Мы пытаемся развернуть приложение на основе микросервисов с использованием движка приложений Google (в основном гибких экземпляров), имея шлюз для службы по умолчанию и несколько микросервисов, обеспечивающих бизнес-логику. Вы можете думать об этом как о:
foo.appspot.com
service1.foo.appspot.com
service2.foo.appspot.com
как это делается, здесь < / а>
Я хотел бы, чтобы сервисы были доступны только со шлюза (и, возможно, с нескольких других машин), а не извне, но я не мог заставить его работать.
Мне удалось настроить все службы в данной сети VPC, добавив правило «Запретить весь трафик», входящий в эту сеть, за исключением шлюза, который помечен и разрешает все. (как описано в этом ответе здесь)
Это работает во время выполнения, однако при этом мы не можем развернуть с помощью gcloud app deploy
. (Зависает на шаге "Обновление сервиса"). Я пытался разрешить порт 22, но похоже, что это не тот, который используется. Я также пытался заблокировать только порты 80 и 443, но теперь сервисы App Engine 1 и Service 2 снова доступны извне.
Как мне настроить брандмауэр, чтобы его можно было развернуть в App Engine, и ограничить доступ к службам только для шлюза? Возможно ли это даже с использованием брандмауэра VPC, или мне следует использовать экземпляр KCE или избегать использования инфраструктуры GCP и подписывать / проверять запросы самостоятельно?
gcloud app deploy
из Google Cloud Shell? - person Nahuel Varela   schedule 31.01.2019