在GCP云运行中使用Cloudflare认证的原产地拉

Question

我想把Cloudflare放在云运行的API前面。我想确保我的云运行应用程序只接受来自Cloudflare的连接(以避免绕过Cloudflare中的DDoS缓解+速率限制)。

有没有办法在云运行中使用Cloudflare的认证原点拉？

实现同样效果的其他解决方案也是受欢迎的，但关键是我不希望来自非Cloudflare源的流量触发云运行调用(否则DDoS会导致计费高峰)。因此，过滤云运行应用程序中的通信量为时已晚，已经发生了调用。

似乎有一种方法可以在HTTPS负载均衡器+云装甲上添加来执行IP白名单，并且只允许来自Cloudflare的IPs...but的请求，我宁愿不开始添加其他两个服务，添加$$就是为了实现这一点。

Answer 1

Google支持两种授权机制:未经身份验证的(任何人/公众)和OAuth客户端ID。Cloudflare的Origin使用TLS证书，这意味着云运行应用程序需要验证证书，因为Google的Fron倾向不支持这一点。这将无法实现防止云运行的未经授权调用的目标。

总之，除非您的服务使用OAuth客户端In进行授权，否则除了限制实例的最大数量之外，没有任何方法可以防止云运行服务调用。如果您配置了未经身份验证的访问，任何调用您的服务端点的人都将成功地调用您的服务或执行重叠的请求。