如何解决Cloud Run 静态出站 IP 地址不通过 Google App Engine 防火墙
我有一个在 Google App Engine (flex) 上运行的 python (flask) 应用程序;应用程序受 GAE 防火墙保护,其中:
- 默认规则是“拒绝”所有入口
- 有一个允许流量来自的 IP 地址白名单。
我在 Cloud Run(完全托管)上部署了一些微服务:
- 接收来自 GAE 应用的请求(例如重型任务)
- 将他们处理的任何结果作为 http 请求发送回 GAE 应用中的处理程序/端点
因此,GAE 应用程序是与客户端交互的主要点和繁重任务的调度程序,而这些任务的处理由微服务执行。我已经设置了 Cloud Run 托管服务的 static outbound IP address,该服务经过验证可以正常工作,并且流量按照文档中的要求通过 NAT 网关进行路由。相应的 NAT IP 地址在防火墙白名单中。
问题是防火墙仍然不让 Cloud Run >>> GAE 应用程序请求返回 403 状态(当然,如果我将默认防火墙规则更改为“允许”,流量会通过)。如果我在 GCE VM 上的 docker 容器中使用静态 IP 地址(如 this)托管相同的微服务,则一切正常。这让我假设,虽然 Cloud Run 出站流量确实是通过静态 IP 地址路由的,但当流量流向 GCP 外部的收件人时,当我尝试 ping 内部(项目方面)资产时,它仍然通过一些动态选择的 IP(即静态 IP 解决方案根本不起作用)。不幸的是,日志没有显示 403-ed 尝试,所以我无法看到这些请求似乎来自哪些 IP 地址(从 GAE 的角度来看)。
我非常感谢您提供如何解决此问题的想法,因为它大大降低了为 Cloud Run 提供静态出站 IP 地址的绝妙想法的价值。
解决方法
首先感谢你们的帮助和建议,他们非常有帮助。我在 Google 的帮助下找到了解决方案:
- 当 Cloud Run 微服务和 GAE 应用托管在同一个项目中时,流量仍然通过内部渠道路由,并且似乎来自 IP 地址 0.0.0.0,只要考虑,该地址可以列入白名单(因此它可以工作)该地址包含 GCP 资产,这些资产也是其他项目的一部分(据我所知)
- 更强大的解决方案似乎是设置一个面向外部的负载平衡器,如here 所述,并将其放在 GAE 应用程序的前面;在这种情况下,Cloud Run 确实会按照文档中的说明一致地使用其 static outbound IP address
您说的正确,当数据包在内部路由到 GCP 时,静态 IP 不受尊重。
我认为 this 正是您想要的。您必须在防火墙中允许其中提到的 IP 之一(现在不确定是哪个)。
,正如您和@Ema 所提到的,这是一种预期行为,因为从 Cloud Run 到 App Engine 的流量是实习的。
当您使用 Cloud Nat send all traffic 时,它确实会发生。如果您创建一个容器并进行 ping 操作,让我们说 www.github.com
。你会发现流量通过你设置的IP。另一方面,如果您 ping 到 www.google.com
,考虑到流量是实习生的,并且要联系的站点位于同一基础架构中,该请求甚至不会通过公共互联网。
另外,请记住,Static outbound IP address 仍处于 Beta 阶段,不建议在生产环境中使用 Beta 功能/产品。
正如您提到的以及在 Allowing requests from your services 中所述:
为 IP 0.0.0.0 创建规则将应用于所有启用了 Private Google Access 的 Compute Engine 实例,而不仅仅是您拥有的实例。同样,允许来自 0.1.0.40 或 10.0.0.1 的请求将允许任何 App Engine 应用向您的应用发出网址提取请求。
您可能会对这些问题感兴趣:
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。