是否有可能在Google平台上部署一个只能在特定位置访问的应用程序？

Question

我目前正在做一项任务，在谷歌云平台上构建一个高级架构，我对此完全陌生。

这项任务是建立一个新的系统，在这个系统中，所有的学校都有可能进行标准化的考试。其中一项要求是，学生只能在指定的考试中心内使用应用程序(学校考试申请)，这些考试中心大多是学校。

我已经试着查过了，但由于这个问题相当具体，我对我的发现不太确定。我自己的想法是，我必须指出，应用程序只能从批准的“测试中心”访问。

我的主要目标是从这个/这些应用程序中获取学校考试数据。

问题:那么，我的问题是，部署应用程序是否是“正常做法”，而应用程序只能从特定的地理位置访问，或者是否需要混淆/欺骗我？

编辑：作业的第一部分：

一个大州希望有一个新的系统来支持所有公立学校系统的标准化考试。该系统应能处理40,000+学生、2000名教师和50名管理人员。

要求：

• 学生只能在全州的考试中心使用该应用程序，其中大部分将在学校，但不是全部。
• 学生应该能够参加一次考试，结果最终合并到一个单一的位置，代表全州的所有考试成绩(由学校、教师和学生组成)。

Answer 1

你所描述的，听起来就像谷歌产品“身份感知代理”的甜蜜之处.见以下内容：

https://cloud.google.com/iap

这可以为您的应用程序提供一个代理，以验证调用方是否具有正确的身份和上下文。从您的描述来看，上下文似乎是关键的概念。这将允许/拒绝基于上下文的访问，例如：

• 设备安全状态
• IP地址

另请参阅：

• Airbnb如何使用上下文感知访问来确保对其云的访问(Cloud '19)

Answer 2

Google平台提供了一种基于地理位置访问的解决方案，该解决方案与他们的负载平衡器 云甲集成在一起。

有时，您可能需要限制对某些国家的应用程序的访问--无论是为了法规遵从性、版权许可还是其他业务需求。使用Google，您现在可以配置安全策略，根据试图到达应用程序的客户端请求的国家代码创建允许列表或拒绝列表。

如果您的应用程序运行在它的后面，您只需使用国家代码(ISO 3166)到允许来自那个地区的流量使用谷歌的通用表达语言

origin.region_code == 'US'

此外，还可以添加其他属性来标识用于更精细控件的传入请求。

最后，您的所有请求都是登录到堆栈驱动程序，因为Cloud与GCP上的其他IaaS产品集成。

主要的优点是这种控制发生在负载均衡器级别，这意味着您不需要向应用程序添加任何额外的逻辑，因为所有的管理都是在请求访问应用程序之前完成的。

作为技术方面的最后一件事:在您的问题中没有提到，但是如果您正在使用Google，Cloud还没有完全集成。然而，有一个提供了一个解决方法的特性请求。

在回答您的明确问题：那么，如果部署应用程序是“正常做法”，它只能从特定的地理位置访问？

是。上面提到的一个例子--有时由于法规的遵从或您提到的那样，需要限制基于国家级别的访问:您的应用程序只能从“经过批准的测试中心”访问(如果您的基于IP的访问限制比较窄，也可以使用Cloud )。

作为这个线程中关于其他答案的附加说明(为了清楚起见)，身份感知代理验证请求者的身份，而不是验证它的来源。

希望这能帮到你。

Answer 3

如果您正在使用App产品，我建议您查看一下设置访问控制文档1，这是一个很好的实践，以控制谁可以访问您的实例，还可以检查应用程序引擎2的防火墙规则如何工作。

同样，正如在yyyahir的回答中提到的，您可以检查Cloud product3，以拒绝来自特定区域的通信量。

1 2 3.