gpt4 book ai didi

google-cloud-platform - GCP 仅对云 shell 开放防火墙

转载 作者:行者123 更新时间:2023-12-03 16:43:56 29 4
gpt4 key购买 nike

GCP 中是否有办法明确允许仅来自云外壳的防火墙规则。所有 GCP 演示和视频都添加了规则,允许 22 到 0.0.0.0/0 从云 shell ssh 到实例。

但是,有没有一种方法可以限制仅从云 shell 访问 - 使用云 shell 的 IP 范围或服务帐户?

最佳答案

Google 不会发布 Cloud Shell 的公共(public) IP 地址范围。

VPC 防火墙规则允许指定源和目标的服务帐户。但是,Cloud Shell 不使用服务帐号。 Cloud Shell 使用登录到 Google Cloud Console 的人员的身份。这意味着 OAuth 2 用户凭据。 VPC 防火墙规则不支持用户凭证。

我的建议是通过 IAP(身份识别代理)使用 TCP 转发和隧道 SSH。 Google 在 Cloud SDK CLI 中让这一切变得简单。

在 Google Cloud Console 中打开 Cloud Shell。然后运行这个命令:

gcloud compute ssh NAME_OF_VM_INSTANCE --tunnel-through-iap

这也适用于没有公共(public) IP 地址的 VM 实例。

Identity Aware Proxy CIDR 网络 block 是 35.235.240.0/20 .创建一个允许来自该 block 的 SSH 流量的 VPC 防火墙规则。此规则将阻止公共(public) SSH 流量,并且只允许通过 Identity Aware Proxy 的授权流量。

关于google-cloud-platform - GCP 仅对云 shell 开放防火墙,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57024031/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com