Google CloudSQL Postgres DB를 사용하는 프로젝트 중 하나가 있습니다. 우리는 cloudsqlproxy와 이것이 Google 계정(2FA 포함) 뒤에 잠긴 DB에 대한 액세스를 유지하는 방식을 정말 좋아합니다.
다른 관리 서비스에서 DB를 사용하는 또 다른 프로젝트가 있습니다. 해당 서비스를 종료하는 것은 선택 사항이 아니지만 해당 서비스에 대한 로그인을 보호하려고 시도하고 싶습니다. 지금은 이를 보호하는 단순한 오래된 psql 사용자/패스 자격 증명일 뿐입니다.
내 생각에는 팀 구성원을 위해 프록시 포트를 열기 전에 좀 더 스마트한 인증을 수행하는 유사한 종류의 프록시를 실행하는 컨테이너를 설정하는 것이 해결책일 수 있다고 생각합니다.
간단한 아이디어는 중간에 포트 포워딩으로 SSH를 수행하는 상자를 설정한 다음 해당 상자만 PSQL 서버 화이트리스트에 두는 것입니다. 하지만 우리 팀 중 일부는 그다지 기술적이지 않으므로 주변에 몇 가지 스크립트를 작성해야 합니다. 그것은 훌륭한 해결책처럼 느껴지지 않습니다.
이상적인 솔루션은 cloudsqlproxy에 매우 가깝기 때문에 새 계정을 만들고 일종의 2FA에 연결하는 대신 기존 계정을 활용할 수 있습니다.
구글링을 해보았지만 좋은 해결책을 찾기 위해 애쓰고 있습니다. 어쩌면 전체적인 접근 방식이 잘못되었을 수도 있고 서버 보안을 강화한다는 목표를 달성할 수 있는 다른 방법이 있을 수도 있습니다.
답변1
내 생각에 당신이 원하는 것을 성취하는 가장 좋은 방법은클라우드 VPN또는클라우드 상호 연결.
더 구체적으로:
클라우드 VPNIPsecVPN 연결을 통해 피어 네트워크를 Google Cloud(GCP) Virtual Private Cloud(VPC) 네트워크에 안전하게 연결합니다. 두 네트워크 사이를 이동하는 트래픽은 하나의 VPN 게이트웨이에 의해 암호화된 후 다른 VPN 게이트웨이에 의해 해독됩니다. 이는 인터넷을 통해 이동하는 데이터를 보호합니다. Cloud VPN의 두 인스턴스를 서로 연결할 수도 있습니다.
클라우드 상호 연결가용성이 높고 지연 시간이 짧은 연결을 통해 온프레미스 네트워크를 Google 네트워크로 확장합니다. Dedicated Interconnect를 사용하여 Google에 직접 연결하거나 Partner Interconnect를 사용하여 지원되는 서비스 제공업체를 통해 Google에 연결할 수 있습니다.
당신은 또한 찾을 수 있습니다이 기사몇 가지 기본 예제를 제공하므로 유용합니다.