保护云环境的方法之一是监控我们拥有的所有资产。最近,我编写了一个脚本,使用 GCP API 获取有关这些资产的信息,但我需要逐一执行此操作,使用命令确定每个资产describe
是否公开。
您知道 Google Cloud 上哪些资产类型可以公开访问吗?我找到了一些,但我想确保涵盖了所有可以公开的资产类型。
以下是我发现的内容:
- 桶
- 实例
- 防火墙
- 转发规则
- 后端服务
- 簇
- 贮存
我还遗漏了什么吗?或者有没有办法获取有关 GCP 上公共资产的所有信息?
答案1
我相信您可能会混淆一些事情,所以让我来解释一下。
GCP 服务中没有公共(或外部)和内部的区别。
有些——比如负载均衡器旨在双向工作 - 取决于您的需要。有时您想在虚拟机(或其他后端服务)之间分配大量流量,有时又想在项目中的虚拟机或单个 VPC 网络之间分配大量流量。
铲斗存储数据 - 默认情况下,只有拥有权限读取其内容的人才能看到它们。使它们可用从互联网您必须明确做出选择并分配特定权限(几乎不可能意外完成)。
VM 实例默认情况下获取公共 IP(但是它是 NAT 的)。您可以选择仅获取内部 IP - 这样它们仅对同一 VPC 网络中的其他 VM 可见。
转发规则和后端服务是我之前解释过的负载均衡器的一部分。
簇是一组协同工作的虚拟机,用于为您的服务实现更好的可扩展性。默认情况下,GKE 集群中的单个虚拟机会获得外部 IP,并可以通过互联网访问,但您可以选择让它们仅具有内部 IP。在这种情况下,您可以真正获得私有或公共集群。
贮存- 这里有几个选项 - 存储桶只是其中之一。最广泛使用的磁盘是用于在虚拟机中运行和存储数据的磁盘。但它们被设计为可供 GCP 内的虚拟机使用。
还有许多其他GCP 服务- 查看链接文档以了解基础知识。