通过 VPC/*** 的 Google 托管服务（BigQuery、云存储等）

Posted 2023-02-19

【中文标题】通过 VPC/*** 的 Google 托管服务（BigQuery、云存储等）

【英文标题】：Google Managed Services (BigQuery,Cloud Storage etc) via a VPC/***

【发布时间】：2018-08-14 02:55:16

【问题描述】：

我们计划使用 Big Query 和 Cloud Storage，但对通过 ***/VPC 访问有疑问。

作为 Big Query，GCS 是托管服务，是否可以假设无法将对项目级存储桶和数据集的访问限制为入站到 VPC 的连接。

据我们了解，这些服务针对 Google 的全球 API 基础架构进行身份验证，并且根据定义是公开的。

是否可以将对 Google 托管服务的访问限制为入站 VPC 连接并删除我们项目的基于公共/互联网的身份验证和授权？

【参考方案1】：

很遗憾，您的提议无法实现。

如果提供的身份验证可以访问内容，则将授予访问权限；如果没有，就不会。

不考虑访问内容的网络。 Compute Engine 防火墙也不适用，因为与 Google Cloud Load Balancer 非常相似，Google Cloud Storage 组件并不存在于您项目的 VPC 网络中。

【参考方案2】：

这是通过使用 VPC Service Controls 实现的，目前（2018 年 10 月）处于私有测试阶段 - 需要大量工作：

https://cloud.google.com/vpc-service-controls/

【讨论】：

截至 2019 年 8 月，这是 GCP 上的正确解决方案。但是，请记住，此服务就像防火墙。 Google Cloud 服务仍然暴露在公共网络中，您可以通过定义防火墙规则来限制访问。