【问题标题】:Private Google Access for cross project bucket access用于跨项目存储桶访问的私有 Google 访问权限
【发布时间】:2020-06-02 15:23:08
【问题描述】:

Google private access 是否允许访问其他项目中可用的 Google Storage 存储分区(跨项目访问)?我们希望在没有连接到机器的外部 IP 的情况下访问 Google 存储桶(并且可能没有 NAT,因为我们拥有的数据集很大)。

【问题讨论】:

    标签: google-cloud-platform google-cloud-storage google-cloud-networking


    【解决方案1】:

    参考您的查询,用于在没有外部 IP 的情况下访问云存储桶:

    1) 如果您通过 Google APIs for domainsrestricted.googleapis.com 或 private.googleapis.com 从 GCP 项目访问,那么您需要配置 DNS,以便您的 VPC 网络中的虚拟机将请求解析到 *.googleapis.com 和*.gcr.io 使用与所选域关联的 IP 地址集。

    2) 如果您要访问 outside of GCP projects ( on prem ),则通过使用虚拟 IP 地址 (VIP) 连接到 Google API 和服务来配置 Cloud VPN 或 Cloud Interconnect

    【讨论】:

      【解决方案2】:

      我在默认子网上创建了一个只有内部 IP 地址的 Google VM 实例,并开启了私有访问。我无法从我的虚拟机访问互联网,但我可以使用 gsutil 访问云端 Google Cloud Storage,并且还能够使用 wget 下载 blob。据我了解,从文档和我的测试来看,从我的实例到 Google API 的流量路径仍然在 Google 的网络中。如果您已将 VPC 共享到不同的项目,那么您也可以从另一个项目执行相同的操作。

      【讨论】:

        【解决方案3】:

        Google 私人访问允许访问 Cloud Storage 服务(作为一个整体)。您可以从那里访问哪些存储桶和对象取决于授予调用代码的权限。例如,如果您使用 Compute Engine 的默认服务帐号凭据调用 Cloud Storage,您将能够访问 allow access 到该服务帐号的存储桶和对象,无论它们在哪个项目中。

        【讨论】:

          猜你喜欢
          • 1970-01-01
          • 2023-02-21
          • 1970-01-01
          • 1970-01-01
          • 2020-12-03
          • 2019-04-25
          • 1970-01-01
          • 2019-01-25
          • 2017-03-19
          相关资源
          最近更新 更多