我们有一个项目使用 Google CloudSQL Postgres DB。我们非常喜欢 cloudsqlproxy 以及它如何将数据库访问权限锁定在我们的 Google 帐户(具有 2FA)后面。
我们还有另一个项目使用另一个托管服务上的数据库。移除该服务不是一个选择,但我们想尝试保护它的登录 - 目前它只是普通的 psql 用户/密码凭据保护它。
我认为解决方案可能是设置一个运行类似代理的容器,在为我们的团队成员打开代理端口之前进行一些更智能的身份验证。
一个简单的想法是在中间设置一个带有端口转发功能的 SSH 盒子,然后让 PSQL 服务器只将该盒子列入白名单,但是我们团队中的一些人技术不是很熟练,所以我们需要围绕它构建一些脚本,这感觉不是一个很好的解决方案。
理想的解决方案应该非常接近 cloudsqlproxy,因此它可以利用现有帐户,而不是我们必须创建一个新帐户并以某种方式将其与某种 2FA 联系起来。
我已经在 Google 上搜索过了,但还是没找到好的解决方案。也许整个方法都是错的,还有其他方法可以实现更好地保护服务器的目标。
答案1
进一步来说:
云 VPN通过 IPsecVPN 连接将您的对等网络安全地连接到您的 Google Cloud (GCP) 虚拟私有云 (VPC) 网络。两个网络之间的流量由一个 VPN 网关加密,然后由另一个 VPN 网关解密。这可以保护您的数据在互联网上传输时的安全。您还可以将两个 Cloud VPN 实例相互连接。
云互联通过高可用性、低延迟的连接将您的本地网络扩展到 Google 的网络。您可以使用专用互连直接连接到 Google,也可以使用合作伙伴互连通过受支持的服务提供商连接到 Google。
您可能还会发现本文很有用,因为它提供了一些基本的例子