App Engine 和 Compute Engine 实例之间是不是存在等效的 AWS“安全组”？

Posted 2023-02-24

【中文标题】App Engine 和 Compute Engine 实例之间是不是存在等效的 AWS“安全组”？

【英文标题】：Is there an equivalent of AWS "security groups" between App Engine and Compute Engine instances?App Engine 和 Compute Engine 实例之间是否存在等效的 AWS“安全组”？

【发布时间】：2014-07-18 20:09:10

【问题描述】：

TLDR; 关于这个问题有任何更新吗？ Google App Engine communicate with Compute Engine over internal network

--

是否可以在同一 Cloud Project 中的 App Engine 和 Compute Engine 实例之间启用 HTTP 流量？

明显拒绝来自其他来源的所有 HTTP 流量。

在 AWS EC2/RDS/Beanstalk 之间，这可以通过“安全组”来实现。

【参考方案1】：

我认为您目前能做的最好的事情是托管虚拟机（https://developers.google.com/cloud/managed-vms，现在可以抢先体验）。它本质上是在应用引擎项目中运行自定义代码的托管虚拟机。我没有检查托管虚拟机是否能够与同一网络中的其他 gce 虚拟机一起运行——如果他们这样做了，则可以只连接到其他实例的内部地址。似乎没有定义网络的配置选项，所以我猜测他们将无法像那样在网络上看到对方。

但作为对一般问题的回答，我认为目前没有任何方法可以将应用引擎运行时引用为 gce 网络 ACL 中的源。

【讨论】：

舒尔，我们在受信任的测试人员中，这是我们项目的“下一步”^^ 在这种情况下没有问题，因为 gae 和 gce 在“localhost”上！

【参考方案2】：

截至目前2016年作为谷歌云已经推出谷歌云柔性环境appengine/docs/flexible/。所以是的，现在有可能，因为现在app engine 和compute engine 都存在于同一个网络中，因此使用应用程序引擎您可以访问compute engine by using their internal Ip，如果您只想删除计算引擎的所有外部防火墙规则，请记住删除所有外部防火墙规则允许来自app engine 的访问。

【参考方案3】：

无法在 GCE 中引用 App Engine 资源。如果您尝试仅从 App Engine 应用程序访问 GCE，那么您可以在 GCE 中定义 ACL 以仅允许来自 AppEngine 外部 IP 的流量。