最佳做法

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

本页介绍有关使用 Identity-Aware Proxy (IAP) 的最佳做法。

缓存

• 请勿在应用的前面使用第三方 CDN。CDN 可能缓存内容并将缓存的页面提供给未经身份验证的用户。
  • 如果您希望通过 CDN 提供大量非敏感资源，请为这些资源使用单独的网域（例如 images.yourapp.com）。然后在该网域中使用 CDN，同时向只能提供给经过身份验证的用户的所有对象添加 Cache-control: private HTTP 响应标头。

保护应用的安全

要妥善保护应用的安全，您必须对 App Engine 标准环境、Compute Engine 和 GKE 应用使用签名标头。

配置防火墙

• 确保向 Compute Engine 或 GKE 发出的所有请求均通过负载平衡器进行路由：
  • 配置防火墙规则以支持健康检查，并确保发往虚拟机 (VM) 的所有流量均来自 Google 前端 (GFE) IP。
  • 若想获得更高级别的安全保护，请检查应用中各请求的来源 IP，以确保这些请求来自防火墙规则允许的相同 IP 范围。
• 在 Google Cloud 控制台中，如果防火墙规则设置似乎不正确，IAP 将显示错误或警告。IAP Google Cloud 控制台不会检测每个服务使用的是哪台虚拟机，因此防火墙分析不会包含高级功能，例如非默认网络和防火墙规则标记。如需绕过此分析，请通过 gcloud compute backend-services update 命令启用 IAP。