我們的一個專案使用了 Google CloudSQL Postgres DB。我們真的很喜歡 cloudsqlproxy 以及它如何保持對資料庫的存取權鎖定在我們的 google 帳戶(具有 2FA)後面。
我們有另一個項目在另一個託管服務上使用資料庫。關閉該服務不是一個選擇,但我們想嘗試保護它的登入 - 現在它只是普通的舊 psql 用戶/通行證來保護它。
我認為解決方案可能是設定一個運行類似代理的容器,在為我們的團隊成員打開代理端口之前進行一些更聰明的身份驗證。
一個簡單的想法是在中間設置一個透過連接埠轉送進行SSH 的盒子,然後讓PSQL 伺服器只將該盒子列入白名單,但我們團隊中的一些人技術不太好,所以我們需要圍繞它來建立一些腳本,感覺不是一個很好的解決方案。
理想的解決方案將非常接近 cloudsqlproxy,因此它可以利用現有帳戶,而不是我們必須建立一個新帳戶並以某種方式將其與某種 2FA 綁定。
我用谷歌搜尋過,但很難找到一個好的解決方案。也許整個方法是錯誤的,還有其他一些方法可以實現更好地保護伺服器的目標。
答案1
進一步來說:
雲端VPN透過 IPsecVPN 連線將您的對等網路安全地連接到 Google Cloud (GCP) 虛擬私有雲 (VPC) 網路。兩個網路之間傳輸的流量由一個 VPN 閘道加密,然後由另一個 VPN 閘道解密。這可以在您的資料透過網路傳輸時保護您的資料。您也可以將兩個 Cloud VPN 執行個體相互連線。
雲端互聯透過高可用性、低延遲的連線將您的本地網路擴展到 Google 的網路。您可以使用專用互連直接連接到 Google,也可以使用合作夥伴互連透過受支援的服務供應商連接到 Google。
您可能還會發現本文很有用,因為它提供了一些基本範例