Блог

Есть ли способ включить многофакторную аутентификацию для доступа по SSH к экземплярам App Engine? Все, что я нашел, указывает на «Вход в ОС» для этого, но, похоже, это применимо только к вычислительным экземплярам.

Я понимаю, что могу включить MFA для организации, и CLI gcloud принудит MFA выполнить первоначальную аутентификацию, но я бы предпочел проверять MFA каждый раз, когда было инициировано SSH-соединение.

TL;DR: Нет, вы не можете включить SSH MFA в среде App Engine flex.

Как вы, возможно, уже знаете, вы можете подключиться по SSH к гибкой среде App Engine только для отладки, как описано в разделе Сравнение функций высокого уровня.

Вы можете включить режим отладки для виртуальной машины, но, как вы можете прочитать на странице Отладки экземпляра:

Любые изменения, которые вы вносите в виртуальную машину в режиме отладки, являются временными; вы потеряете свои изменения, если отключите режим отладки. Отлаживаемые виртуальные машины периодически перезапускаются, что может затруднить отладку длительных задач.

SSH-доступ к виртуальной машине для App Engine не предназначен для регулярного использования, он предназначен только для тех случаев, когда вам действительно нужно отладить ваше приложение. Поскольку это лишь временное решение, вы не можете включить MFA или внести какие-либо изменения в виртуальную машину. Эта виртуальная машина управляется Google, и любые изменения, которые вы внесете, не сохранятся.

Если вам необходим регулярный доступ по SSH к вашему приложению или MFA, рассмотрите возможность перехода на неуправляемое решение, такое как GCE. Движок приложений это управляемое решение (PaaS), поэтому вы теряете контроль над некоторыми аспектами.