如何限制仅访问 Internet 网络端点组？

发布于 2025-01-18 12:03:33 字数 481 浏览 7 评论 0原文

我有两个项目A和B。

我正在项目B中运行我的未来工作量，该项目是GLB背后的Nginx代理。

为了使我从项目A发送请求到项目B，我使用的是一个指向项目B的GLB的Internet网络终点组（这是迁移计划的一部分通过INEG项目）。

现在，在Project BI上，有一项安全策略附加到后端服务上，该策略拒绝所有人都期望有一些需要达到我们服务的白名会的IP。

此时，除非我将项目B打开到Internet，否则Project A的GLB后端网络终点组的请求将被阻止。

问题是Google的IP范围进行了互联网终点组的使用，如何在项目B锁定项目中允许它可以从项目A访问？

PS：我已经在项目B中的NGINX启用了Trueclient-IP，但这太多的公共IP很难弄清楚它，并且不确定我是否可以在安全策略（Cloud Armor）中捕获针对它的规则。谢谢！

尝试仅允许项目的云NAT IP考虑出口将来自NAT，但是除非向Internet开放，否则它行不通

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

揪着可爱 2025-01-25 12:03:33

通过检查文档可以轻松做到这一点。对请求进行身份验证提到了以下内容：

允许外部 HTTP(S) 负载均衡器向您的外部后端发送请求：
使用 dig 或 nslookup 等工具查询 _cloud-eoips.googleusercontent.com DNS TXT 记录。

因此，您可以运行：

dig _cloud-eoips.googleusercontent.com txt @8.8.8.8

#or

nslookup -q=TXT _cloud-eoips.googleusercontent.com 8.8.8.8

请记住，您将获得 CIDR 块，而不是负载均衡器的特定 IP，因为您无法保留静态 IP。同样无法使用 Cloud NAT，因此我建议首先了解该服务的用途

This can easily by checking the docs. The Authenticating requests mention the following:

To allow an external HTTP(S) load balancer to send requests to your external backend:
Query the _cloud-eoips.googleusercontent.com DNS TXT record using a tool like dig or nslookup.

So you can run:

dig _cloud-eoips.googleusercontent.com txt @8.8.8.8

#or

nslookup -q=TXT _cloud-eoips.googleusercontent.com 8.8.8.8

Keep in mind you will get CIDR block and not specific IP for your LB since you cannot reserve an static IP. As well Cloud NAT cannot be used so I suggest to understand the purpouse of that service first

回复收藏 0 原文

~没有更多了~