Tenemos uno de nuestros proyectos utilizando una base de datos Postgres de Google CloudSQL. Nos gusta mucho el cloudsqlproxy y cómo mantiene el acceso a la base de datos bloqueado detrás de nuestras cuentas de Google (que tienen 2FA).
Tenemos otro proyecto que utiliza una base de datos en otro servicio administrado. Salir de ese servicio no es una opción, pero nos gustaría probar y asegurar los inicios de sesión en él; en este momento, lo que lo protegen son simplemente las antiguas credenciales de usuario/contraseña de psql.
Creo que la solución podría ser configurar un contenedor que ejecute un tipo similar de proxy que realice una autenticación más inteligente antes de abrir un puerto proxy para los miembros de nuestro equipo.
Una idea simple sería configurar un cuadro en el medio que haga SSH con reenvío de puertos y luego hacer que el servidor PSQL incluya en la lista blanca solo ese cuadro, pero algunos miembros de nuestro equipo no son muy técnicos, por lo que necesitaríamos crear algunos scripts alrededor de él y No parece una gran solución.
La solución ideal sería bastante similar a cloudsqlproxy para que pueda aprovechar las cuentas existentes en lugar de que tengamos que crear una nueva cuenta y vincularla de alguna manera a algún tipo de 2FA.
Busqué en Google, pero me costó encontrar una buena solución. Quizás todo el enfoque sea incorrecto y exista alguna otra forma de lograr el objetivo de proteger mejor el servidor.
Respuesta1
Creo que la mejor manera de lograr lo que quieres es a travésVPN en la nubeoInterconexión en la nube.
Más específicamente:
VPN en la nubeconecta de forma segura su red de pares a su red de nube privada virtual (VPC) de Google Cloud (GCP) a través de una conexión IPsecVPN. El tráfico que viaja entre las dos redes es cifrado por una puerta de enlace VPN y luego descifrado por la otra puerta de enlace VPN. Esto protege sus datos mientras viajan por Internet. También puedes conectar dos instancias de Cloud VPN entre sí.
Interconexión en la nubeextiende su red local a la red de Google a través de una conexión de alta disponibilidad y baja latencia. Puede utilizar la Interconexión dedicada para conectarse directamente a Google o utilizar la Interconexión de socios para conectarse a Google a través de un proveedor de servicios compatible.
También puedes encontrarEste artículoútil ya que proporciona algunos ejemplos básicos