Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/google-cloud-platform/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Google cloud platform 限制谷歌云运行中的网络活动_Google Cloud Platform_Google Cloud Run - Fatal编程技术网
Fatal编程技术网

Google cloud platform 限制谷歌云运行中的网络活动

google-cloud-platform

Google cloud platform 限制谷歌云运行中的网络活动,google-cloud-platform,google-cloud-run,Google Cloud Platform,Google Cloud Run,我正在使用云运行容器来运行不受信任的(用户提供的)代码。容器接收POST请求,运行代码,并响应结果。出于安全原因,它部署在一个锁定的服务帐户上,但我还想阻止所有其他网络活动。如何实现这一点?云运行(托管)目前不提供防火墙限制,以选择性地阻止IP/主机的入站或出站流量。我假设您试图阻止从容器到外部启动的连接。未来,Cloud Run计划增加对Google Cloud VPC服务控制功能的支持,这可能会有所帮助 但是,如果您有机会使用Cloud Run for Anthos(在GKE上),它有类似的

我正在使用云运行容器来运行不受信任的(用户提供的)代码。容器接收POST请求,运行代码,并响应结果。出于安全原因,它部署在一个锁定的服务帐户上,但我还想阻止所有其他网络活动。如何实现这一点?

云运行(托管)目前不提供防火墙限制,以选择性地阻止IP/主机的入站或出站流量。我假设您试图阻止从容器到外部启动的连接。未来,Cloud Run计划增加对Google Cloud VPC服务控制功能的支持,这可能会有所帮助

但是,如果您有机会使用Cloud Run for Anthos(在GKE上),它有类似的开发经验,但运行在Kubernetes集群上,那么您实际上可以轻松地编写Kubernetes
NetworkPolicy
Policys(我有一些诀窍)来控制运行的容器中可以产生/流出哪种流量。在使用Kubernetes群集时,还可以使用和

除此之外,在云运行(完全管理)环境中,您唯一的选择是在启动容器阻止某些网络模式时使用Linux
iptables
命令。重要的是,请注意,云运行(完全管理)在模拟系统调用的沙箱上运行。而且,
iptables
中的许多功能目前还没有在gVisor中实现/支持。通过查看和,我可以看出它已经在路线图上了,有些甚至可以在今天工作。

您可以将云运行(托管)部署耦合到一个没有任何互联网接入的
专有网络。
您能详细介绍一下
iptables
解决方案吗?假设我只有一个允许向云运行容器发出请求的云函数。有没有一种简单的方法可以使用
iptables
只允许传出流量返回该云功能?/这就是你的建议吗?谢谢我建议在互联网上阅读iptables。云功能不在静态IP上运行,iptables需要与IP协同工作。如果您向云功能发出请求,可能无法通过iptables区分这些功能。不过,您可以阻止您的云运行应用程序建立外部请求(这有点像您在问题中所说的:)