Un firewall determina quale traffico di rete è consentito e quale viene rifiutato. I firewall possono essere applicati al traffico in entrata, in uscita o a entrambi. Per App Engine, il firewall App Engine si applica solo al traffico in entrata indirizzato alla tua app o al tuo servizio.
Panoramica
Il firewall di App Engine viene controllato per tutti i tipi di richieste alla tua app, tra cui:
- Traffico web normale indirizzato all'indirizzo
appspot.comdell'app o al dominio personalizzato. - Richieste provenienti da Cloud Load Balancing.
- Traffico da origini interne come macchine virtuali (VM) Compute Engine e Cloud Tasks.
Nei casi in cui la tua app è configurata per utilizzare altri servizi o prodotti di rete, potresti dover creare regole per controllare il traffico in entrata sia nel firewall di App Engine sia nelle impostazioni di sicurezza o del firewall di altri prodotti. Questa guida illustra il comportamento generale del firewall App Engine e i dettagli relativi a questi casi d'uso speciali.
Regole firewall di App Engine
Puoi configurare le regole firewall di App Engine utilizzando la console Google Cloud , Google Cloud CLI o l'API Admin specificando regole che consentono o bloccano intervalli IP specifici.
Per impostazione predefinita, a qualsiasi richiesta che non corrisponde a una regola viene consentito l'accesso alla tua
app. Se devi bloccare tutte le richieste che non corrispondono a una regola specifica
(escluse le richieste dei servizi interni consentite per impostazione predefinita), modifica l'azione della regola
default in deny.
In determinate circostanze, l'ambiente flessibile App Engine può configurare automaticamente le regole firewall a livello di Virtual Private Cloud (VPC), ma tieni presente che il firewall VPC non interagisce con il firewall App Engine.
Consentire le richieste in entrata dai tuoi servizi
La tabella seguente elenca gli intervalli IP e il comportamento del firewall di App Engine per i servizi comuni. L'intervallo IP che utilizzi dipende dal fatto che le richieste in entrata vengano inviate a una versione eseguita nell'ambiente standard di App Engine o nell'ambiente flessibile.
| Servizio | Intervallo IP per le richieste inviate all'ambiente standard di App Engine | Intervallo IP per le richieste inviate all'ambiente flessibile di App Engine |
|---|---|---|
| Cron di App Engine | 0.1.0.1/32 o 0.1.0.2/32, ignora la regola firewall predefinita se impostata su rifiuta | 0.1.0.1/32 o 0.1.0.2/32 |
| Istanze Compute Engine con indirizzi IP esterni | Indirizzo IP esterno dell'istanza | Indirizzo IP esterno dell'istanza |
| Istanze Compute Engine senza un indirizzo IP esterno | 0.0.0.0/32 | 0.0.0.0/32 |
| Istanze Compute Engine senza un indirizzo IP esterno che utilizzano Cloud NAT per le connessioni in uscita | 0.0.0.0/32 | 0.0.0.0/32 |
| Job Cloud Scheduler che utilizzano attività HTTP di App Engine e App Engine in Cloud Tasks (incluse le code delle attività App Engine) | 0.1.0.2/32, ignora la regola firewall predefinita se impostata su rifiuta | 0.1.0.2/32 |
| Cloud Storage o Blobstore | 0.1.0.30/32 | Non applicabile |
| Recupero URL | 0.1.0.40/32 | 0.1.0.40/32 |
| Richieste di riscaldamento | 0.1.0.3/32, ignora la regola firewall predefinita se impostata su rifiuta | Non applicabile |
A seconda del tuo caso d'uso, queste istruzioni aggiuntive potrebbero essere applicate durante la configurazione delle regole firewall di App Engine:
- Le richieste dei cron job di App Engine appena creati o aggiornati inviate all'ambiente standard o flessibile di App Engine provengono da
0.1.0.2. Per i cron job creati con versioni precedenti di gcloud (precedenti alla 326.0.0), le richieste cron provengono da0.1.0.1. Per scoprire di più su come identificare le richieste del servizio Cron di App Engine, consulta Convalida delle richieste cron. - Se la tua app interagisce con Cloud Load Balancing o è connessa a una rete VPC, consulta la sezione Interazione con altri prodotti o servizi di seguito.
Esempio di ambiente standard di App Engine
L'app in esecuzione nell'ambiente standard ha due servizi: frontend_service
e backend_service. frontend_service utilizza Cloud Tasks con
App Engine HTTP per inviare messaggi a backend_service. Poiché la regola firewall default consente le richieste Cloud Tasks anche se configurata per deny, non è necessario creare una regola firewall per Cloud Tasks.
Tuttavia, se volessi limitare l'accesso alla tua app e bloccare esplicitamente le richieste di Cloud Tasks, dovresti creare una regola firewall deny per l'intervallo IP 0.1.0.2/32.
Esempio di ambiente flessibile di App Engine
La tua app in esecuzione nell'ambiente flessibile ha due servizi:
frontend_service e backend_service e ha un firewall configurato per negare
il traffico per impostazione predefinita. frontend_service utilizza Cloud Tasks con
App Engine HTTP per inviare messaggi a backend_service. Poiché la regola firewall default
nega le richieste Cloud Tasks, devi creare una regola firewall
allow per 0.1.0.2/32.
Interazione con altri prodotti o servizi
Cloud Load Balancing
Se utilizzi Cloud Load Balancing e i NEG serverless, tieni presente quanto segue:
- Il bilanciatore del carico non interferisce né interagisce con le regole firewall di App Engine. Le regole firewall di App Engine non vengono valutate finché un NEG serverless non indirizza il traffico ad App Engine.
Ti consigliamo di utilizzare i controlli di ingresso in modo che la tua app riceva solo le richieste inviate dal bilanciamento del carico (e dal VPC, se lo utilizzi). In caso contrario, gli utenti possono utilizzare l'URL App Engine della tua app per bypassare il bilanciatore del carico, i criteri di sicurezza di Cloud Armor, i certificati SSL e le chiavi private che vengono passati tramite il bilanciatore del carico.
Se i controlli in entrata sono impostati per ricevere traffico
internal-and-cloud-load-balancing, lascia invariata la regola firewall predefinita di App Engine (allow) e utilizza le regole WAF (Web Application Firewall) di Google Cloud Armor.
Firewall VPC
I firewall di App Engine sono configurati e applicati indipendentemente dai firewall basati su VPC. Le regole firewall VPC si applicano alle risorse in esecuzione nella rete VPC, come le macchine virtuali Compute Engine, mentre le regole firewall di App Engine si applicano alle richieste in entrata alla tua app o al tuo servizio.
Se nel tuo ambiente di rete sono configurate regole firewall basate su VPC (ad esempio regole firewall VPC o policy del firewall gerarchiche), sia i firewall a livello di VPC sia i firewall App Engine devono consentire l'intervallo IP di una richiesta in entrata affinché la tua app App Engine la riceva.
Per i firewall a livello di VPC, i criteri firewall gerarchici vengono valutati prima delle regole firewall VPC e seguono una sequenza durante la valutazione del firewall VPC. Le richieste consentite sia dal firewall a livello di VPC sia dal firewall App Engine vengono ricevute dall'app o dal servizio App Engine. Se il firewall VPC nega le richieste dallo stesso intervallo IP consentito dal firewall App Engine, l'accesso alla tua app App Engine non è consentito.
VPC condiviso
L'ambiente flessibile App Engine può creare firewall a seconda che la tua app sia configurata per utilizzare una rete VPC tramite il VPC condiviso.
Se la tua app flessibile di App Engine utilizza un VPC condiviso, l'ambiente flessibile di App Engine non crea automaticamente regole firewall. Se devi controllare l'accesso e consentire il traffico sulla rete VPC, puoi creare regole firewall sulla rete VPC condiviso.
Inoltre, per consentire le richieste da un'origine di traffico, devi consentire lo stesso intervallo IP nel firewall VPC e nel firewall App Engine. Senza specificare l'intervallo IP in entrambi i punti (firewall VPC e firewall App Engine), a questo intervallo IP non sarà consentito l'accesso alla tua app o al tuo servizio App Engine.
Se la tua app dell'ambiente flessibile App Engine non è configurata per utilizzare il VPC condiviso, l'ambiente flessibile App Engine crea fino a due regole firewall VPC nascoste, a seconda che la tua app utilizzi controlli di integrità suddivisi (impostazione predefinita) o controlli di integrità legacy. Queste regole firewall nascoste consentono di gestire il traffico e il traffico di controllo di integrità nell'ambiente flessibile:
- Nome rete: la rete specificata in
app.yamlo la rete predefinita se non è configurata alcuna rete. - Tag target: il
instance_tagsspecificato nel fileapp.yaml. Per impostazione predefinita, se non vengono forniti tag di destinazione, l'ambiente flessibile di App Engine genera un tag univoco che segue il formatoaef-INSTANCE_ID. Questo tag influisce solo sulle istanze in quella versione flessibile specifica e la regola firewall ha come target questo tag. - Direzione del traffico: In entrata
- Azione in caso di corrispondenza: Consenti
- Intervalli IP di origine:
35.191.0.0/16e130.211.0.0/22 - Protocolli e porte:
- tcp:
8443(per i controlli di integrità legacy) o10402(per i controlli di integrità suddivisi)
- tcp:
- Priorità:
1000
Impedire l'accesso ai contenuti memorizzati nella cache
Il firewall di App Engine si trova dietro i meccanismi che memorizzano nella cache i contenuti, ad esempio proxy web e browser. Quando i contenuti vengono memorizzati nella cache, vengono pubblicati pubblicamente dall'URL specifico fino alla scadenza e sono accessibili anche dopo la creazione di nuove regole firewall.
Per impedire che i tuoi contenuti vengano memorizzati nella cache, utilizza le intestazioni della risposta HTTP Cache-Control e Expires. Per ulteriori informazioni su queste intestazioni HTTP, incluso
come controllare la memorizzazione nella cache, vedi Evitare la memorizzazione nella cache.
Passaggi successivi
Segui le istruzioni riportate in Creazione di firewall per scoprire come configurare le regole firewall di App Engine.