在Google Cloud上,我有一臺虛擬機,我希望幾乎完全從互聯網上切斷(由於安全原因)。我知道我可以通過iptables和雲防火牆規則關閉,包括外出流量。拒絕Google Cloud VM上的傳出流量,但允許訪問雲端存儲
但是,我仍然需要VM將數據讀寫到雲存儲桶 - 這當然使用HTTPS和(相當)隨機的外部IP:s。
任何方式來允許雲存儲訪問,但拒絕一切是外向的?
到目前爲止,我想我可以設置一個HTTPS代理,只允許訪問某些域,但感覺像是一個黑客(加上需要另一個服務)。
原來你可以(不確定,因爲當時,我以前沒有見過這個功能)配置「私人谷歌訪問」,看起來適合我的用例。
私人谷歌訪問使得在 子網的虛擬機(VM)實例達到使用內部IP 地址,而不是一個外部IP地址,谷歌API和服務。外部IP地址爲 可通過Internet進行路由和訪問。內部(專用)IP 地址位於Google Cloud Platform內部,不可路由 或可通過Internet訪問。您可以使用私人Google訪問 ,允許沒有互聯網訪問的虛擬機訪問Google服務。
該如何做是太長,無法在問答& A,但Configuring Private Google Access頁面應該工作(谷歌往往是在不改變他們的文檔的URL相當不錯)。
您可以標記一個子網,它應該允許「私有IP訪問谷歌」使用:
gcloud compute networks subnets update subnet-a \
--enable-private-ip-google-access
請記住,谷歌的私人訪問允許虛擬機連接到所有的谷歌的服務。不僅僅是Google Cloud Storage。 VM也可以解析任何DNS域。 –