https://blog.howar31.com/tags/gcp/Recent content in Gcp on Howar31 BlogHugozh-twMon, 25 May 2026 23:54:58 +0800https://blog.howar31.com/posts/self-hosted-vaultwarden-on-gcp/Mon, 25 May 2026 00:00:00 +0000https://blog.howar31.com/posts/self-hosted-vaultwarden-on-gcp/<style> /* 這篇圖多,讓點開後的 lightbox 放到接近滿視窗(僅影響本文) */ .vp-image-modal-card { max-width: 96vw; } .vp-image-modal-img { max-height: 92vh; } </style> <p>團隊要安全地共享密碼、API key、伺服器憑證,與其塞在共用試算表或聊天室裡,不如架一套密碼管理器。<a href="https://github.com/dani-garcia/vaultwarden">Vaultwarden</a> 是 Bitwarden 相容的開源伺服器(Rust 重寫),資源吃得少、功能卻幾乎對齊商業版,而且<strong>自管、機密不外流、零授權費</strong>。</p> <p>這篇文章記錄我把 Vaultwarden 架在 Google Cloud 上的完整過程——從基礎設施、踩到的眉角,到團隊成員怎麼用、管理員怎麼管權限。文中所有網域、email、專案名稱都是 placeholder(<code>vault.example.com</code>、<code>your-gcp-project</code> 等),請自行替換。</p> <h2 id="為什麼選這個組合">為什麼選這個組合</h2> <ul> <li><strong>Cloud Run</strong>:容器化、按量計費、維運單純,不必顧 VM 更新。</li> <li><strong>Cloud SQL for PostgreSQL</strong>:正式、可備份的資料庫,取代預設 SQLite,適合長期服務。</li> <li><strong>Google Workspace SSO</strong>:團隊本來就有公司 Google 帳號,登入直接沿用;成員離職、停用 Google 帳號後,對 Vaultwarden 的存取權也跟著失效。</li> <li><strong>Identity-Aware Proxy(IAP)</strong>:只用來多守一道後台 <code>/admin</code>。</li> </ul> <h2 id="架構總覽">架構總覽</h2> <figure class="post-figure"> <img src="./images/architecture.svg" alt="Vaultwarden 在 GCP 的整體架構" loading="lazy"> <figcaption>Vaultwarden 在 GCP 的整體架構</figcaption> </figure><p>請求從 <code>vault.example.com</code> 進來,經 External HTTPS Load Balancer(受管 TLS),由 URL Map 的 path matcher 分流:<code>/admin/*</code> 走啟用 IAP 的 backend,其餘走公開 backend,兩者都指向同一個 Cloud Run 服務。Cloud Run 經 Direct VPC egress 連到私有 IP 的 Cloud SQL,<code>/data</code> 掛載 GCS bucket,機密全放 Secret Manager。</p>