Отключение доступа SSH к виртуальной машине prod на GCP
Согласно заголовку, например, если я отключу доступ SSH к ВМ на GCP,но кто-то хочет удаленно управлять VMS, создавать контейнеры докеров или управлять объектами облачного хранилища. Что им нужно делать?
- Предоставить людям доступ для использования Google Cloudshell
- Настроить VPN-соединение с GCP, чтобы разрешить SSH-доступ к Cloud vms.
] Моя мысль:
- Если люди запрашивают удаленный доступ к виртуальной машине точно так же, как SSH, поэтому, если машина все еще имеет внешний IP-адрес, они могут получить доступ к SSH с помощью облачной оболочки
- Вариант 2 возможен, если они упоминают, что внешний IP-адрес удален, но он похоже, что это не так.
Если вам нужны контейнеры на GCP, рассмотрите Kubernetes Engine . GKE использует kubectl в качестве интерфейса к кластеру, как разрешено ролями пользователей в IAM. Никому не нужно ssh в узлы кластера.
SSH - единственный хороший способ получить оболочку на экземпляре GCP Linux. Доступ контролируется двумя способами:
- У кого частный SSH ключ, связанный с открытыми ключами в проекте и экземпляре.
- Правила брандмауэра контролируют входящий ssh трафик, по тэгу экземпляра GCP или по диапазону источников.
Только prod ssh ключи дают операции. Разработчики и другие пользователи не получают оболочку, они используют ваши сценарии развертывания и удаленного мониторинга.
Обратите внимание, что если вы используете "облачную" оболочку, вам нужен маршрут от нее до вашего VPC. Это может быть через ваш доступ в Интернет, что представляет собой проблему, если вы удалите публичный IP.
Наконец, GCP экземпляры могут иметь последовательную консоль , но ее auth - это SSH ключи, и нет никаких IP ограничений. Это необходимо для исправления экземпляра без SSH, но это хуже, чем контроль доступа для пользователей.
.