是否有一种简单的方法可以配置GPC VPC来阻止除谷歌apis之外的所有出口,以防万一实例必须有外部IP地址?
Google是否为google apis提供了静态IP地址列表,还是有更优雅的解决方案?
答案 0 :(得分:1)
您可以配置Google私有访问,以便没有外部IP的实例可以访问Google API https://cloud.google.com/vpc/docs/configure-private-google-access
答案 1 :(得分:0)
有关生成目前属于Google基础架构的IP地址列表的一些有用信息,请参阅Google App Engine - list of IP addresses?:
例如,运行命令:
dig -t TXT _netblocks.google.com @ns1.google.com
生成以下Google地址列表(请注意一点 - 这些地址可能会发生变化,因此不要认为此列表将永久有效):
64.18.0.0/20
64.233.160.0/19
66.102.0.0/20
66.249.80.0/20
72.14.192.0/18
74.125.0.0/16
108.177.8.0/21
173.194.0.0/16
207.126.144.0/20
209.85.128.0/17
216.58.192.0/19
216.239.32.0/19
您需要创建白名单“允许”出口规则,将Google地址范围列入白名单,并确保将该规则设置为比“拒绝所有”出口规则更高的优先级。
这应该允许访问包括API在内的Google资源,但阻止所有其他流量。