Google 클라우드에서 보안상의 이유로 인터넷에서 거의 완전히 차단하려는 VM이 있습니다. 나가는 트래픽을 포함하여 iptables 및 클라우드 방화벽 규칙을 통해 차단할 수 있음을 알고 있습니다.Google Cloud VM에서 나가는 트래픽을 거부하지만 Cloud Storage에 액세스 허용
그러나 VM을 사용하여 Cloud Storage 버켓에 데이터를 읽고 쓰는 것이 필요합니다. 물론 HTTPS와 (임의의) 외부 IP를 사용합니다.
클라우드 스토리지 액세스를 허용하지만 전송하는 다른 모든 것을 거부하는 방법은 무엇입니까?
지금까지 특정 도메인에 대한 액세스 만 허용하는 HTTPS 프록시를 설정할 수 있다고 생각했지만 약간의 해킹 (다른 서비스가 필요함)과 같은 느낌이었습니다.
내 유스 케이스에 맞게 보이는 '비공개 Google 액세스'를 구성 할 수 있습니다 (이전에이 기능을 보지 못했기 때문에 확신 할 수 없음). documentation에서
:
개인 구글 액세스는 내부 IP 주소가 아닌 외부 IP 주소를 사용하여 Google API와 서비스에 도달하는 서브 네트워크에 가상 머신 (VM) 인스턴스를 할 수 있습니다. 외부 IP 주소는 인터넷상에서 라우팅 가능하고 연결할 수있는 입니다. 내부 (개인) IP 주소는 Google Cloud Platform의 내부 주소이며 인터넷을 통해 으로 라우팅되거나 연결할 수 없습니다. Google 액세스를 사용하여 인터넷에 접속하지 않은 VM이 Google 서비스에 연결할 수 있습니다. (구글이 자신의 문서 URL을 변경하지 않는 꽤 좋은 경향)
: 방법-에
는 Q & (A)에 맞게 너무 긴하지만, Configuring Private Google Access 페이지가 작동합니다.gcloud compute networks subnets update subnet-a \
--enable-private-ip-google-access
개인 구글 접속이 VM은 구글의 모든 서비스에 연결할 수 있음을 명심하십시오 :
당신은 그것을 사용 "사설 IP 구글 액세스를"허용해야 서브넷에 태그를 추가 할 수 있습니다. Google Cloud Storage뿐 아니라 VM도 모든 DNS 도메인을 확인할 수 있습니다. –