Правила брандмауэра App Engine для частного доступа

Question

У меня есть служба, размещенная на App Engine Flexible, предназначенная для внутреннего использования.Я хотел бы связаться с ним из экземпляра Compute Engine в моем VPC.Этот экземпляр не имеет внешнего IP-адреса, но находится в подсети с включенным частным доступом к Google, и я могу успешно подключиться к домену appspot.com из этого экземпляра, предположительно с помощью этого частного доступа.

Есть ли способиспользовать правила брандмауэра App Engine, чтобы запретить весь трафик, кроме трафика, исходящего от моего VPC, и в частности, этот экземпляр?Мне неясно, какой IP-адрес может быть включен в белый список в этом случае.

Answer 1

Есть ли способ.Найдите здесь , как создать правила брандмауэра - чтобы иметь представление о доступных параметрах, - а затем проверьте примеры на той же странице .

Я предлагаю вам первый, который действительно похож на то, что вы собираетесь делать.Сначала вам придется запретить весь входящий TCP-трафик, а затем занести в белый список диапазон IP-адресов подсети.В этом примере, включающем теги и доступ TCP через порт 80, представлены следующие команды:

gcloud compute firewall-rules create deny-subnet1-webserver-access \
    --network my-network \
    --action deny \
    --direction ingress \
    --rules tcp \
    --source-ranges 0.0.0.0/0 \
    --priority 1000 \
    --target-tags webserver

- -

gcloud compute firewall-rules create vm1-allow-ingress-tcp-port80-from-subnet1 \
    --network my-network \
    --action allow \
    --direction ingress \
    --rules tcp:80 \
    --source-ranges 10.240.10.0/24 \
    --priority 50 \
    --target-tags webserver

Вы также можете найти концептуальное описание для правил облачного брандмауэра Google Cloud здесь .