我在App Engine托管的服务是灵活的,旨在面向内部。我想从我的VPC中的Compute Engine实例与它进行通信。此实例没有外部IP但位于启用了私有Google访问权限的子网中,并且我可以通过此私有访问从此实例成功访问appspot.com域。
有没有办法使用App Engine防火墙规则来拒绝除了源自我的VPC的所有流量,特别是这个实例?我不清楚在这种情况下哪些IP可以列入白名单。
答案 0 :(得分:1)
有办法吗?查找here如何创建防火墙规则 - 以了解可用的选项 - 然后查看same page中的示例。
我建议您使用第一个,这与您打算做的非常相似。您必须首先拒绝所有入口TCP流量,然后将子网IP范围列入白名单。该示例包括标记和通过端口80的TCP访问,提供以下命令:
gcloud compute firewall-rules create deny-subnet1-webserver-access \
--network my-network \
--action deny \
--direction ingress \
--rules tcp \
--source-ranges 0.0.0.0/0 \
--priority 1000 \
--target-tags webserver
- -
gcloud compute firewall-rules create vm1-allow-ingress-tcp-port80-from-subnet1 \
--network my-network \
--action allow \
--direction ingress \
--rules tcp:80 \
--source-ranges 10.240.10.0/24 \
--priority 50 \
--target-tags webserver
您还可以找到Google Cloud Firewall规则here的概念说明。