Согласно заголовку, например, если я отключу доступ SSH к ВМ на GCP,но кто-то хочет удаленно управлять VMS, создавать контейнеры докеров или управлять объектами облачного хранилища. Что им нужно делать?
] Моя мысль:
Если вам нужны контейнеры на GCP, рассмотрите Kubernetes Engine . GKE использует kubectl
в качестве интерфейса к кластеру, как разрешено ролями пользователей в IAM. Никому не нужно ssh в узлы кластера.
SSH - единственный хороший способ получить оболочку на экземпляре GCP Linux. Доступ контролируется двумя способами:
Только prod ssh ключи дают операции. Разработчики и другие пользователи не получают оболочку, они используют ваши сценарии развертывания и удаленного мониторинга.
Обратите внимание, что если вы используете "облачную" оболочку, вам нужен маршрут от нее до вашего VPC. Это может быть через ваш доступ в Интернет, что представляет собой проблему, если вы удалите публичный IP.
Наконец, GCP экземпляры могут иметь последовательную консоль , но ее auth - это SSH ключи, и нет никаких IP ограничений. Это необходимо для исправления экземпляра без SSH, но это хуже, чем контроль доступа для пользователей.
.