如果我有一个仅供内部使用而不面向任何公共用途的GAE Flex应用程序,那么如何最好地保护它呢?默认情况下,*.appspot.com域公开了一个公共的HTTP/S端点。
如果我将默认的App Engine防火墙规则设置为显式拒绝所有HTTP流量,那么我如何从其他GCE实例或其他项目中的其他GAE Flex应用程序访问该应用程序呢?
起初,我认为通过编辑app.yaml文件将实例启动到具有自己的GCE防火墙规则(默认入站拒绝)的私有VPC中就足够了,但由于请求经过云负载均衡器IP,它仍然允许外部流量。
我考虑的下一个选项是Cloud IAP,它只允许经过身份验证的用户和服务帐户访问我的应用程序。这可能有效,但如果我需要从没有互联网访问权限的私有VPC访问我的应用程序,根据我对该服务的理解,它将无法工作,因为请求仍然必须通过HTTP进行。
那么,我该怎么做才能确保完全禁止对应用引擎的公共访问,同时仍然允许内部资源访问它呢?
如果我将默认的App Engine防火墙规则设置为显式拒绝所有HTTP流量,那么我如何从其他GCE实例或其他项目中的其他GAE Flex应用程序访问该应用程序呢?
起初,我认为通过编辑app.yaml文件将实例启动到具有自己的GCE防火墙规则(默认入站拒绝)的私有VPC中就足够了,但由于请求经过云负载均衡器IP,它仍然允许外部流量。
我考虑的下一个选项是Cloud IAP,它只允许经过身份验证的用户和服务帐户访问我的应用程序。这可能有效,但如果我需要从没有互联网访问权限的私有VPC访问我的应用程序,根据我对该服务的理解,它将无法工作,因为请求仍然必须通过HTTP进行。
那么,我该怎么做才能确保完全禁止对应用引擎的公共访问,同时仍然允许内部资源访问它呢?