Garanta que apenas o acesso interno ao App Engine seja flexível

Question

Garanta que apenas o acesso interno ao App Engine seja flexível

#1 resposta do (1 votos)

2

Se eu tiver um aplicativo GAE Flex que seja apenas para uso interno e não destinado a nenhum uso voltado ao público, qual é a melhor maneira de protegê-lo? Por padrão, o domínio * .appspot.com expõe um ponto de extremidade HTTP / S público.

Se eu definir a regra de firewall padrão do App Engine para uma negação explícita de todo o tráfego HTTP, como posso acessar o aplicativo de outras instâncias do GCE ou de outros aplicativos do GAE Flex em outros projetos?

Originalmente, pensei que editar o arquivo app.yaml para iniciar a instância em uma VPC privada com suas próprias regras do GCE Firewall (com a negação de ingresso padrão) seria suficiente, mas ainda permitiria o tráfego externo devido ao fato de solicitações por meio de um IP do balanceador de carga de nuvem.

A próxima opção que eu consultei é o Cloud IAP, que permite que somente usuários autenticados e contas de serviço acessem meu aplicativo. Isso pode funcionar, mas, se eu precisar acessar meu aplicativo de uma VPC privada sem acesso à Internet, não funcionaria se eu estivesse entendendo o serviço corretamente, pois as solicitações ainda teriam que vir via HTTP.

Então, o que posso fazer para garantir que não haja absolutamente nenhum acesso público ao mecanismo do aplicativo, permitindo que recursos internos o acessem?

google-app-engine google-cloud-platform

por swigganicks 25.06.2018 / 22:51

1 resposta

Tags google-app-engine google-cloud-platform

Configuração de Diretiva de Grupo para ativar o Firewall do Windows quando não estiver no Domínio de Negócios erro SSH entre gogs e Jenkins

score 1 · Answer 1

A descrição do seu caso de uso o torna adequado para usar o firewall do App Engine :

Allow only traffic from within a specific network Ensure that only a certain range of IP addresses from specific networks can access your app. For example, create rules to allow only the range of IP addresses from within your company's private network during your app's testing phase...

Allow only traffic from a specific service Ensure that all the traffic to your App Engine app is first proxied through a specific service..

A partir de Atendendo a solicitações de seus serviços , há instruções sobre como para criar regras de firewall.

Quando você cria suas regras de firewall no mecanismo de aplicativos, pode escolher quais IPs permitem ou negam acesso ao seu aplicativo. Não é obrigatório negar todo o tráfego HTTP para todos os IPs. Dê uma olhada no Exemplo de firewall , onde algumas regras são criadas. Alguns deles permitem o tráfego para um determinado IP, enquanto outros negam tráfego a outros IPs também: