在 GCP 上禁用對 prod VM 的 SSH 訪問

根據標題，例如，如果我在 GCP 上禁用對 VM 的 SSH 訪問，但有人想遠端管理 VMS、建構 docker 容器或管理雲儲存對像他們必須做什麼？

1. 授予人們使用 Google Cloudshell 的權限
2. 配置與 GCP 的 VPN 連接以允許 SSH 訪問云虛擬機。

我的雖然：

1. 如果人們像 SSH 一樣要求遠端訪問 vm，那麼如果機器仍然有外部 IP，他們可以使用 Cloud shell 訪問 SSH
2. 如果他們提到刪除了外部 IP，則選項 2 是可能的，但似乎並非如此。

如果您想要 GCP 上的容器，請考慮Kubernetes Engine。GKEkubectl用作其與集群的介面，這是 IAM 中的使用者角色所允許的。沒有人需要通過 ssh 進入集群節點。

---

SSH 是在 GCP Linux 實例上獲取 shell 的唯一好方法。通過兩種方式控制訪問：

1. 誰擁有與項目和實例中的公鑰關聯的私有 SSH 密鑰。
2. 通過 GCP 實例標記或源範圍控制入口 ssh 流量的防火牆規則。

只為操作提供 prod ssh 密鑰。開發人員和其他使用者沒有外殼，他們使用您的部署腳本和遠端監控。

請注意，如果您使用 Cloud Shell，則需要從它到您的 VPC 的路由。這可能是通過您的 Internet 訪問，如果您刪除公共 IP，這將帶來挑戰。

最後，GCP 實例可以有一個串列控制台，但它的身份驗證是 SSH 密鑰，並且沒有 IP 限制。您需要它來修復沒有 SSH 的實例，但對於使用者的訪問控制來說，它更糟糕。

引用自：https://serverfault.com/questions/959596