报价https://cloud.google.com/load-balancing/docs/https/setting-up-https-serverless#enabling
虽然谷歌云装甲可以配置为具有云运行(完全管理(、云功能和应用程序引擎后端的后端服务,但与此功能相关的某些限制,尤其是与云运行(全面管理(和应用程序发动机相关的限制。有权访问谷歌云分配给这些服务的默认URL的用户可以绕过负载均衡器,直接访问服务URL,从而绕过任何配置的谷歌云Armor安全策略。
避免攻击者以Cloud Run URL(*.run.app(为目标绕过Cloud Armor的最佳方法是什么?
通常情况下,我会让Cloud Run只能由服务帐户调用,但Cloud Load Balancer不能使用服务帐户来调用Cloud Run。另一种选择是将云负载均衡器配置为在标头中使用令牌,并将运行在Cloud Run中的应用程序配置为仅接受具有正确标头/令牌的调用,但我不希望在应用程序中这样做。
您应该将服务的入口限制为";"内部和负载平衡";禁用默认域的访问,只允许来自Cloud Armor:的流量
gcloud beta run services update SERVICE --ingress internal-and-cloud-load-balancing