Я хочу применить правила брандмауэра, установленные в разделе «Сеть» Консоль разработчика Google Cloud Platform в мои экземпляры App Engine, настроенные в разделе «Compute -> App Engine».
В настоящее время у меня есть только 2 правила для сети «по умолчанию»: одно для внутреннего использования (10.240.0.0/16) и одно для внешнего (18.0.0.0/8), причем последнее разрешает только определенные TCP-порты (22,80,443). . Однако, когда я запускаю свое приложение (которое по умолчанию размещено в домене * .appspot.com), я могу успешно получить к нему доступ из любой точки мира, а не только из внешней сети, определенной вторым правилом.
Мой вопрос: применяются ли правила брандмауэра только к Compute Engine и просто игнорируются App Engine (несмотря на то, что они, по-видимому, определены для всего проекта: Networks and firewalls are global resources and are available to all resources in a project.), или мне нужно настроить что-то по-другому для достижения этой цели?
Для любопытных меня интересует брандмауэр пространства ядра (настраиваемый через консоль разработчика), а не, например, фильтрация по IP в моем коде приложения (что тоже можно сделать, но, на мой взгляд, обеспечивает меньшую безопасность). Фильтрация по IP-адресу предназначена только для повышения безопасности, в то время как фактическая аутентификация по-прежнему будет выполняться через стандартные протоколы.
Эта функция, похоже, доступна для Управляемые ВМ только потому, что они явно используют Compute Engine и к нему относится сетевой раздел.