Google app engine 专用访问的应用程序引擎防火墙规则
我在App Engine flexible上提供了一个面向内部的服务。我想从VPC内的计算引擎实例与它通信。这个实例没有外部IP,但位于启用了私有Google访问的子网中,我能够从这个实例成功访问appspot.com域,可能是通过这个私有访问 有没有一种方法可以使用App Engine防火墙规则来拒绝来自我的VPC(尤其是这个实例)之外的所有流量?我不清楚在这种情况下什么IP可以被列入白名单。有办法吗。了解如何创建防火墙规则,以便了解哪些选项可用,然后查看中的示例 我建议你做第一个,这和你打算做的很相似。您必须首先拒绝所有TCP流量的进入,然后将子网IP范围列为白名单。该示例包括标签和通过端口80的TCP访问,提供了以下命令:Google app engine 专用访问的应用程序引擎防火墙规则,google-app-engine,google-compute-engine,Google App Engine,Google Compute Engine,我在App Engine flexible上提供了一个面向内部的服务。我想从VPC内的计算引擎实例与它通信。这个实例没有外部IP,但位于启用了私有Google访问的子网中,我能够从这个实例成功访问appspot.com域,可能是通过这个私有访问 有没有一种方法可以使用App Engine防火墙规则来拒绝来自我的VPC(尤其是这个实例)之外的所有流量?我不清楚在这种情况下什么IP可以被列入白名单。有办法吗。了解如何创建防火墙规则,以便了解哪些选项可用,然后查看中的示例 我建议你做第一个,这和你打算
gcloud compute firewall-rules create deny-subnet1-webserver-access \
--network my-network \
--action deny \
--direction ingress \
--rules tcp \
--source-ranges 0.0.0.0/0 \
--priority 1000 \
--target-tags webserver
您还可以找到谷歌云防火墙规则的概念描述 谢谢-您提到的文档是针对VPC防火墙规则的,我认为在这种情况下不起作用,因为从appspot到实例的流量是通过云负载均衡器来的(请参阅)。我问的是应用引擎HTTP防火墙,而不是GCE防火墙。你说得对,我的错。我同意你提到的帖子中的建议,这篇文章的日期是5月17日,但现在有了一个身份识别代理版本。你调查过了吗?我勉强完成了。
gcloud compute firewall-rules create vm1-allow-ingress-tcp-port80-from-subnet1 \
--network my-network \
--action allow \
--direction ingress \
--rules tcp:80 \
--source-ranges 10.240.10.0/24 \
--priority 50 \
--target-tags webserver