Temos um de nossos projetos usando um banco de dados Google CloudSQL Postgres. Gostamos muito do cloudsqlproxy e de como ele mantém o acesso ao banco de dados bloqueado por meio de nossas contas do Google (que possuem 2FA).
Temos outro projeto usando um banco de dados em outro serviço gerenciado. Desativar esse serviço não é uma opção, mas gostaríamos de tentar garantir logins nele - no momento, são apenas credenciais antigas de usuário/senha do psql que o protegem.
Estou pensando que a solução poderia ser configurar um contêiner executando um tipo semelhante de proxy que faça uma autenticação mais inteligente antes de abrir uma porta proxy para os membros da nossa equipe.
Uma idéia simples é configurar uma caixa no meio que faça SSH com encaminhamento de porta e depois colocar o servidor PSQL na lista de permissões apenas dessa caixa, mas alguns de nossa equipe não são muito técnicos, então precisaríamos construir alguns scripts em torno dela e não parece uma ótima solução.
A solução ideal seria bem próxima do cloudsqlproxy para que pudesse aproveitar as contas existentes, em vez de termos que criar uma nova conta e de alguma forma vinculá-la a algum tipo de 2FA.
Pesquisei no Google, mas estou lutando para encontrar uma boa solução. Talvez toda a abordagem esteja errada e haja outra maneira de atingir o objetivo de proteger melhor o servidor.
Responder1
Acho que a melhor maneira de conseguir o que você deseja é atravésVPN na nuvemouInterconexão em nuvem.
Mais especificamente:
VPN na nuvemconecta com segurança sua rede ponto a ponto à rede de nuvem privada virtual (VPC) do Google Cloud (GCP) por meio de uma conexão VPN IPsec. O tráfego que viaja entre as duas redes é criptografado por um gateway VPN e depois descriptografado pelo outro gateway VPN. Isso protege seus dados enquanto eles viajam pela Internet. Você também pode conectar duas instâncias do Cloud VPN entre si.
Interconexão em nuvemestende sua rede local para a rede do Google por meio de uma conexão altamente disponível e de baixa latência. Você pode usar a Interconexão dedicada para se conectar diretamente ao Google ou usar a Interconexão por parceiro para se conectar ao Google por meio de um provedor de serviços compatível.
Você também pode encontrarEste artigoútil porque fornece alguns exemplos básicos