Load Balancer开启IAP认证

前言

在云原生架构和分布式系统中，保障服务间通信的安全性和用户请求的合法性是系统设计的关键环节。

当负载均衡器（Load Balancer）启用 IAP 认证时，它可以有效地在服务前添加一层安全防护，防止未经授权的请求直接访问后端服务。启用 IAP 后，LB 会将用户的身份信息注入到请求头中供后端服务验证，这样不仅提升了安全性，还简化了后端的权限管理逻辑。

本文将详细介绍如何在负载均衡器上启用 IAP 认证的配置流程、注意事项以及最佳实践，帮助您在保障系统安全的同时，保持服务的高可用性与可扩展性。

什么是IAP

Identity-Aware Proxy（IAP） 是 Google 提供的一项服务，允许为通过 HTTPS 访问的应用程序建立一个基于身份的中央授权层。通过 IAP，您可以使用应用程序级的访问控制模型，而无需依赖传统的网络级防火墙，从而实现更精细化的权限管理。

 

IAP 策略能够在整个组织范围内进行扩展。借助 Google Identity 的集成功能，您可以集中定义访问策略，并将其应用于所有受管应用程序和资源。这种集中管理模式不仅提升了安全性，还减少了策略定义或实施错误的风险。

适用场景：

1. 多租户应用的访问控制

对于需要为不同租户提供隔离资源和服务的多租户应用，IAP 可以通过基于身份的权限管理确保每个租户只能访问其被授权的资源，避免跨租户数据泄漏的风险。

 

2. 企业级资源统一管理

大型企业通常拥有多个分布式系统和应用程序。通过 IAP，可以集中管理所有资源的访问策略，减少因分散管理导致的不一致性，同时降低维护成本。

 

3. 避免敏感资源直接暴露

在互联网面向服务（Internet-facing services）的场景中，IAP 可在负载均衡器层实现访问控制，防止未经授权的用户直接访问后端服务或敏感资源，增强系统的安全性。

 

 

前提条件

在启用 IAP 认证之前，需要确保以下工作已完成：

 

1. 已配置 Google Identity 和组织资源

需启用 Google Identity 服务，并创建好组织（Organization）。

所有相关用户应归属于组织，并绑定 Cloud Identity 账户。

 

2. 负载均衡器已创建

已在 Google Cloud 上配置好 HTTP(S)负载均衡器。

 

3. 后端服务已配置

负载均衡器已关联到至少一个后端服务，后端服务指向具体的实例组或服务端点。

 

完成以上前提后，即可开始配置 IAP 认证。

1. 配置Oauth 权限

首先进入 Google Auth Platform ，进入“Branding”

 

配置Branding 的 App name, User support email, Authorized domains，Developer contact information，配置好完成后点击爆保存。

 

 

 

2. 配置防火墙规则

创建一条防火墙规则，防火墙规则以允许来自负载均衡器的流量访问后端服务。

将来源 IP 范围设置为:130.211.0.0/22, 35.191.0.0/16，允许的协议和端口设置为:tcp:80

如果我们将来源 IP 范围设置为0.0.0.0/0，则所有 IP 地址都可以绕过 IAP 的访问控制并直接连接到我们的后端服务

 

 

3. 开启IAP

进入Identity-Aware Proxy，界面即可看到我们的后端服务，这时候我们可以将IAP打开

 

 

4. 为IAM用户添加权限

打开IAP后，我们访问负载均衡器时候，这时候会跳出谷歌认证

 

如果我们未给我们的谷歌账号添加权限的话会提示未经过授权，如图所示

 

我们需要为账号添加权限后才可以正常访问。

首先进入Identity-Aware Proxy，点击我们的IAP服务，然后点击“添加主账号”

 

输入账号邮箱，为账号添加IAP-secured Web App User权限，这添加后才可以正常的访问负载均衡器。

 

 

 

添加权限后可以正常访问负载均衡器

 

 

注意事项

1. HTTPS 是必须的：IAP 仅支持通过 HTTPS 协议访问的应用。

2. 测试环境与生产环境隔离：为不同环境配置独立的 OAuth 和 IAP 策略，避免配置错误。

 

总结

启用 IAP 为负载均衡器提供了一层可靠的基于身份的安全防护，不仅能防止未经授权的访问，还能简化后端服务的权限管理流程。通过本文的配置指南，您可以快速为应用架设起一套高安全性、高可用性的访问控制机制，从而更好地满足现代分布式系统和云原生应用的安全需求。