：

    gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone={{{ project_0.default_zone | Zone }}}

    系統顯示「Listening on port [XXX].」時，請複製通道的通訊埠編號。

11. 返回 Google Cloud 控制台，依序前往「Compute Engine」>「VM 執行個體」頁面。

12. 設定並複製 windows-iap 執行個體的密碼。

    接著返回 RDP 工作階段。

13. 保持 gcloud 運作，並開啟 Microsoft Windows 遠端桌面連線應用程式。

14. 輸入先前步驟中的通道通訊埠編號，做為通道端點，格式如下：

    • localhost:endpoint
    

15. 點選「連線」。

    接著輸入先前複製的憑證，即可透過 RDP 順利連線至執行個體。

    如果出現提示訊息，請點選「Yes」。

    

您已透過 IAP 存取沒有外部 IP 位址的執行個體 確認可透過啟用 IAP 的服務帳戶存取 VM

恭喜！您已成功透過 IAP 連線至兩個執行個體。

恭喜！

您透過下列操作，學會如何使用 BeyondCorp Enterprise (BCE) 和 Identity-Aware Proxy (IAP) TCP 轉送功能：部署 windows-iap 和 linux-iap 兩個 VM，並設定 IAP 通道，透過第三個 VM windows-connectivity 存取這兩個沒有外部 IP 位址的 VM。

後續步驟/瞭解詳情

• 如要進一步瞭解 BeyondCorp Enterprise (BCE) 和零信任安全模式，請前往 Cloud 說明文件網站。

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2025 年 7 月 18 日

實驗室上次測試日期：2025 年 7 月 18 日

Copyright 2025 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。