我有后端和谷歌端点服务(都在云上运行(。端点服务从后端为授权用户提供信息。我想让后端无法从外部互联网访问。通过设置入口->,可以只允许内部连接;仅允许内部通信。如果我这样做,我的端点服务就无法到达后端。所有端点和后端都连接到同一个VPC。如何将后端从外部互联网中排除?我希望它是
您有两个解决方案:
- 继续向internet公开后端服务,但确保其安全(IAM保护的服务,使用
--noallow-unauthenticated选项部署(。但是,只授予端点服务的服务帐户访问后端。像这样,所有未经验证和未经授权的流量都会被GFE(谷歌前端(过滤并自动丢弃。只有允许的流量才能到达后端。该解决方案的优点是允许您在出现问题时也测试后端,例如,使用正确的权限 - 第二种解决方案正是您想要的:
- 将后端入口设置为仅内部
- 创建一个无服务器VPC连接器,将其添加到出口控制为ALL的端点服务中
像这样,端点的所有流量都会通过VPC连接器路由,降落在你的VPC中,然后在内部访问你的后端。为什么egress=all??因为,即使您将后端入口设置为内部,云运行URL仍然是公共的(但需要进行额外的检查以确保流量来自您的专有网络,它被命名为已验证的网络流量(
最后,它总是基于身份验证(基于网络源或服务帐户标识(。无服务器VPC连接每月费用约为17美元