在我们的环境中,我们有防火墙规则,仅允许通过ssh从公共互联网访问实例,并标记为“ bh”。参考链接:https://cloud.google.com/solutions/connecting-securely#bastion;
有两个防火墙规则可以强化环境。 default-allow-ssh有一个目标限制,该限制仅允许ssh访问标记为“ bh”的实例。还有第二条防火墙规则“ default-restricted-ssh”,该规则允许ssh使用标记为“ restricted-ssh”的实例从源“ bh”访问目的地。我用instance_tag: "restricted-ssh"修改了我们的App Engine Flex实例(https://cloud.google.com/appengine/docs/flexible/python/reference/app-yaml#network_settings)的app.yaml文件,并且看到此设置已在防火墙规则的“适用于实例”部分中应用,但是我仍然无法使用以下命令进行SSH:
gcloud --project "xxxx" app instances ssh "xxxxx-dev-min--instance--upgrade--xxxx--tag-f8vc" --service "dev" --version "min-instance-upgrade-network-tag"
出于测试目的,我从默认的allow-ssh防火墙规则中删除了Targets限制,以允许ssh从公共Internet访问所有实例。这样做之后,我现在可以使用gloud应用实例ssh命令进行连接。
如果在项目级别有防火墙规则仅允许通过堡垒主机进行访问,如何允许ssh访问App Engine Flex实例?尽管我看到防火墙规则已应用于实例,但添加instance_tag: "restricted-ssh"仍不允许访问。
https://www.evernote.com/l/AfdH8P-d11VCCZm8lcRrYRbYYII2221fMF4