【发布时间】:2018-04-13 12:44:58
【问题描述】:
如果实例必须具有外部 IP 地址,是否有一种简单的方法可以将 GPC VPC 配置为阻止除 google apis 之外的所有出口?
google 是否为 google apis 提供了静态 IP 地址列表,还是有更优雅的解决方案?
【问题讨论】:
标签: google-cloud-platform google-compute-engine
【发布时间】:2018-04-13 12:44:58
【问题描述】:
您可以配置 Private Google Access,以便没有外部 IP 的实例可以访问 Google API https://cloud.google.com/vpc/docs/configure-private-google-access
【讨论】:
有关生成当前属于 Google 基础架构的 IP 地址列表的一些有用信息,请参阅 Google App Engine - list of IP addresses?:
例如运行命令:
dig -t TXT _netblocks.google.com @ns1.google.com
生成以下 Google 地址列表(请注意 - 这些地址可能会更改,因此不要假设此列表将永久有效):
64.18.0.0/20
64.233.160.0/19
66.102.0.0/20
66.249.80.0/20
72.14.192.0/18
74.125.0.0/16
108.177.8.0/21
173.194.0.0/16
207.126.144.0/20
209.85.128.0/17
216.58.192.0/19
216.239.32.0/19
您需要创建白名单“允许”出站规则,将 Google 地址范围列入白名单,并确保您设置的规则优先级高于“全部拒绝”出站规则。
这应该允许访问包括 API 在内的 Google 资源,但会阻止所有其他流量。
【讨论】: