使用云甲配合云跑并避免旁路
引用https://cloud.google.com/load-balancing/docs/https/setting-up-https-serverless#enableing
虽然Google Cloud Armor可以配置为具有云运行(完全管理)、云功能和App Engine后端的后端服务,但这种功能有一定的限制,尤其是云运行(完全管理)和App Engine。有权访问Google Cloud分配给这些服务的默认URL的用户可以绕过负载均衡器,直接访问服务URL,从而绕过任何配置的Google Cloud Armor安全策略。
避免攻击者以云运行URL(*.Run.app)为目标绕过云盔甲的最佳方法是什么?
通常,我会让云运行只能由服务帐户调用,但云负载平衡器不能使用服务帐户调用云运行。另一种方法是配置云负载均衡器使用标头中的令牌,并将在云运行中运行的应用程序配置为只接受具有正确标头/令牌的调用,但我不希望在应用程序中这样做。
共有1个答案
您应该将服务的入口限制为“内部和负载平衡”,以禁用来自默认域的访问,只允许来自云盔甲的流量:
gcloud beta run services update SERVICE --ingress internal-and-cloud-load-balancing
-
我正在使用最新版本的spring boot和spring cloud config。当我用应用程序启动应用程序时。属性,它工作正常。但是,当我从引导开始时。yml文件,它从Spring cloud下载所有道具,并加载应用程序。类路径中的属性。Spring的云就是这样运作的吗?是否可以将Spring云配置客户端配置为仅从远程云配置而不是从应用程序读取属性。类路径中的属性。 我正在使用, --Spri
-
web上的一些资源指出了GKE云运行的存在。例如,这段谷歌codelabs,这段来自谷歌的YouTube视频和这段LinkedIn培训视频。
-
我正在 pyspark 中对 (x,y) 点的 RDD 实现范围查询。我将 xy 空间划分为一个 16*16 的网格(256 个单元格),并将 RDD 中的每个点分配给其中一个单元格。gridMappedRDD 是一个 PairRDD: 我将这个RDD分区为256个分区,使用: 范围查询是一个矩形框。我为我的网格对象准备了一个方法,它可以返回与查询范围重叠的单元格id列表。所以,我用这个作为过滤器
-
让我们看一下使用两种不同的方式去计算单词的个数,第一种方式使用 reduceByKey 另外一种方式使用 groupByKey: val words = Array("one", "two", "two", "three", "three", "three") val wordPairsRDD = sc.parallelize(words).map(word => (word, 1)) val
-
null本身不是对象,也不是Objcet的实例 问题: null代表不确定的对象, 是一个很模糊的概念, 容易产生二义性 Map.get(key)若返回value值为null,其代表的含义可能是该键指向的value值是null,亦或者该键在map中并不存在 优点: 从内存消耗和效率方面,null更加廉价 优化: Optional com.google.common.base.Optional Op
-
问题内容: 我正在尝试在两个数据帧之间合并。每个数据帧都有两个索引级别(日期,客户)。在列中,例如,某些列在两者之间匹配(货币,日期)。 按索引合并这些内容的最佳方法是什么,但不要采用两个副本的货币和日期。 每个数据框都是90列,所以我试图避免用手将所有内容写出来。 如果我做: 我懂了 谢谢!… 问题答案: 您可以算出仅在一个DataFrame中的列,并使用它来选择合并中列的子集。 然后执行合并(