ben*_*212 2 google-app-engine google-compute-engine google-cloud-platform
我有一个网络应用程序/ Api,当前正在Google应用程序引擎资源上运行。由于API的计算需要大量计算,因此我将计算部分外包给了托管的自动缩放google计算引擎组,前端使用HTTP负载均衡器(以维护单个IP地址并平衡多个IP负载动态产生的引擎)。
目前,我只是从应用程序引擎对负载均衡器IP地址进行HTTP调用。由于GAE和GCE位于同一区域,因此感觉效率很低(我知道应用程序引擎和计算引擎仍位于两个物理上分离的数据中心中)。由于我不断收到来自随机IP僵尸程序的电话,试图利用潜在的安全漏洞,因此这也构成了安全威胁。此外,我只是在应用程序引擎级别验证API令牌的有效性,因为我不想授予用户数据库对计算引擎的访问权限(出于安全原因),因此这意味着在应用程序引擎和计算引擎之间没有完成验证工作,以便后者接听所有收到的电话。
有没有办法在应用程序引擎和云引擎之间建立专用连接?
我的目标是不必向整个互联网开放GCE,请记住它仅接收来自一个IP地址/资源的呼叫
我曾尝试仅将应用程序引擎的IP地址列入白名单,但是不幸的是,这是一大堆地址,检索和动态更改非常麻烦。应用程序引擎也无法使用计算引擎/ Google SQL服务器的专用IP。
我们非常欢迎其他创意!
似乎无服务器VPC访问可能是一个潜在的解决方案。以下是概述:
无服务器VPC访问使您可以从App Engine标准环境和Cloud Functions直接连接到VPC网络。此连接使您的App Engine标准环境应用程序和Cloud Functions可以通过内部(私有)IP地址访问VPC网络中的资源。使用内部IP地址可改善您的Google Cloud Platform服务之间的通信延迟,并避免将内部资源暴露给公共互联网。
无服务器VPC访问仅允许您的应用或功能将请求发送到VPC网络中的资源,并接收对这些请求的响应。在VM向应用程序或功能发起请求的相反方向的通信中,您需要使用应用程序或功能的公共地址。
| 归档时间: |
|
| 查看次数: |
136 次 |
| 最近记录: |