确保仅对 App Engine 柔性版进行内部访问
swi*_*cks 7 google-app-engine google-cloud-platform
如果我有一个 GAE Flex 应用程序,它仅供内部使用而不打算用于任何面向公众的用途,那么保护它的最佳方法是什么?默认情况下,*.appspot.com 域公开一个公共 HTTP/S 端点。
如果我将默认 App Engine 防火墙规则设置为明确拒绝所有 HTTP 流量,那么我如何从其他 GCE 实例或其他项目中的其他 GAE Flex 应用程序访问应用程序?
我最初认为编辑app.yaml文件以将实例启动到具有自己的 GCE 防火墙规则(使用默认入口拒绝)的私有 VPC 就足够了,但由于请求通过云负载均衡器 IP 的事实,它仍然允许外部流量.
我查看的下一个选项是 Cloud IAP,它只允许经过身份验证的用户和服务帐户访问我的应用程序。这可能会起作用,但是,如果我需要从没有互联网访问权限的私有 VPC 访问我的应用程序,如果我正确理解该服务将无法工作,因为请求仍然必须通过 HTTP 来。
那么我能做些什么来确保绝对没有对应用引擎的公开访问,同时仍然允许内部资源访问它?
您的用例描述使其适合使用App Engine 防火墙:
仅允许来自特定网络内的流量确保只有来自特定网络的特定范围的 IP 地址可以访问您的应用程序。例如,创建规则以在应用程序的测试阶段仅允许来自公司专用网络内的 IP 地址范围...
仅允许来自特定服务的流量确保流向 App Engine 应用程序的所有流量首先通过特定服务进行代理。
从允许来自您的服务的请求开始,有有关如何创建防火墙规则的说明。
当您在应用程序引擎中创建防火墙规则时,您可以选择允许或拒绝访问您的应用程序的 IP。不强制拒绝所有发送至所有 IP 的 HTTP 流量。看一下创建了一些规则的示例防火墙。其中一些允许流向特定 IP 的流量,而另一些则拒绝流向其他 IP 的流量:
| 归档时间: |
|
| 查看次数: |
5045 次 |
| 最近记录: |