【发布时间】:2020-06-02 15:23:08
【问题描述】:
Google private access 是否允许访问其他项目中可用的 Google Storage 存储分区(跨项目访问)?我们希望在没有连接到机器的外部 IP 的情况下访问 Google 存储桶(并且可能没有 NAT,因为我们拥有的数据集很大)。
【问题讨论】:
标签: google-cloud-platform google-cloud-storage google-cloud-networking
Google private access 是否允许访问其他项目中可用的 Google Storage 存储分区(跨项目访问)?我们希望在没有连接到机器的外部 IP 的情况下访问 Google 存储桶(并且可能没有 NAT,因为我们拥有的数据集很大)。
【问题讨论】:
标签: google-cloud-platform google-cloud-storage google-cloud-networking
参考您的查询,用于在没有外部 IP 的情况下访问云存储桶:
1) 如果您通过 Google APIs for domainsrestricted.googleapis.com 或 private.googleapis.com 从 GCP 项目访问,那么您需要配置 DNS,以便您的 VPC 网络中的虚拟机将请求解析到 *.googleapis.com 和*.gcr.io 使用与所选域关联的 IP 地址集。
2) 如果您要访问 outside of GCP projects ( on prem ),则通过使用虚拟 IP 地址 (VIP) 连接到 Google API 和服务来配置 Cloud VPN 或 Cloud Interconnect
【讨论】:
我在默认子网上创建了一个只有内部 IP 地址的 Google VM 实例,并开启了私有访问。我无法从我的虚拟机访问互联网,但我可以使用 gsutil 访问云端 Google Cloud Storage,并且还能够使用 wget 下载 blob。据我了解,从文档和我的测试来看,从我的实例到 Google API 的流量路径仍然在 Google 的网络中。如果您已将 VPC 共享到不同的项目,那么您也可以从另一个项目执行相同的操作。
【讨论】:
Google 私人访问允许访问 Cloud Storage 服务(作为一个整体)。您可以从那里访问哪些存储桶和对象取决于授予调用代码的权限。例如,如果您使用 Compute Engine 的默认服务帐号凭据调用 Cloud Storage,您将能够访问 allow access 到该服务帐号的存储桶和对象,无论它们在哪个项目中。
【讨论】: