Wir haben eines unserer Projekte, das eine Google CloudSQL Postgres DB verwendet. Wir sind wirklich begeistert vom CloudSQLProxy und davon, wie er den Zugriff auf die DB hinter unseren Google-Konten (die über 2FA verfügen) verriegelt.
Wir haben ein anderes Projekt, das eine Datenbank auf einem anderen verwalteten Dienst verwendet. Eine Abkehr von diesem Dienst ist keine Option, aber wir möchten versuchen, die Anmeldungen daran zu sichern – im Moment sind es einfach die guten alten psql-Benutzer/Passwort-Anmeldeinformationen, die ihn schützen.
Ich denke, die Lösung könnte darin bestehen, einen Container einzurichten, auf dem ein ähnlicher Proxy-Typ läuft, der eine intelligentere Authentifizierung durchführt, bevor ein Proxy-Port für unsere Teammitglieder geöffnet wird.
Eine einfache Idee wäre, in der Mitte eine Box einzurichten, die SSH mit Portweiterleitung macht, und dann den PSQL-Server nur diese Box auf die Whitelist setzen zu lassen, aber einige in unserem Team sind nicht sehr technisch versiert, also müssten wir einige Skripte darum herum bauen und das scheint keine gute Lösung zu sein.
Die ideale Lösung käme CloudSQLProxy sehr nahe, sodass vorhandene Konten genutzt werden könnten und wir kein neues Konto erstellen und es irgendwie in eine Art 2FA einbinden müssten.
Ich habe gegoogelt, aber keine gute Lösung gefunden. Vielleicht ist der gesamte Ansatz falsch und es gibt einen anderen Weg, um das Ziel einer besseren Serversicherung zu erreichen.
Antwort1
Ich glaube, der beste Weg, das zu erreichen, was man will, ist durchCloud VPNoderCloud-Verbindung.
Genauer:
Cloud VPNverbindet Ihr Peer-Netzwerk sicher mit Ihrem Google Cloud (GCP) Virtual Private Cloud (VPC)-Netzwerk über eine IPsecVPN-Verbindung. Der Datenverkehr zwischen den beiden Netzwerken wird von einem VPN-Gateway verschlüsselt und dann vom anderen VPN-Gateway entschlüsselt. Dadurch werden Ihre Daten bei der Übertragung über das Internet geschützt. Sie können auch zwei Instanzen von Cloud VPN miteinander verbinden.
Cloud-Verbindungerweitert Ihr lokales Netzwerk über eine hochverfügbare Verbindung mit geringer Latenz auf das Netzwerk von Google. Sie können Dedicated Interconnect verwenden, um eine direkte Verbindung mit Google herzustellen, oder Partner Interconnect verwenden, um über einen unterstützten Dienstanbieter eine Verbindung mit Google herzustellen.
Vielleicht finden Sie auchDieser Artikelnützlich, da es einige grundlegende Beispiele liefert