通过 VPC/*** 的 Google 托管服务(BigQuery、云存储等)
Posted
技术标签:
【中文标题】通过 VPC/*** 的 Google 托管服务(BigQuery、云存储等)【英文标题】:Google Managed Services (BigQuery,Cloud Storage etc) via a VPC/*** 【发布时间】:2018-08-14 02:55:16 【问题描述】:我们计划使用 Big Query 和 Cloud Storage,但对通过 ***/VPC 访问有疑问。
作为 Big Query,GCS 是托管服务,是否可以假设无法将对项目级存储桶和数据集的访问限制为入站到 VPC 的连接。
据我们了解,这些服务针对 Google 的全球 API 基础架构进行身份验证,并且根据定义是公开的。
是否可以将对 Google 托管服务的访问限制为入站 VPC 连接并删除我们项目的基于公共/互联网的身份验证和授权?
【问题讨论】:
【参考方案1】:很遗憾,您的提议无法实现。
如果提供的身份验证可以访问内容,则将授予访问权限;如果没有,就不会。
不考虑访问内容的网络。 Compute Engine 防火墙也不适用,因为与 Google Cloud Load Balancer 非常相似,Google Cloud Storage 组件并不存在于您项目的 VPC 网络中。
【讨论】:
【参考方案2】:这是通过使用 VPC Service Controls 实现的,目前(2018 年 10 月)处于私有测试阶段 - 需要大量工作:
https://cloud.google.com/vpc-service-controls/
【讨论】:
截至 2019 年 8 月,这是 GCP 上的正确解决方案。但是,请记住,此服务就像防火墙。 Google Cloud 服务仍然暴露在公共网络中,您可以通过定义防火墙规则来限制访问。以上是关于通过 VPC/*** 的 Google 托管服务(BigQuery、云存储等)的主要内容,如果未能解决你的问题,请参考以下文章
私有 VPC 网络上的 Google Cloud Build
限制通过VPC网络访问Google Cloud Firestore。
阿里云VPC服务器通过ClassicLink访问经典网络服务器