Как лучше всего направлять трафик c между экземплярами двух сервисов App Engine Flexible (внутри VP C?)?

Question

Мы хотим развернуть две службы App Engine внутри одного проекта Google Cloud (одна будет обрабатывать внешние HTTPS-запросы, а другая - получать трафик c от первой службы). Связь между этими двумя службами осуществляется через mTLS с использованием самоподписанных сертификатов (вторая служба аутентифицирует первый на основе сертификата клиента, предоставленного во время рукопожатия). HTTP-трафик c через доменное имя VERSION_ID-dot-SERVICE_ID-dot-PROJECT_ID.REGION_ID.r.appspot.com, а связь между сервисами должна осуществляться через внутреннюю сеть (VP C). И это также снижает риски безопасности, связанные с раскрытием внутреннего трафика c (хотя трафик c защищен).

Мы смогли подключиться от одного экземпляра первой службы к одному экземпляру другой сервис, использующий внутренний IP-адрес. Но мы не совсем понимаем, как правильно маршрутизировать трафик c от экземпляра первой службы к одному из экземпляров второй. Можно ли это сделать через соединитель VP C или должен быть какой-нибудь балансировщик нагрузки TCP?

Answer 1

Вы должны использовать комбинацию обоих:

• Используйте бессерверный VP C коннектор на первой службе для маршрутизации всего трафика c, исходящего от этой первой службы, к вашему VP C
• Создайте NEG (Network Endpoint Group) в диапазоне su bnet вашей второй службы
• Используйте внутренний глобальный балансировщик нагрузки для маршрутизации трафика c в NEG вторая услуга

Вы также можете отказаться от этого и обеспечить вторую услугу только с помощью IAP . Конечно, IP и DNS будут общедоступными, но только авторизованная учетная запись сможет получить к ним доступ. Все остальные запросы будут отклонены GFE (Google Front End).

Эта возможность «нулевого доверия» модна в Google. Вы полагаетесь не на сеть, а на механизм аутентификации. Я фанат этого!