Google App Engine通過內部網絡與計算引擎進行通信

Question

我們正在谷歌雲中構建應用程序。我們使用App Engine作爲前端，計算引擎作爲後端。在這些計算引擎實例上，我正在運行一個接受某些「命令」消息的TCP服務器。 Compute Engine實例也通過防火牆和負載均衡器連接到Internet，以便傳入https流量。我想將TCP服務器綁定到本地IP地址，並且只允許App Engine實例（在同一個項目中）通過socket api連接到TCP「命令」端口。

現在我們限制Google Ip's only

的Compute Engine documentation入站連接最高審計機關如下：

每個實例是一個單一的網絡中的一員。網絡執行的功能與路由器在家庭網絡中執行的功能相同：它描述網絡範圍和網關IP地址，處理實例之間的通信，並充當網絡外實例和呼叫者之間的網關。網絡受限於一個項目;它不能跨項目。即使在同一個項目中，不同網絡中的實例之間的任何通信都必須通過外部IP地址。在API中，網絡由網絡對象表示。

是否有可能建立一個安全的通信設置？也許使用App Engine後端實例？

Answer 1

目前沒有辦法在GCE和GAE之間建立專用網絡。限制谷歌的IP範圍是不安全的，因爲GAE或GCE上的任何人都可以連接到您的服務器。因此，我建議您在TCP服務器上驗證傳入連接，以驗證連接是否來自您的GAE實例。

Answer 2

在App Engine靈活的情況下，您可以設置instance_tags並使用它創建具有適當標記規則的防火牆規則。有關更多信息，請參閱https://cloud.google.com/appengine/docs/flexible/custom-runtimes/configuring-your-app-with-app-yaml。

Answer 3

截至目前由於谷歌雲已經推出谷歌雲靈活環境appengine/docs/flexible/。因此，現在可以這樣做了，因爲現在應用引擎和計算引擎都存在於同一個網絡中，因此使用應用引擎可以使用其內部Ip訪問計算引擎，還記得要刪除計算引擎的所有外部防火牆規則想要允許從應用引擎訪問。