Googleクラウドにはセキュリティ上の理由から、インターネットからほぼ完全に遮断したいVMがあります。私はiptablesと発信トラフィックを含むクラウドファイアウォールの両方のルールを使ってオフにすることができます。Google Cloud VMでは発信トラフィックを拒否しますが、クラウドストレージへのアクセスは許可します
しかし、私はまだVMがクラウドストレージバケットにデータを読み書きする必要があります。もちろん、HTTPSと(かなり)ランダムな外部IPを使用します。
クラウドストレージへのアクセスを許可する方法はありますが、それ以外の送信を拒否する方法はありますか?
これまでのところ、特定のドメインへのアクセスのみを許可するHTTPSプロキシをセットアップできると考えましたが、ちょっとしたハック(別のサービスが必要です)のような感じです。
私のユースケースに適合するように見える「プライベートGoogleアクセス」を設定することができます(以前はこの機能を見たことがないときはわかりません)。 documentationから
:
専用のGoogleのアクセスは、内部IP アドレスではなく、外部IPアドレスを使用して、GoogleのAPIやサービスに到達するために サブネットワーク上の仮想マシン(VM)のインスタンスを可能にします。外部IPアドレスは で、インターネット経由でルーティングおよび到達可能です。内部(プライベート)IP のアドレスはGoogle Cloud Platformの内部アドレスであり、インターネット経由で にルーティングすることも、インターネットに接続することもできません。プライベートGoogleのアクセスを にすると、インターネットにアクセスできないVMがGoogleサービスにアクセスできるようになります。 (GoogleがそのドキュメントのURLを変更しないで、非常に良い傾向にある)
ハウツー
は、Q & Aに入りきらないですが、 Configuring Private Google Accessページが動作するはずです。あなたはそれを使用して、「プライベートIP Googleのアクセスを」許可する必要がありサブネットにタグを付けることができます。
gcloud compute networks subnets update subnet-a \
--enable-private-ip-google-access
は、プライベート、Googleのアクセスは、VMは、Googleのサービスの全てに接続することができますことを覚えておいてください。 Google Cloud Storageだけでなく、 VMは任意のDNSドメインを解決することもできます。 –