使用 IaaS 设备保护 GCP 无服务器答案

【问题标题】：Secure GCP servless with IaaS appliance使用 IaaS 设备保护 GCP 无服务器
【发布时间】：2021-03-05 13:13:41
【问题描述】：

是否可以在内部（通过 VPC）访问 GCP PaaS（App Engine、Cloud Function、Cloud Run）

我在这个文档中看到：https://cloud.google.com/vpc/docs/configure-serverless-vpc-access “无服务器 VPC 访问仅允许由无服务器环境发起请求。由虚拟机发起的请求必须使用您的无服务器服务的外部地址 - 有关详细信息，请参阅私有 Google 访问。”

但搜索“无服务器 VPC 访问允许输入/输出请求”之类的内容

【问题讨论】：

您能否提供有关预期用途的更多详细信息？也许您可以使用外部 IP 来触发内部连接？
目标是通过 VPC 上的网络设备传递 PaaS 流量来控制进出 PaaS 流量。

标签： google-cloud-platform

【解决方案1】：

你有两种方式：进和出

对无服务器应用的请求

您可以对Cloud Functions 和Cloud Run 服务使用入口控制。您可以说：我希望只有来自我的 VPC（或 VPC SC 外围）的连接才能访问我的无服务器 APP。使用 App Engine，您有防火墙规则，但不能使用私有 IP。

来自无服务器应用程序的请求

在这里，您希望使用私有 IP 访问仅在您的 VPC 上公开的私有资源。使用Cloud Run、Cloud Functions 和App Engine，您可以插入serverless VPC connector 来实现此目的。

编辑 1

由于您的设备防火墙部署在 Google Cloud 上，App Engine 并不是完美的产品。事实上，使用 App Engine，您无法控制入口流量，并且您始终接受来自互联网的流量，即使您在 Google Cloud Network 上已经有一个具有私有 IP 的东西（这里是您的设备）。

这里的解决方案（测试，取决于设备容量）是使用 Cloud NAT 并路由部署设备的子网的所有流量，并使用保留的静态 IP。

然后，在 App Engine 上，您可以set a firewall rule 仅接受来自该保留静态 IP 的流量。

所有这些层都会增加延迟...

【讨论】：

您好@guillaume，感谢您的详细解释。假设我想使用基于设备的防火墙（我的意思是 IaaS 资源），App Engine 可以吗？就像你说的，保护 App Engine 的防火墙规则。我的目标是使用防火墙设备发布 App Engine。你认为这可行吗？
我不清楚流量的来源？来自 App 引擎？从外面？您的防火墙设备在哪里？在 Prem 上？
来自外部的流量和 CGP 上的防火墙设备（第三方工具）。表示外部流量在进入 App Engine 之前会进入您作为 GCP 上的设备管理的第三方防火墙。
我用一个可能的解决方案更新了我的答案。您需要对其进行测试以确保其有效！
谢谢纪尧姆，那会的。我很确定它会起作用，但正如你所说的糟糕的设计。相反，我会审查我的需求..