是否可以在GCP中使用具有防火墙的完全托管服务(Cloud Run或App Engine)?

问题描述 投票:0回答:1

问题。我正在寻找一种敏捷方式将Docker容器(存储在GCR.IO上)拍摄到GCP上的托管服务:

  • 一个带有私有数据(例如Cloud SQL后端)的docker容器gcr.io/project/helloworld-无法面对现实世界。
  • 我想将其公开给一堆IP:说[“ 1.2.3.4”,“ 2.3.4.0/24”]。

我的[[理想平台将是Cloud Run,但GAE也会运行。

我想以敏捷的方式进行开发(例如使用2-3行代码进行部署),是否可以秘密地运行我的服务,而且超级容易?我们不是在谈论一个巨大的生产项目,我们是在谈论并编写您想通过互联网安全地与一些朋友共享的POC,以确保世界其他地方获得403。

到目前为止我尝试过的。

唯一容易工作的是具有Docker友好型OS(例如cos)的GCE虚拟机,我可以在其中设置防火墙规则。这可行,但是在一次性VM上是一个la脚的docker应用。机器将永远运行并在重新启动时死亡,除非我将其稳定在cron / startup上。看起来我在做别人的工作。

到目前为止我尝试过的所有其他方法都失败了:

  • Cloud Run
。令人惊讶的是,但无法在其上设置防火墙规则,或者Cloud Director,..似乎仅适用于设置困难的IAP。
  • GAE
  • 。可使用多个IP,并且不能分离公共IP或对其进行防火墙。我设法获得了IP过滤在应用程序内,但似乎有点冒险。我[不想]相信我的编码技能:)
  • Cloud Armor
  • 。仅支持我没有的HTTPS负载均衡器。我也没有要指出的MIG。我想要简单。
  • Traffic Director
  • ,并且需要HTTP L7平衡器。但我在单个Pod上有一个Docker容器。为什么需要LB?GKE。实际上,这似乎可行:[1],但是没有完全管理(我需要创建集群,pod等)。
  • 这是产品缺陷还是我看错了产品?实现我想要的最简单的方法是什么?

    [1] how do I add a firewall rule to a gke service?

  • google-app-engine google-cloud-platform cloud google-cloud-run google-cloud-armor
    1个回答
    0
    投票
    请将您的问题限制为一项服务。并非每个人都是所有Google Cloud服务的专家。如果它们是单独的问题,则您将有更好的机会为每项服务提供良好的答案。

    总之,如果您要使用Google Cloud Security组来控制基于IP的访问,则需要使用在Compute Engine上运行的服务,因为安全组是VPC功能集的一部分。 App Engine Standard和Cloud Run不在项目的VPC中运行。这样就可以使用App Engine Flex,Compute Engine和Kubernetes。

    我将更改策略并使用通过身份验证管理的Google Cloud Run。访问由Google Cloud IAM通过OAuth令牌控制。

    Cloud Run Authentication Overview

    © www.soinside.com 2019 - 2024. All rights reserved.