私たちのプロジェクトの 1 つでは、Google CloudSQL Postgres DB を使用しています。cloudsqlproxy と、Google アカウント (2FA あり) で DB へのアクセスをロックする方法がとても気に入っています。
別のマネージド サービスで DB を使用している別のプロジェクトがあります。そのサービスから移行することは選択肢ではありませんが、ログインのセキュリティを確保したいと考えています。現在は、古い psql のユーザー/パスワード認証情報で保護しているだけです。
解決策としては、チーム メンバーのプロキシ ポートを開く前に、よりスマートな認証を行う同様の種類のプロキシを実行するコンテナーをセットアップすることではないかと考えています。
シンプルなアイデアとしては、ポート転送で SSH を実行するボックスを中間にセットアップし、PSQL サーバーでそのボックスのみをホワイトリストに登録するというものがあります。しかし、私たちのチームには技術に詳しくない人もいるので、それを中心にスクリプトを作成する必要があり、あまり良い解決策とは思えません。
理想的なソリューションは、cloudsqlproxy にかなり近いものになり、新しいアカウントを作成して何らかの 2FA に結び付けるのではなく、既存のアカウントを活用できるようになります。
グーグルで検索しましたが、良い解決策を見つけるのに苦労しています。おそらく、アプローチ全体が間違っていて、サーバーのセキュリティを強化するという目標を達成する別の方法があるのでしょう。
答え1
望むものを達成する最良の方法は、クラウドVPNまたはクラウド相互接続。
すなわち:
クラウドVPNIPsec VPN 接続を介して、ピア ネットワークを Google Cloud (GCP) 仮想プライベート クラウド (VPC) ネットワークに安全に接続します。2 つのネットワーク間を移動するトラフィックは、1 つの VPN ゲートウェイによって暗号化され、もう 1 つの VPN ゲートウェイによって復号化されます。これにより、インターネット経由で移動するデータが保護されます。また、2 つの Cloud VPN インスタンスを相互に接続することもできます。
クラウド相互接続可用性が高く、レイテンシが低い接続を通じて、オンプレミス ネットワークを Google のネットワークに拡張します。Dedicated Interconnect を使用して Google に直接接続することも、Partner Interconnect を使用してサポートされているサービス プロバイダ経由で Google に接続することもできます。
また、この記事基本的な例をいくつか提供しているので便利