假设我正在部署一个 GAE Flex 应用程序,并且我想将访问限制为仅内部访问。由于 GAE Flex 只是 GCE 上的一个包装器,根据文档,在app.yaml文件中,我可以在name下指定一个 VPC,该 VPC 会将实例启动到指定的 VPC 中。
如果 VPC 设置为仅允许内部访问,我是否需要对 App Engine 防火墙规则进行任何其他配置以确保此一致性?
更广泛地说,App Engine 防火墙与 VPC 的防火墙规则有何不同?App Engine 防火墙是否会覆盖 VPC 设置的防火墙规则?
关于两者之间区别的更广泛问题,您应该记住,VPC 允许使用更广泛的方法来配置内部访问,不仅包括防火墙规则和路由,还包括网络标签。App Engine 防火墙仅允许配置规则的有序列表,这些规则可以允许或拒绝来自指定 IP 地址或范围的访问。
两者都需要正确配置,以便控制访问并确保应用程序能够以所需的方式发送和接收流量。
我鼓励您查看Cloud Identity-Aware Proxy。 这是基仕伯的一项免费服务。
云IAP允许您为HTTPS访问的应用程序建立中央授权层,因此您可以使用应用程序级访问控制模型,而不是依赖网络级防火墙。
当应用程序或资源受 Cloud IAP 保护时,只能由具有正确 Cloud Identity and Access Management (Cloud IAM( 角色的成员(也称为用户(通过代理访问。
当您通过 Cloud IAP 授予用户对应用程序或资源的访问权限时,他们将受到正在使用的产品实施的精细访问控制的约束,而无需 VPN。当用户尝试访问受云 IAP 保护的资源时,云 IAP 会执行身份验证和授权检查。
https://cloud.google.com/iap/