Невозможно установить определенные правила брандмауэра для двигателей приложений

Question

У нас есть проблема с установкой правильных правил брандмауэра для наших различных сервисов ядра приложений на GCP, поскольку это кажется невозможным.

Наша проблема очень проста: у нас есть движок приложений по умолчаниюсервис, который должен быть общедоступным и функционировать как шлюз, а все остальные сервисы являются только внутренними и размещены в том же проекте GCP.

Мы попытались установить собственные теги и правила сетей в разделах брандмауэра VPC,но все они отменяются брандмауэром движка приложений.К сожалению, последняя версия не позволяет настраивать каждую услугу.

Вы знаете простой способ сделать это?Наше единственное решение на данный момент - это установить шлюз на вычислительный движок или другой проект GCP.

Answer 1

Учитывая, что вы используете App Engine Flexible, вы можете настроить сеть, в которой будет работать ваша служба, изменив Сетевые настройки в app.yaml файле конфигурации .В вашем случае, поскольку у вас есть одна группа экземпляров, к которой вы не хотите обращаться, и один экземпляр, который будет действовать как шлюз, вы можете сделать следующее:

1. Создайте две разные сети и подсеть для каждой в регионе, который вы считаете удобным.Также обязательно включите Private Google access, чтобы вы всегда могли подключаться к API GCP без необходимости создавать новые правила брандмауэра.Вы можете установить диапазон IP-адресов подсети, если он еще не используется в вашем проекте, например, я использовал 10.0.0.0/9. Убедитесь, что зона подсети одинакова для обеих сетей.

2. В сети, в которой вам не нужен трафик извне GCP, создайтеправило брандмауэра до запретить весь вход трафик в сеть.

3. Настройте файл app.yaml в своих службах, добавив:

   network:
     instance_tag: TAG_NAME
     name: NETWORK_NAME
     subnetwork_name: SUBNETWORK_NAME
   

   Ваш экземпляр шлюза должен иметь NETWORK_NAME и SUBNETWORK_NAME сети с разрешенным входящим трафиком, а остальные службы - сеть, в которой вы создали предыдущее правило брандмауэра.TAG_NAME может быть любым тегом, который вы хотите присвоить этой машине, я рекомендую вам использовать уникальный тег для каждой из двух групп услуг.

4. Повторно разверните свои службы.

Теперь вы сможете отправлять трафик только той службе, которая выступает в качестве шлюза, а шлюз может подключаться к остальным службам, поскольку вы включили Private Google access в первойточка.