问题描述
我已经在我的 Google Cloud 应用引擎上创建了一个负载平衡器,并且还为它们添加了 SSL 证书,但 App Engine 的链接仍然处于活动状态,并且没有任何安全措施。
其次,
我们能否做一些事情,例如只有负载平衡器能够访问 App Engine,负载平衡器对公众开放,而 App Engine 链接已关闭以供公众访问。
如果负载均衡器有一个静态 IP,我们可以将它添加到 App 引擎防火墙并允许该 IP 并拒绝其余的 IP?
请帮我解决这个问题。
解决方法
您可以为 App Engine 配置入口,这样发送到默认 URL 的请求将被丢弃,只有负载均衡器能够与后端服务通信。
为此,您可以修改 ingress controls 并将其设置为 Internal and Cloud Load Balancing
,这样您的应用将只接收通过 Cloud Load Balancing 路由的请求,或从 VPC 网络发送的请求同一个项目。所有其他请求都将被拒绝,并显示 403 错误。
我认为关于如何使用 Cloud Balancing 路由请求的文档中的 page 也值得一读,以了解您的用例。
,- 在您的 GCP 云控制台中,转到 App Engine > 防火墙规则。
- 点击创建规则并允许来自 LoadBalancer 的公共 IP 范围
130.211.0.0/22 and 35.191.0.0/16 ranges
的入口。