我在我的 Google Cloud 应用程序引擎上创建了一个负载均衡器,并且还向其中添加了 SSL 证书,但应用程序引擎的链接仍然处于活动状态,并且没有任何安全性。
所以我想知道如何关闭或禁用应用程序引擎的这些链接?
其次,
我们是否可以做一些事情,比如只有负载均衡器能够访问 App Engine,并且负载均衡器对公众开放,而 App Engine 链接对公众访问关闭。
如果负载均衡器有一个静态 IP,我们可以将其添加到 App Engine 防火墙并允许该 IP 并拒绝其余 IP?
请帮助我解决这个问题。
您可以配置 App Engine 的入口,以便丢弃发送到默认 URL 的请求,并且只有负载均衡器能够与后端服务进行通信。
为此,您可以修改 ingress control 并将其设置为
Internal and Cloud Load Balancing我认为文档中有关如何使用 Cloud Balancing 路由请求的页面对于您的用例也值得一读。
130.211.0.0/22 and 35.191.0.0/16 rangesApp Engine 防火墙适用于源 IP 地址。因此,按照建议允许负载均衡器前端静态 IP 地址或后端地址范围(130.211.0.0/22 和 35.191.0.0/16)不允许流量。我没有尝试重新配置负载均衡器来替换传入数据包的源 IP 地址,因为这也会影响下游进程,例如使用日志。
为每个应用程序引擎服务设置入口控制确实会使原始服务对所有人都无法使用,除非通过负载均衡器。这是默认防火墙规则不变的情况。
gcloud app services update <default> --ingress=internal-and-cloud-load-balancing
每次重新部署服务时不需要重复此步骤,但需要在
gcloud app deploy一个弱点是默认的应用程序引擎防火墙规则仍处于配置状态,并且仍可能触发您的安全扫描程序。