本文說明如何驗證應用程式或工作負載。這些應用程式或工作負載可能是在 Compute Engine 的正式環境中執行,也可能是在本機測試,以便日後部署至正式環境。您可以採取以下做法:
- 驗證工作負載,以使用 Google API
- 透過 mTLS 驗證工作負載與其他工作負載之間的關係
驗證工作負載,以使用 Google API
請參閱下表,判斷工作負載要使用哪種驗證方法。
| 工作 | 方法 |
|---|---|
| 驗證正式環境中的應用程式或工作負載 | 使用附加至 VM 的服務帳戶。 這是最常見的方法,用於驗證在 Google Cloud虛擬機器 (VM) 執行個體上執行的應用程式和工作負載。如需詳細操作說明,請參閱 使用服務帳戶向 API 驗證工作負載。 Google Cloud |
| 驗證開發中的應用程式或工作負載 | 使用 Google Cloud SDK 和應用程式預設憑證。詳情請參閱「為本機開發環境設定 ADC」。 |
| 授權需要存取使用者資源的應用程式和工作負載 | 如果您要建構開發或管理工具,讓使用者授予您存取 Google Cloud 資源的權限,請使用 OAuth 2.0 讓應用程式存取使用者資源。如需詳細操作說明,請參閱「 使用 OAuth 2.0 處理網路伺服器應用程式」。 請在要求中指定存取範圍,將存取權限制在只能存取應用程式所需的方法和使用者資訊。如需各項服務和必要範圍的完整清單,請參閱「 Google API 適用的 OAuth 2.0 範圍」。 Google Cloud |
透過 mTLS 驗證工作負載與其他工作負載之間的關係
您可以使用代管工作負載身分驗證應用程式或其他工作負載。這個驗證方法會使用服務帳戶、憑證授權單位 (CA) 集區、代管工作負載身分和專屬執行個體 ID 來識別執行個體。
有了受管理的工作負載身分,您就能將經過嚴格驗證的身分繫結至 Compute Engine 工作負載。 Google Cloud 會佈建憑證授權單位服務核發的 X.509 憑證,藉此透過相互傳輸層安全標準 (mTLS) 驗證機制,以可靠的方式驗證工作負載與其他工作負載之間的關係。
工作負載透過相互傳輸層安全標準 (mTLS) 向其他工作負載進行驗證時,會使用受管理的工作負載身分做為身分,存取其他Google Cloud 服務和資源時,則會使用服務帳戶做為身分。
詳情請參閱「透過 mTLS 向其他工作負載驗證工作負載」。
後續步驟
- 進一步瞭解下列概念: