我在处理 Google VM 实例时遇到了一些问题, 我一开始是用这个命令创建实例的,
gcloud compute instances create <instance name> \
--scopes storage-rw,bigquery,compute-rw \
--image-family container-vm \
--image-project google-containers \
--zone us-central1-b \
--machine-type n1-standard-1
实例运行良好,我可以在实例上做很多事情。
但是,在项目中,还有几个其他用户,同一个项目中的每个用户都可以通过 SSH 访问我的实例并查看我的工作,并且他们有 sudo 权限,这意味着他们还可以更改我的设置、文档和很快。它不安全。
有没有一种方法可以将实例设置为个人而不是对项目公开?在这种情况下,项目中的每个人都可以拥有自己的虚拟机,除了他/她自己,其他人都无法访问它。
【问题讨论】:
如果您希望仅允许访问 VM 中的特定用户而不是其他项目 SSH 密钥,则必须阻止将项目级别密钥传播到实例。这样,只有为实例定义的特定键才能访问它。详情在这个article中解释
在创建时部署此类实例的命令如下所示
gcloud compute --project "myproject" instances create "myinstance" --zone "us-central1-f" --machine-type "n1-standard-1" --network "default" --metadata "block-project-ssh-keys=true,ssh-keys=MYPUBLICKEYVLUE" --maintenance-policy "MIGRATE" --scopes default="https://www.googleapis.com/auth/devstorage.read_only","https://www.googleapis.com/auth/logging.write","https://www.googleapis.com/auth/monitoring.write","https://www.googleapis.com/auth/servicecontrol","https://www.googleapis.com/auth/service.management.readonly" --image "/debian-cloud/debian-8-jessie-v20160923" --boot-disk-size "10" --boot-disk-type "pd-standard" --boot-disk-device-name "myinstance"
现在,如果您已将项目成员定义为所有者/编辑者,当他使用 gcloud 或开发者控制台进行 SSH 时,密钥仍会自动传输到实例。这种行为是有道理的,因为项目级别的权限甚至允许他删除 VM。
如果您的实例已经创建,您必须将 block-project-ssh-keys 元数据值更改为 TRUE 并删除 VM 中所有不需要的键,如同一 article 中所述
【讨论】: