Требование доступа accounts.google.com при использовании Google Cloud Storage

Question

Мы начинаем переносить наши виртуальные машины GCP в Google Cloud Object Storage, и я заметил, что при запуске gcloud init или тестировании basi c Доступ к хранилищу из нашего приложения, похоже, подключается к accounts.google.com , который является сайтом inte rnet.

Наша политика безопасности запрещает весь исходящий доступ inte rnet по умолчанию, при этом все вызовы в Google должны go использовать Google Private Access . Действительно, сам вызов хранилища использует https://storage.googleapis.com, который разрешается в частный адресный блок 199.36.153.8/30.

Мы создали прокси для ситуаций, когда требуется доступ Inte rnet HTTP / HTTPS (например, получение обновлений от стороннего программного обеспечения), и хотя приложение поддерживает использование прокси, это "все или ничего "конфигурации. Таким образом, весь трафик c хранилища будет go через прокси-сервер, который нам не нужен по разным причинам.

Есть ли способ обойти зависимость account.google.com при доступе к хранилищу G C?

Answer 1

Виртуальным машинам

GCE может быть назначена учетная запись службы, и программное обеспечение, работающее внутри этой виртуальной машины, может совершать вызовы в качестве этой учетной записи службы без какого-либо rnet исходящего доступа (хотя программное обеспечение должно иметь доступ к серверу метаданных). Полная документация по этому поводу здесь .

Фактически это по умолчанию ! Если вы не изменили значения по умолчанию, из коробки каждая виртуальная машина может работать как [PROJECT_NUMBER]-compute@developer.gserviceaccount.com, которая по умолчанию имеет разрешение GCS только для чтения для всех сегментов в этом проекте. Даже не пытайтесь запустить gcloud init, gsutil будет работать с того момента, как вы войдете в систему.