Google App Engine 防火墙和内部访问和错误 403

Question

我们有 2 个应用引擎应用（弹性和标准）在单独的项目上运行，我们希望项目 A 使用 https 到 xxx.appspot.com URL 请求项目 B。

我们对这两个项目的防火墙拒绝所有 IP (*) 和列入白名单的 App Engine 内部地址（10.1.0.41、0.1.0.40、10.0.0.1 和 0.1.0.30），如 doc 中所述。

但我们收到“403 错误禁止访问”（禁用防火墙后消失）。

此post 与我的相似，但回复对我没有帮助。

还有什么我可以做的吗？ 有人让这个工作吗？

提前谢谢你。

Answer 1

您可能已经知道，GCP 项目代表了组织内的信任边界。因此，App Engine 服务之间的项目间通信将需要公共 IP 通信或使用Shared VPC，这允许在来自不同项目的网络之间进行连接。不同项目的 App Engine 服务之间不应存在内部通信。因此，在这种情况下，将 App Engine 内部 IP 地址列入白名单可能没有用处。

关于使用公共 App Engine IP 地址，如this document 所示。 App Engine 在 Google 负载平衡器的动态公共 IP 地址上托管服务。因此，IP 地址可以随时更改，并且无法提供任何静态 IP。对于出站服务，使用大量 IP 地址，您可以按照this document 中的说明获取这些地址