本頁說明如何查看及實作相關建議,瞭解何時應從授權網路中移除 0.0.0.0/0
的 IP 位址範圍。授權網路中含有 0.0.0.0/0
的執行個體會接受來自所有網際網路 IP 的連線。這項建議稱為「移除廣泛的公開存取權」。
這項建議工具每天都會主動偵測具有廣泛公開 IP 位址範圍的執行個體,並提供洞察資料和建議,協助您提升執行個體安全性。您可以透過 Google Cloud 控制台、gcloud CLI 或 Recommender API,查看已啟用公用 IP 位址範圍且容易發生安全漏洞的執行個體深入分析結果和詳細建議。
事前準備
必要角色和權限
如要取得查看及使用洞察和建議的權限,請確認您具備必要的身分與存取權管理 (IAM) 角色。
Tasks | 角色 |
---|---|
查看建議 |
recommender.cloudsqlViewer 或
cloudsql.admin 。
|
套用建議 |
cloudsql.editor
或 cloudsql.admin 。
|
列出建議
如要列出建議,請按照下列步驟操作:
主控台
如要列出執行個體安全性的相關建議,請按照下列步驟操作:
前往「Cloud SQL 執行個體」頁面。
查看例項表格中的「問題」欄。
或者,請按照下列步驟操作:
gcloud
執行 gcloud recommender recommendations list
指令,如下所示:
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
更改下列內容:
- PROJECT_ID:您的專案 ID。
- LOCATION:執行個體所在的區域,例如 us-central1。
API
呼叫 recommendations.list
方法,如下所示:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
更改下列內容:
- PROJECT_ID:您的專案 ID。
- LOCATION:執行個體所在的區域,例如
us-central1
。
查看洞察資料和詳細建議
如要查看洞察資料和詳細建議,請按照下列步驟操作:
主控台
列出建議後,請點選其中一項。 系統會顯示建議面板,其中包含洞察資料和詳細建議。
gcloud
執行 gcloud recommender insights list
指令,如下所示:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
更改下列內容:
- PROJECT_ID:您的專案 ID。
- LOCATION:執行個體所在的區域,例如
us-central1
。
API
呼叫 insights.list
方法,如下所示:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
更改下列內容:
- PROJECT_ID:您的專案 ID。
- LOCATION:執行個體所在的區域,例如
us-central1
。
套用最佳化建議
主控台
如要實作這項建議,請按一下「管理授權網路」,然後使用下列其中一個選項:
- 從授權網路中移除廣泛的 IP 位址。詳情請參閱「使用授權網路授權」。
- 使用 Cloud SQL 驗證 Proxy 和 Cloud SQL 語言連接器。
gcloud
如要實作這項建議,請使用下列其中一個選項:
- 從授權網路中移除廣泛的 IP 位址。詳情請參閱「使用授權網路授權」。
- 使用 Cloud SQL 驗證 Proxy 和 Cloud SQL 語言連接器。
API
如要實作這項建議,請使用下列其中一個選項:
- 從授權網路中移除廣泛的 IP 位址。詳情請參閱「使用授權網路授權」。
- 使用 Cloud SQL 驗證 Proxy 和 Cloud SQL 語言連接器。