当您在私有模式下部署 Cloud Run 时,请求者必须使用不记名令牌请求端点。此令牌由 Google 前端 (GFE) 检查,例如还负责管理 SSL 证书,并且它必须引用在 Cloud Run 服务上具有 run.invoker 角色的帐户(成员、组或服务帐户)。
如果将此角色授予AllUsers,则服务从私有切换为公共,任何人都可以调用它而无需任何身份验证。
这是针对 Cloud Run 的行为,并且由于您无法自定义 GFE,因此无法直接进行 IP 过滤。您必须添加一个附加组件来执行此过滤器。
使用 Cloud Run for Anthos(按照 Kolban 的建议),您可以设置防火墙规则,从而可以执行过滤。但您并不处于无服务器世界,您必须管理集群、节点、防火墙规则、负载均衡器……
最后一件事,谷歌的建议之一是:不要信任网络。因为它很容易窃取 IP 地址(我不知道如何,但对于 Google 来说这是显而易见的!!)。如果您可以避免任何基础设施依赖,那就更好了!
| 归档时间: |
|
| 查看次数: |
3494 次 |
| 最近记录: |