通过云身份感知代理连接失败

Question

​

我在GCP Jupiter笔记本中遇到以下断开连接问题。

错误码: 4010，错误码: 1006

你能建议一些解决方案吗？

​

​

Answer 1

作为IAP配置步骤的一部分，您应该创建一个允许从IAP地址范围进入SSH端口的firewall rule：

GCP Console => VPC network => Firewall rules => Create Firewall Rule
  Name:     allow-ingress-from-iap
  Direction of traffic:     Ingress
  Target:   All instances in the network 
  Source filter:    IP ranges 
  Source IP ranges:     35.235.240.0/20 
  Protocols and ports:  select TCP and enter 22 to allow SSH

Identity-Aware Proxy > Doc > Setting up IAP for Compute Engine

在通过IAP与仅具有内部IP的虚拟机之间的SSH会话处于非活动状态1小时后，GCP控制台UI中会显示错误1006，这是Google端的会话超时。

Answer 2

正如@mebius99提到的，IAP (身份感知代理)请求来自IP地址范围35.235.240.0/20。

您的网络防火墙必须允许这些请求能够通过IAP进行SSH。

其中一种方法(创建防火墙规则)是运行gcloud compute firewall-rules create命令。

为此，首先在Google云控制台上打开云shell，

​

然后，打开云shell后，运行以下命令：

gcloud compute firewall-rules create ssh-ingress-from-iap --allow=tcp:22 --source-ranges 35.235.240.0/20 --network [network-name]

将私有网络替换为您的网络名称(默认[network-name]网络名称为：default)

如果上面的解决方案不起作用(或者已经有了类似的防火墙规则)，请考虑检查网络标签(在防火墙规则和VM上)。可能的情况是，您的防火墙规则仅允许对具有某些标记的特定实例的请求，而您尝试通过SSH连接到的实例则不允许。