Refuser le trafic sortant sur Google Cloud VM, mais autoriser l'accès à Cloud Storage

Question

Sur Google Cloud, j'ai une machine virtuelle que je souhaiterais presque complètement couper de l'Internet (pour des raisons de sécurité). Je sais que je peux couper si non via les règles iptables et Cloud Firewall, y compris le trafic sortant.

Cependant, je demande toujours à l'ordinateur virtuel de lire et d'écrire des données dans un compartiment Cloud Storage - qui utilise bien entendu HTTPS et une adresse IP externe (plutôt) aléatoire: s. Un moyen d'autoriser l'accès à Cloud Storage, mais de refuser tout ce qui est sortant? Jusqu'à présent, je me suis dit que je pouvais probablement installer un proxy HTTPS qui permet uniquement l'accès à certains domaines, mais il se sent comme un peu un hack (plus besoin d'un autre service).

Answer 1

Il s'avère que vous pouvez (je ne sais pas depuis quand, je n'ai pas vu cette fonctionnalité auparavant) configurer "Privé Google Access" qui ressemble à mon cas d'utilisation.

De l'documentation:

accès à Google privé permet des instances de machines virtuelles (VM) sur un sous-réseau pour atteindre les API Google et les services en utilisant une adresse IP interne plutôt que d'une adresse IP externe. Les adresses IP externes sont routables et accessibles via Internet. Les adresses IP internes (privées) IP sont internes à Google Cloud Platform et ne sont pas routables ( ) ou accessibles via Internet. Vous pouvez utiliser l'accès privé Google à pour autoriser les ordinateurs virtuels sans accès à Internet à accéder aux services Google.

La façon à est trop long pour tenir dans un Q & A, mais la page Configuring Private Google Access devrait travailler (Google ont tendance à être assez bon pour ne pas modifier leurs URL de documentation).

Vous pouvez marquer un sous-réseau qu'il devrait permettre « un accès privé ip google » en utilisant:

gcloud compute networks subnets update subnet-a \ 
    --enable-private-ip-google-access