通常必須要讓防火牆規則，開放所有的 IP 來源的 Port 22，

像這樣：Allow 0.0.0.0/0 Port 22

代表不是只有你，

全世界的駭客都可以連到你的主機 Port 22。

如果要安全地連，必須自己做 SSH Key，從本機 SSH 來連，

才可以設定防火牆只允許自家 IP，然後擋掉其他 IP，有點麻煩。

但是現在 GCP 改善了，你不用再做自己的 SSH Key了，

你可以只允許 Cloud IAP 的 IP Range 35.235.240.0/20，

不用 Allow 全世界的 IP，也不用 Allow 自家的 IP。

Cloud IAP 的技術原理可以直接看這篇，本文直接實作給你看。

以下是我新建一條防火牆，

只允許 Cloud IAP 的 IP 範圍：

你只要點擊 SSH 按鈕，就可以直接連線了。

連上之後，從 Linux 查看連線的來源 IP 為 35.235.244.82，果然是 Cloud IAP 的範圍。

也從防火牆 Log 來看，也是一樣。

以後再也不用自己做 SSH Key了，實在是非常方便呢！！

最後提醒一下，原本那條 default-allow-ssh 防火牆規則，記得要停用喔！不然駭客還是會找到你喔！

The post Cloud IAP 簡單介紹和實作, 防火牆不用全開，讓你安全又方便連線到虛擬機器 first appeared on 東東 GCP 教學 - GCP 實戰講師.