Ssh

在 GCP 上禁用對 prod VM 的 SSH 訪問

  • March 25, 2019

根據標題,例如,如果我在 GCP 上禁用對 VM 的 SSH 訪問,但有人想遠端管理 VMS、建構 docker 容器或管理雲儲存對像他們必須做什麼?

  1. 授予人們使用 Google Cloudshell 的權限
  2. 配置與 GCP 的 VPN 連接以允許 SSH 訪問云虛擬機。

我的雖然:

  1. 如果人們像 SSH 一樣要求遠端訪問 vm,那麼如果機器仍然有外部 IP,他們可以使用 Cloud shell 訪問 SSH
  2. 如果他們提到刪除了外部 IP,則選項 2 是可能的,但似乎並非如此。

如果您想要 GCP 上的容器,請考慮Kubernetes Engine。GKEkubectl用作其與集群的介面,這是 IAM 中的使用者角色所允許的。沒有人需要通過 ssh 進入集群節點。


SSH 是在 GCP Linux 實例上獲取 shell 的唯一好方法。通過兩種方式控制訪問:

  1. 誰擁有與項目和實例中的公鑰關聯的私有 SSH 密鑰。
  2. 通過 GCP 實例標記或源範圍控制入口 ssh 流量的防火牆規則。

只為操作提供 prod ssh 密鑰。開發人員和其他使用者沒有外殼,他們使用您的部署腳本和遠端監控。

請注意,如果您使用 Cloud Shell,則需要從它到您的 VPC 的路由。這可能是通過您的 Internet 訪問,如果您刪除公共 IP,這將帶來挑戰。

最後,GCP 實例可以有一個串列控制台,但它的身份驗證是 SSH 密鑰,並且沒有 IP 限制。您需要它來修復沒有 SSH 的實例,但對於使用者的訪問控制來說,它更糟糕。

引用自:https://serverfault.com/questions/959596