【问题标题】:Use Cloudflare Authenticated Origin Pull with GCP Cloud Run将 Cloudflare Authenticated Origin Pull 与 GCP Cloud Run 结合使用
【发布时间】:2021-04-21 02:49:59
【问题描述】:

我想将 Cloudflare 放在托管在 Cloud Run 上的 API 前面。我想确保我的 Cloud Run 应用仅接受来自 Cloudflare 的连接(以避免绕过 Cloudflare 中的 DDoS 缓解 + 速率限制)。

有什么方法可以将 Cloudflare 的 Authenticated Origin Pulls 与 Cloud Run 一起使用?


也欢迎其他实现相同效果的解决方案 - 但关键是我不希望来自非 Cloudflare 来源的流量触发 Cloud Run 调用(否则 DDoS 可能导致计费激增)。因此,过滤 Cloud Run 应用内的流量为时已晚,调用已经发生。

似乎有一种方法可以添加 HTTPS 负载均衡器 + Cloud Armor 来执行 IP 白名单,并且只允许来自 Cloudflare 的 IP 的请求......但我宁愿不开始添加其他两个服务并添加 $$就是为了达到这个目的。

【问题讨论】:

    标签: google-cloud-platform cloudflare google-cloud-run


    【解决方案1】:

    Google Cloud Run 支持两种授权机制:未经身份验证(任何人/公众)和 OAuth 客户端 ID。 Cloudflare 的 Origin Pulls 使用 TLS 证书,这意味着您的 Cloud Run 应用程序需要验证证书,因为 Google 的前端不支持这一点。这不会实现您防止未经授权调用 Cloud Run 的目标。

    总之,除非您的服务使用 OAuth 客户端 ID 进行授权,否则没有任何方法可以阻止 Cloud Run 服务调用,除非限制实例的最大数量。如果您配置了未经身份验证的访问,任何调用您的服务端点的人都将成功调用您的服务或执行重叠的请求。

    【讨论】:

      猜你喜欢
      • 2020-02-10
      • 2021-04-13
      • 2022-01-27
      • 1970-01-01
      • 2020-08-19
      • 2019-10-02
      • 2021-06-12
      • 1970-01-01
      • 2022-06-23
      相关资源
      最近更新 更多