比方说,我正在部署GAE Flex应用,我想限制访问仅限内部。根据{{3}},由于GAE Flex只是GCE的包装,因此在app.yaml文件中,我可以在name下指定一个VPC,它将实例启动到指定的VPC中。
如果将VPC设置为仅允许内部访问,我是否需要对App Engine防火墙规则进行其他任何配置以确保这种一致性?
更广泛地说,App Engine防火墙与VPC的防火墙规则有何不同? App Engine防火墙是否会覆盖VPC设置的防火墙规则?
答案 0 :(得分:1)
关于有关两者之间区别的更广泛的问题,您应该记住,VPC允许使用多种方法来配置内部访问,而不仅仅是firewall rules and routes but also network tags。 App Engine防火墙仅允许配置ordered list of rules that can allow or deny access from the specified IP address or ranges.
都需要正确配置两者,以控制访问并确保您的应用程序可以按期望的方式发送和接收流量。
答案 1 :(得分:-1)
我鼓励您签出Cloud Identity-Aware Proxy。这是GCP提供的免费服务。
Cloud IAP允许您为HTTPS访问的应用程序建立中央授权层,因此您可以使用应用程序级访问控制模型,而不必依赖网络级防火墙。
当应用程序或资源受Cloud IAP保护时,只有具有正确的云身份和访问管理(Cloud IAM)角色的成员(也称为用户)才能通过代理服务器对其进行访问。
当您通过Cloud IAP授予用户对应用程序或资源的访问权限时,他们将受到使用中产品实施的细粒度访问控制的约束,而无需VPN。当用户尝试访问受Cloud IAP保护的资源时,Cloud IAP会执行身份验证和授权检查。