Отключение доступа SSH в prod VM на GCP

В соответствии с заголовком, например, если я отключаю SSH-доступ к ВМ на GCP, но кто-то хочет удаленно управлять VMS, создавать док-контейнеры или управлять объектами облачного хранилища, что они должны делать?

  1. Предоставить людям доступ к использованию Google Cloudshell
  2. Настройте VPN-соединение с GCP, чтобы разрешить SSH-доступ к Cloud vms.

Мой хотя:

  1. Если люди запрашивают удаленный доступ к vm точно так же, как SSH, поэтому, если у машины все еще есть внешний IP, они могут получить доступ к SSH с помощью облачной оболочки
  2. Вариант 2 возможен, если они упоминают, что внешний IP удален, но кажется, что это не так.
Источник

1 ответ

Если вы хотите контейнеры в GCP, рассмотрите Kubernetes Engine. ГКЕ использует kubectl как его интерфейс к кластеру, как разрешено ролями пользователей в IAM. Никто не должен ssh в узлы кластера.

SSH - единственный хороший способ получить оболочку на экземпляре GCP Linux. Доступ контролируется двумя способами:

  1. У кого есть закрытый ключ SSH, связанный с открытыми ключами в проекте и экземпляре.
  2. Правила брандмауэра, управляющие входящим ssh-трафиком, по тегу экземпляра GCP или диапазону источника.

Дайте операциям только те ключи prod ssh. Разработчики и другие пользователи не получают оболочки, они используют ваши сценарии развертывания и удаленный мониторинг.

Обратите внимание, что если вы используете облачную оболочку, вам нужен маршрут от нее до вашего VPC. Это может быть через ваш доступ в Интернет, что создает проблему, если вы удалите публичный IP.

Наконец, экземпляры GCP могут иметь последовательную консоль, но ее аутентификация - это ключи SSH, и нет никаких ограничений IP. Это нужно для исправления экземпляра без SSH, но это строго хуже, чем контроль доступа для пользователей.

Источник
Другие вопросы по тегам