我正在通过Cloud VPN将本地网络与GCP连接。本地应用程序将使用服务帐户通过客户端库(java?)上传到GCS存储桶。
假设使用默认的出口拒绝防火墙,哪种防火墙规则将允许客户端库仅上载到GCS存储桶?如果应用程序通过Cloud VPN连接到VPC,我甚至需要一个吗?
答案 0 :(得分:1)
选项#1
如果您create a storage transfer service client using Google API,则无需创建任何防火墙规则。根据GCP文档,“所有Storage Transfer Service操作都无需人工干预或用户同意即可进行,Storage Transfer Service应用程序的最佳身份验证流程是使用服务帐户的服务器到服务器。”有关更多详细信息,请遵循此link。
Google API's are accessed使用外部IP,并且Cloud Endpoints使用Cloud Identity and Access Management(Cloud IAM)进行API访问控制。您必须提供具有正确权限的访问GCS的服务帐户。
选项#2
您还可以使用“私有Google访问权限”来允许仅具有私有IP地址的GCP实例访问Google API和服务的公共IP地址,在这种情况下,您将需要在网络中配置防火墙规则。有关更多详细信息,请参阅GCP文档“ Private Google Access and VPC subnets”。