Создал VM без внешнего айпи. Подключил к клауднат и тд.

Question

Создал VM без внешнего айпи. Подключил к клауднат и тд.

- стартап скрипт отрабатывает - тянет с инета что нужно и запускает.
Пробую подключиться по SSH через gcloud и iap-tunnel, получаю:
$ gcloud compute ssh --zone "europe-west4-c" "my-vm" --tunnel-through-iap --project "my-project"
ERROR: (gcloud.compute.start-iap-tunnel) Error while connecting [4003: 'failed to connect to backend']. (Failed to connect to port 22)
kex_exchange_identification: Connection closed by remote host
Connection closed by UNKNOWN port 65535
ERROR: (gcloud.compute.ssh) [/usr/local/bin/ssh] exited with return code [255].

Перед этим естественно разрешил iap подключения:
gcloud compute firewall-rules create allow-ssh-ingress-from-iap --direction=INGRESS --action=allow --rules=tcp:22 --source-ranges=35.235.240.0/20 --project "my-project"

Видимо еще какую-то мелочь упускаю? Использую образ с debian 10