我正在尝试确定适当的服务以仅允许特定 IP 范围向 API 网关和云存储发出请求。这是因为我们只想接受来自 cloudflare 的请求。我们发现了 Cloud NAT 和 VPC 防火墙规则等服务,但很难判断它们是否适用于 API 网关和云存储。由于我们的预算很少,所以我们不想启用和禁用所有服务。理想情况下,我们希望所有服务也只接受来自同一 IP 范围的请求。有没有可以实现这一目标的谷歌云服务?
AskOverflow.Dev
我正在尝试确定适当的服务以仅允许特定 IP 范围向 API 网关和云存储发出请求。这是因为我们只想接受来自 cloudflare 的请求。我们发现了 Cloud NAT 和 VPC 防火墙规则等服务,但很难判断它们是否适用于 API 网关和云存储。由于我们的预算很少,所以我们不想启用和禁用所有服务。理想情况下,我们希望所有服务也只接受来自同一 IP 范围的请求。有没有可以实现这一目标的谷歌云服务?
对于 Cloud Storage,当前提出了一项功能请求,该请求将启用通过 IP 地址限制对 Google Cloud Storage 的访问。由于这尚未得到确认或实施,解决方法是使用VPC 服务控制,您可以按照本文档进行操作。
另一种解决方法是设置一个HTTPS 负载均衡器,将您的存储桶作为后端,并设置一个Cloud Armor 策略,该策略将过滤尝试连接到 Cloud Storage 的入口 IP 地址。这在另一篇文章中讨论。
不幸的是,对于 API 网关,它不支持入口过滤器或入口限制设置。这是 API 网关的行为,因为它不是 Cloud Run 服务所在的 VPC 网络的一部分。您应该能够将 API 网关用作负载均衡器的后端,但您将无法通过其传入 IP 过滤来自负载均衡器的入口流量,因为入口限制设置为允许所有请求,包括直接来自互联网到 run.app URL。还通过此链接为此提出了一个功能请求。您可以探索的替代方案如本文档中所讨论的那样。
InternalInternal and Cloud Load BalancingAllIdentity Aware Proxy for Cloud Run要跟踪所提及的功能请求的状态/进度,请点击相应的功能请求链接并单击 和 按钮
+1以star获取有关其更新的通知。