問題タブ [identity-aware-proxy]

外部 HTTPS ロード バランサーを使用して Ingress の背後でサービスを実行している k8s クラスターがあり、システムを保護する ID 認識プロキシがあります。イングレスにはパブリック IP があり、nmap でスキャンすると、次の開いているポートが表示されます。

私の質問は、これらのポートがすべて開いているのはなぜですか、IAP から開いているのですか。もしそうなら、認証なしで Ingress IP と思われるものをスキャンでき、最終的に HTTP/S ポート以外のすべてを閉じることができるのはなぜですか?セキュリティのため？それが IAP である場合、おそらくこれらは、利用可能である可能性があるがクラスター内にないさまざまなサービスのさまざまなトラフィックを転送するために開いている必要があります。それはこれを説明していますか？

ヒントがあれば素敵です。私は RTFM を行いましたが、イングレスに関するすべてが、HTTP/S トラフィックを受け入れ、サービス/展開に転送することだけを示しているようです。これらのポートを開いたままにしているこの IAP ですか、それとも本当に Ingress にあるのでしょうか? Ingress に関連付けられた IP アドレスです。これらのポートを閉じるように Ingress を構成するには、クラスターに FrontendConfig を追加する必要がありますか?

前もって感謝します！

外部プロバイダーとして電子メールを使用して、IAP/GCIP によって保護された appengine アプリケーションがあります。iap-gcip-web-toolkit github プロジェクトで提供されている Firebase 認証用のサンプル angular プロジェクトを使用して、この認証 UI を appengine アプリケーションに使用したい

firebase authentication UI にアクセスしようとすると、次のエラーが表示されます

クライアントが無効な引数を指定しました

firebase がそれにリンクされた gcp プロジェクトを使用し、firebase/gcp プロジェクトに関連付けられた API キーも使用されていることを確認しました。

このエラーがスローされるのはなぜですか?