限制Google Cloud Run中的网络活动

我正在使用Cloud Run容器来运行不受信任的(用户提供的)代码。容器接收一个POST请求,运行代码,并以结果进行响应。出于安全原因,它部署在一个锁定的服务账户上,但我还想阻止所有其他网络活动。如何实现这一目标?

解决方案:

云运行(托管)目前不提供防火墙限制,无法通过IPhost选择性地阻止入站或出站流量。我假设你是想阻止从容器到外部发起的连接。未来,Cloud Run有计划添加对Google Cloud VPC服务控制功能的支持,所以这可能会有所帮助。

不过,如果你有机会使用Cloud Run for Anthos(在GKE上),它有类似的开发者体验,但运行在Kubernetes集群上,其实你可以很容易地编写Kubernetes的 NetworkPolicy 政策(我有一些配方 此处)来控制哪些流量可以从正在运行的容器中流出。您也可以使用 GCE防火墙规则虚拟计算中心服务控制 当使用Kubernetes集群时。

除此之外,您在Cloud Run(完全管理)环境中的唯一选择是使用Linux iptables 命令,同时启动容器以阻止某些网络模式。重要的是,请注意,Cloud Run(完全托管)是在一个特定的容器上运行的。gVisor 沙箱,可以模拟系统调用。而许多功能在 iptables 目前在gVisor中还没有实现支持。通过查看 问题追踪器补丁 ,我可以告诉它在路线图上,有些甚至可能在今天工作。

给TA打赏
共{{data.count}}人
人已打赏
未分类

从内存角度看python中对数组的操作

2022-9-8 17:25:17

未分类

Python,比较数字 [关闭]

2022-9-8 17:25:19

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索