我想使用 GCP App Engine 實作以下設定:
- 服務 A - 充當 API 網關,執行身份驗證和授權
- 服務 B、C 和 D - 充當后端微服務。他們沒有暴露在互聯網上。該微服務的源代碼不包含任何與授權或身份驗證相關的邏輯。他們接受請求,知道請求來自其他受信任的微服務。
如何在 App Engine 中實作這樣的設定?
uj5u.com熱心網友回復:
該原理是可能的,但不是完全相同的術語。
首先,您必須在 AppEngine 上激活 IAP。然后,您必須在服務 A 中定義一個自定義服務帳戶。然后,僅授權該服務帳戶通過 IAM 授權使用 IAP 訪問服務 B、C 和 D(在您的服務帳戶上授予受 IAP 保護的 Web 用戶角色)。
像這樣,只有服務 A 可以訪問服務 B、C 和 D。身份驗證機制由 App Engine 環境執行。
你也可以想象一些更接近你想要的東西。您可以將服務 B、C 和 D 上的入口設定為 internal only。像這樣,只允許來自您專案的 VPC 的請求。您的服務是內部的。
但是,您的服務 A 不在您專案的 VPC 中,您必須通過無服務器 VPC 連接器將 Google Cloud 無服務器世界與您的VPC 連接起來(每月最低費用為 17 美元)
但是,您的服務仍然公開暴露在互聯網上。這不是問題,因為未經身份驗證和未經授權(基于身份驗證或網路來源)的流量被 GFE(Google 前端)過濾并自動丟棄(您不會為不良流量付費)
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/433869.html