Google 通过 VPC/VPN 的托管服务(BigQuery、云存储等)
Google Managed Services (BigQuery,Cloud Storage etc) via a VPC/VPN
我们计划使用 Big Query 和 Cloud Storage,但对通过 VPN/VPC 进行访问有疑问。
作为 Big Query,GCS 是托管服务,假设不可能将对项目级存储桶和数据集的访问限制为入站连接到 VPC 是正确的。
据我们了解,这些服务根据 Google 全球 API 基础设施进行身份验证,根据定义,public 仅公开。
是否可以将对 Google 托管服务的访问限制为入站 VPC 连接并删除我们项目的 public/基于互联网的身份验证和授权?
很遗憾,您提出的方案无法实现
如果提供的身份验证可以访问内容,则将授予访问权限;没有就没有。
不考虑从中访问内容的网络。 Compute Engine 防火墙也不适用,因为与 Google Cloud Load Balancer 非常相似,Google Cloud Storage 组件不在项目的 VPC 网络中。
这是通过使用 VPC Service Controls 实现的,它目前(2018 年 10 月)处于私人测试阶段 - 需要大量工作:
我认为这可以通过 GCP 下现在称为“Private Service Connect”的东西来实现
https://cloud.google.com/vpc/docs/private-service-connect
https://medium.com/google-cloud/private-service-connect-c99e3e94537b
我们计划使用 Big Query 和 Cloud Storage,但对通过 VPN/VPC 进行访问有疑问。
作为 Big Query,GCS 是托管服务,假设不可能将对项目级存储桶和数据集的访问限制为入站连接到 VPC 是正确的。
据我们了解,这些服务根据 Google 全球 API 基础设施进行身份验证,根据定义,public 仅公开。
是否可以将对 Google 托管服务的访问限制为入站 VPC 连接并删除我们项目的 public/基于互联网的身份验证和授权?
很遗憾,您提出的方案无法实现
如果提供的身份验证可以访问内容,则将授予访问权限;没有就没有。
不考虑从中访问内容的网络。 Compute Engine 防火墙也不适用,因为与 Google Cloud Load Balancer 非常相似,Google Cloud Storage 组件不在项目的 VPC 网络中。
这是通过使用 VPC Service Controls 实现的,它目前(2018 年 10 月)处于私人测试阶段 - 需要大量工作:
我认为这可以通过 GCP 下现在称为“Private Service Connect”的东西来实现
https://cloud.google.com/vpc/docs/private-service-connect
https://medium.com/google-cloud/private-service-connect-c99e3e94537b