我能否确保一个计算引擎实例只允许云运行和我的个人主ip (用于测试)？

Question

我们希望锁定一些计算引擎VMS，这样唯一能够访问它的是

• 云运行实例(理想情况下只有我们的实例)
• 几个家庭ip地址
• 办公室的几个NAT ips

这个是可能的吗？

Answer 1

为了限制从少量IP (您的个人IP或办公室的nat IP)访问计算机引擎，您可以使用防火墙规则。

为了只允许云运行访问计算机引擎，我建议您这样做

• 用于计算引擎的创建专用VPC
• 在这个新的VPC中部署计算引擎。
• 创建一个访问新VPC的无服务器VPC连接器
• 使用这个无服务器的VPC连接器部署云运行服务
• 只通过私有IP从云运行服务访问计算引擎。

通常，如果您正确设置了以前的防火墙规则，如果您试图从由公共IP运行的云中访问计算机引擎，则应该拒绝访问。

Answer 2

云运行不支持基于IP的防火墙。

但是，您可以在应用程序中自己实现它，方法是查看X-Forwarded-For头，它将包含客户机的原始IP地址。

如果希望限制对其他云运行应用程序的访问，请不要使用选中的“允许身份验证”框部署应用程序。这样，您的应用程序将需要身份令牌认证，这是在https://cloud.google.com/run/docs/authenticating/service-to-service中描述的。为此，您需要使用自定义服务帐户部署其他云运行服务，然后需要为该服务帐户设置权限，以便能够访问所限制的服务。

编辑：似乎把这个问题误解为“如何限制IP运行的对云的访问，例如几个IP地址或GCE实例”。纪尧姆的回答是正确的。