以前如果要直接點擊 SSH 按鈕連線到你的主機,
通常必須要讓防火牆規則,開放所有的 IP 來源的 Port 22,
像這樣:Allow 0.0.0.0/0 Port 22
代表不是只有你,
全世界的駭客都可以連到你的主機 Port 22。
如果要安全地連,必須自己做 SSH Key,從本機 SSH 來連,
才可以設定防火牆只允許自家 IP,然後擋掉其他 IP,有點麻煩。
但是現在 GCP 改善了,你不用再做自己的 SSH Key了,
你可以只允許 Cloud IAP 的 IP Range 35.235.240.0/20,
不用 Allow 全世界的 IP,也不用 Allow 自家的 IP。
Cloud IAP 的技術原理可以直接看這篇,本文直接實作給你看。
以下是我新建一條防火牆,
只允許 Cloud IAP 的 IP 範圍:
你只要點擊 SSH 按鈕,就可以直接連線了。
連上之後,從 Linux 查看連線的來源 IP 為 35.235.244.82,果然是 Cloud IAP 的範圍。
也從防火牆 Log 來看,也是一樣。
以後再也不用自己做 SSH Key了,實在是非常方便呢!!
最後提醒一下,原本那條 default-allow-ssh 防火牆規則,記得要停用喔!不然駭客還是會找到你喔!
