Google Cloud Run:阻止访问虚拟机的元数据服务器

Google Cloud Run:阻止访问虚拟机的元数据服务器

我有运行用户代码的云运行实例,并且我意识到他们的代码可以通过从他们的代码查询虚拟机的元数据服务器来访问实例的元数据:

$ curl "http://metadata.google.internal/computeMetadata/v1/?recursive=true&alt=text" \
    -H "Metadata-Flavor: Google"

虽然我相信这提供的信息不一定是敏感的(我错了吗?),但我仍然想阻止我的虚拟机使用该 IP。

我在 Cloud Run VM 配置仪表板中查看了所有信息,但找不到网络安全规则。在 Cloud Run 上阻止 IP 的推荐方法是什么?

关于 Google 元数据服务器:https://cloud.google.com/compute/docs/metadata/overview

记录的安全问题:https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#metadata-endpoint

相关内容