我正在尝试确定适当的服务,以仅允许特定 IP 范围向 API 网关和云存储发出请求。这是因为我们只想接受来自 cloudflare 的请求。我们发现了诸如 Cloud NAT 和 VPC 防火墙规则之类的服务,但很难判断它们是否适用于 API 网关和云存储。而且由于我们的预算很少,我们不想启用和禁用所有服务。理想情况下,我们希望所有 ou 服务也只接受来自同一 IP 范围的请求。有没有可以实现这一点的谷歌云服务?
答案1
对于云存储,功能要求目前已提供此功能,可通过 IP 地址限制对 Google Cloud Storage 的访问。由于此功能尚未确认或实施,因此可以使用以下方法解决此问题:VPC 服务控制你可以通过这个来关注文档。
另一个解决方法是设置一个HTTPS 负载均衡器使用你的存储桶作为后端,并且云装甲政策这将过滤尝试连接到 Cloud Storage 的入口 IP 地址。这在另一篇邮政。
不幸的是,API Gateway 不支持入口过滤器例如Internal或Internal and Cloud Load Balancing入口限制设置。这是 API 网关的行为,因为它不是 Cloud Run 服务所在的 VPC 网络的一部分。您应该能够将 API 网关用作负载均衡器的后端,但您将无法通过其传入 IP 过滤来自负载均衡器的入口流量,因为入口限制设置为All允许所有请求,包括直接从互联网向 run.app URL 发出的请求。还通过此请求提出了一项功能请求关联。您可以探索的替代方案Identity Aware Proxy for Cloud Run如下文档。
要跟踪提到的功能请求的状态/进度,请按照相应的功能请求链接并单击+1和star按钮以获取有关其更新的通知。