Какие диапазоны IP-адресов использует реестр контейнеров Google для своих инструментов сборки?

Я работаю с некоторыми пользовательскими библиотеками, которые размещены на частном сервере pypi (работающем в экземпляре Google Compute Engine).

Я хотел бы включить библиотеки при развертывании приложения в Google App Engine, и мне интересно, можно ли открыть частный брандмауэр pypi только для серверов сборки Google Cloud Platform.

Есть ли простой способ настроить правила брандмауэра, чтобы предоставить серверам сборки Google Container Registry доступ к моему серверу pypi, поддерживаемому GCE?


google-compute-engine google-app-engine google-container-registry google-container-builder
person blueberryfields    schedule 09.08.2017    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Я бы не рекомендовал применять этот вид безопасности с помощью правил брандмауэра, поскольку мы не можем предоставить вам список IP-адресов, в отношении которых мы можем быть уверены, что (1) они не изменятся и (2) будут использоваться только Google Container Builder. Вместо этого я бы порекомендовал вам использовать Cloud KMS для включения зашифрованных учетных данных в вашу сборку и проверки подлинности запросов к вашим частным серверам. У нас есть документы по использованию зашифрованных файлов здесь (и скоро появится дополнительная документация по зашифрованным секретам).

person David Bendory    schedule 09.08.2017
comment
Вы имеете в виду, что мы должны открыть доступ к нашим частным серверам, как правило, через Интернет/https и аутентифицировать запросы? - person blueberryfields; 09.08.2017
comment
Я говорю, что IP-адреса, которые мы используем, эфемерны. Только надлежащая аутентификация и авторизация обеспечат вам безопасность. Дополнительные сведения см. на странице cloud.google.com/compute/docs/. - person David Bendory; 10.08.2017
comment
Предполагая, что у нас уже есть надлежащая аутентификация и авторизация, есть ли какое-либо дополнительное преимущество в плане безопасности от ограничения доступа на брандмауэре (или этот шаг является пустой тратой времени)? - person blueberryfields; 15.08.2017
comment
Учитывая, что любой из IP-адресов, используемых Google Container Builder, может быть переназначен любому пользователю GCP в другое время, я не думаю, что это обеспечивает вам дополнительную безопасность. Возможно, это номинально защищает вас от DOS-атаки, поскольку вы пропускаете трафик из остального Интернета. - person David Bendory; 17.08.2017
comment
@DavidBendory - я хочу предоставить Cloud Builder доступ к моей базе данных на этапах. Но я ограничивал доступ к базе данных только машинами в моей сети. Любые предложения о том, как справиться с этой авторизацией, не раскрывая базу данных миру? (Контекст: я работаю над ошибкой рельсов, когда для компиляции ресурсов требуется доступ к базе данных на этапе компиляции) - person Jeff D; 24.05.2018
comment
@JeffD Свяжитесь с нами по адресу [email protected], чтобы обсудить ваш вариант использования более подробно (и в частном порядке). - person David Bendory; 29.05.2018
comment
@DavidBendory - Спасибо за предложение. Я нашел обходной путь, в котором я просто создал пустую общедоступную базу данных. В дальнейшем Rails 5 отказывается от своего конвейера ресурсов в пользу Webpack, который должен полностью устранить проблему. Так что я не буду обременять вашу команду работой для такого крайнего случая. :-) Спасибо за ответ! - person Jeff D; 30.06.2018

arrow_upward
0
arrow_downward

Это поможет вам создать правило брандмауэра для разрешить определенные IP-адреса, и вызовы GCR будут использовать только эти IP-адреса

person user3221982    schedule 08.11.2019