はじめに
GCPのインスタンスに外部からセロトラストなアクセスできるリモートデスクトップクライアントが公開されたので試してみました。
https://cloud.google.com/blog/products/identity-security/zero-trust-remote-access-for-windows-vms
接続先の環境としてはプロジェクト demo にインスタンスが一台あるだけです。
最初にGCPの設定から見ていきます。
GCP側に設定
GCP側の設定として、最初に Identitiy-Aware Proxy を有効化します。
(オーナーだけならは有効化しなくても接続できました)
次にクライアントをインストールします。
IAP Desktopのインストール
下記よりダウンロードしてインストールします。
https://github.com/GoogleCloudPlatform/iap-desktop
Windowsのみ用意されています。
接続する
起動後にログインします。
アクセス権を求められるので許可します。
プロジェクトIDを入力します。プロジェクト名では接続できませんでした。
ちょっとサイズが合っていないためOK?が見えない状態です。
表示されることを確認します。
対象のインスタンスをダブルクリックするか右クリック->Connectを選択します。
3つ選択できるので確認していきます。
Configure credentials
接続情報の設定できるようです。
Generate new credentials
新規に接続情報作成します。
ここで入力した情報にアップデートされるようです。共通ユーザでログインしている場合は注意が必要ですね。
Connect anyway
ユーザー、パスワードを聞かれます。接続情報は保存されません。
接続確認
接続するとWindowsにログインされアクセスできることが確認できます。
アクセス制限
アクセス権のないユーザーで接続しようとするとIAP APIを有効にしてIAPで保護されたトンネルユーザーを追加してくださいと表示されます。
IAMからユーザーを追加します。
もしくはIAPからユーザーを追加します。
以上の設定でアクセスできるようになります。
まとめ
運用者がコンソールにログインしなくても接続が非常に簡単にできるようになります。管理者がVMの接続管理をコンソールから管理できたり、外部IPを持たなくても接続できたり、運用管理には非常に強力なツールになると思います。数台ならVDIっぽくも使えるようにもできるのではないかと思いました。