通过 VPC/*** 的 Google 托管服务(BigQuery、云存储等)

Posted

技术标签:

【中文标题】通过 VPC/*** 的 Google 托管服务(BigQuery、云存储等)【英文标题】:Google Managed Services (BigQuery,Cloud Storage etc) via a VPC/*** 【发布时间】:2018-08-14 02:55:16 【问题描述】:

我们计划使用 Big Query 和 Cloud Storage,但对通过 ***/VPC 访问有疑问。

作为 Big Query,GCS 是托管服务,是否可以假设无法将对项目级存储桶和数据集的访问限制为入站到 VPC 的连接。

据我们了解,这些服务针对 Google 的全球 API 基础架构进行身份验证,并且根据定义是公开的。

是否可以将对 Google 托管服务的访问限制为入站 VPC 连接并删除我们项目的基于公共/互联网的身份验证和授权?

【问题讨论】:

【参考方案1】:

很遗憾,您的提议无法实现。

如果提供的身份验证可以访问内容,则将授予访问权限;如果没有,就不会。

不考虑访问内容的网络。 Compute Engine 防火墙也不适用,因为与 Google Cloud Load Balancer 非常相似,Google Cloud Storage 组件并不存在于您项目的 VPC 网络中。

【讨论】:

【参考方案2】:

这是通过使用 VPC Service Controls 实现的,目前(2018 年 10 月)处于私有测试阶段 - 需要大量工作:

https://cloud.google.com/vpc-service-controls/

【讨论】:

截至 2019 年 8 月,这是 GCP 上的正确解决方案。但是,请记住,此服务就像防火墙。 Google Cloud 服务仍然暴露在公共网络中,您可以通过定义防火墙规则来限制访问。

以上是关于通过 VPC/*** 的 Google 托管服务(BigQuery、云存储等)的主要内容,如果未能解决你的问题,请参考以下文章

私有 VPC 网络上的 Google Cloud Build

限制通过VPC网络访问Google Cloud Firestore。

云原生安全及VPC应用

阿里云VPC服务器通过ClassicLink访问经典网络服务器

GCP - 将 Vertex.AI 连接到共享 VPC 的问题

使用无服务器框架通过 VPC 设置 NAT 网关