问题描述
Google Cloud Platform中是否有AWS安全组的替代方案?
以下是我遇到的情况:
我要做的是创建一个“安全组”,这样我的Postgres sql DB和Redis实例只能从Node.js服务器访问,而不能从其他任何地方访问。我不希望通过IP公开访问它们。
我们在AWS中所做的是,只有安全组中的服务部分才能相互访问。
我不太确定,但是我猜在GCP中我需要利用防火墙规则(一点也不知道)。
如果我是正确的话,有人可以指导我如何进行此操作吗?如果我错了,有人可以建议正确的方法吗?
解决方法
GCP的VPC具有防火墙规则,其工作原理类似于AWS安全组。更多详细信息,请参见here。您可以将PostgreSQL数据库,Redis实例和Node.js服务器放置在GCP VPC中。
- 通过DNS向公众提供Node.js服务器。
- 设置
default-allow-internal规则,以便只有VPC中存在的服务才能相互访问(停止对DB和Redis的公共访问)
作为一种替代方法,您也可以将所有三个服务器保持公开状态,并且仅允许Node.js IP地址访问DB和Redis服务器,但是建议使用上述解决方案。
,感谢@amsh解决此问题。但是还需要做一些其他的事情,所以我想如果将来有人需要的话,在这里列出它们会更好:
- 创建一个
VPC network并为特定区域添加一个子网(例如:us-central1)。 - 从
Serverless VPC Access部分为同一区域中创建的VPC网络创建VPC连接器。 - 在
Cloud Run的{{1}}部分中添加创建的VPC连接器。 - 在与创建的VPC网络相同的 区域中创建PostgreSQL和Redis实例。
- 在这些实例的
Connection部分中,选择创建的VPC网络。这将为创建的VPC网络区域中的各个实例创建一个专用IP。 - 在Node.js服务器中使用此私有IP连接到实例,就可以了。
您可能会遇到的常见问题:
-
创建VPC连接器时发生错误:确保VPC连接器的IP范围和VPC网络没有重叠。
-
不同区域:确保所有实例都位于VPC网络的同一区域中,否则它们将无法通过私有IP连接。
-
避免更改防火墙规则:除非您需要它们执行与通常不同的操作,否则不得更改防火墙规则。
-
不同区域中的实例::如果实例分布在不同区域中,请使用
Private IP在它们之间建立连接。
AWS 内部的安全组是实例附加的类似防火墙的组件。因此,例如,您可以在实例级别拥有一个 SG,类似于在常规 Linux 上配置 IP 表。
另一方面,Google 防火墙规则更多是在网络级别。我想,对于“粒度”级别,我会说可以将安全组替换为实例级粒度,因此您的替代方案是使用以下方法之一:
- 防火墙
- nftables
- iptables
问题是,在 AWS 中,您还可以将安全组附加到子网。因此,当 SG 连接到子网时,也有点类似于谷歌防火墙,但安全组提供了更多的粒度,因为每个子网可以有不同的安全组,而在 GCP 中,每个网络都需要有一个防火墙。在这个级别,保护应该来自子网中的防火墙。