App Engine 的“内部流量”是什么意思？答案

【问题标题】：What does the App Engine "internal traffic" means?App Engine 的“内部流量”是什么意思？
【发布时间】：2021-11-20 00:01:48
【问题描述】：

我想将我的微服务配置为仅接受内部流量。 “内部流量”是指在同一个项目中运行的其他 App Engine 服务。

这可能吗？内部流量是什么意思？

当我将入口设置为仅内部流量时，其他应用引擎服务无法访问我的服务。

PS。我使用vpc_access_connector 从计算引擎进行连接

【问题讨论】：

嗨，OP。让我们知道答案是否有帮助。如果它有用，请考虑支持它。如果它回答了你的问题，那么请接受它。这样其他人就知道你已经（充分地）得到了帮助。另见What should I do when someone answers my question?
答案通常很有用且表达清楚，但没有回答问题（至少我不明白是否这样做）。通常，内部流量由私有 IP 定义。由于一个应用引擎只有一个公共 IP，我不确定 2 个应用引擎服务如何私下通信。
@IoannisDeligiannis 这是否回答了您关于仅将入口设置为内部流量时出现的错误的问题？ stackoverflow.com/a/67572327/16531441
@Mabel 确实如此。随意标记为重复

【解决方案1】：

GCP 中的“内部流量”与在任何平台中创建防火墙规则时的内部流量的一般概念类似。但是，除了您创建的防火墙规则之外，还有其他一组firewall rules that are implemented in GCP 可能会影响传入（入口）或传出（出口）连接，您还应该考虑这些连接。以下规则是：

Google Cloud 不允许某些 IP 协议，例如 VPC 网络中 TCP 端口 25 上的出口流量。如需更多信息，请参阅always blocked traffic。
Google Cloud 始终允许虚拟机实例与其位于 169.254.169.254 的相应元数据服务器之间进行通信。如需更多信息，请参阅always allowed traffic。
每个网络都有两个implied firewall rules，它们允许传出连接并阻止传入连接。您创建的防火墙规则可以覆盖这些隐含规则。
默认网络是pre-populated with firewall rules，您可以删除或修改。

由于您使用的是 VPC，因此您需要考虑在您的项目中应用的“始终阻止流量”防火墙规则，如第一个项目符号中所述。如果您对 Google Cloud 资源的外部 IP 地址使用 TCP、UDP、ICMP、IPIP、AH、ESP、SCTP 和 GRE 以外的协议，那么这就是您的服务无法访问的原因。

另外，您可以查看article，了解创建 VPC 防火墙规则时遇到的常见问题。

【讨论】：