В нашей среде у нас есть правила брандмауэра, которые разрешают ssh доступ только к экземплярам из общедоступного Интернета к экземплярам, помеченным как «bh».Ссылка ссылки: https://cloud.google.com/solutions/connecting-securely#bastion;
Существует два правила брандмауэра для защиты среды.default-allow-ssh имеет целевое ограничение, которое разрешает ssh доступ только к экземплярам, помеченным как «bh».Существует второе правило брандмауэра «default-limited-ssh», которое разрешает доступ ssh из источника «bh» к месту назначения с экземплярами, помеченными как «limited-ssh».Я изменил файл app.yaml с помощью instance_tag: "restricted-ssh" для наших экземпляров flex механизма приложений (https://cloud.google.com/appengine/docs/flexible/python/reference/app-yaml#network_settings)) и вижу, что этот параметр применяется в разделе «Применимо к экземплярам» в правилах брандмауэра, однако я все еще не могу выполнить sshпри использовании следующей команды:
gcloud --project "xxxx" app instances ssh "xxxxx-dev-min--instance--upgrade--xxxx--tag-f8vc" --service "dev" --version "min-instance-upgrade-network-tag"
В целях тестирования я удалил ограничение Targets из правила брандмауэра default-allow-ssh, чтобы разрешить доступ ssh ко всем экземплярам из общедоступного Интернета.После этого я теперь могу использовать команду ssh gloud app instances для подключения.
Как разрешить ssh доступ к экземплярам flex модуля app engine, если на уровне проекта существуют правила брандмауэра, разрешающие только доступчерез бастионный хост? Добавление instance_tag: "restricted-ssh" не позволило получить доступ, хотя я вижу, что правило брандмауэра применено к экземплярам.
https://www.evernote.com/l/AfdH8P-d11VCCZm8lcRrYRbYYII2221fMF4