Какие диапазоны исходных IP-адресов добавить в облачный брандмауэр Google, чтобы разрешить доступ только из домена моего API

В настоящее время у меня запущен экземпляр Google Cloud Redis, который разрешает все подключения (диапазон IP-адресов 0.0.0.0/0), которые я хотел бы защитить.

У меня есть API, размещенный на Heroku, который перенаправляется через домен Google. Что я хочу знать, так это то, какой IP-адрес я добавляю в поле Source Ip ranges на вкладке конфигурации облачного брандмауэра Google, чтобы разрешать подключения только из моего API.

Есть несколько вещей, которые меня смущают:

  • Мне нужно указать диапазон IP-адресов, но я буду подключаться к нему только с одного IP-адреса (домен, указывающий на мой API).
  • Какой IP предоставить? IP-адрес моего домена, который указывает на мой API, или IP-адрес самого экземпляра API, как на героку?

Любая помощь будет здорово! Спасибо


google-cloud-platform devops heroku redis google-domains
person Zenith    schedule 01.08.2020    source источник
comment
Можете ли вы запустить свое приложение Heroku?   -  person guillaume blaquiere    schedule 01.08.2020

Ответы (1)


arrow_upward
2
arrow_downward

Сам Heroku размещен на AWS, поэтому он использует подмножество своего диапазона EC2.

Глядя на в этом ответе вы можете использовать

heroku regions --json

чтобы найти используемые в настоящее время диапазоны IP-адресов.

Проблема с этим: они могут измениться!

Если вам нужен статический исходный IP-адрес из приложения Heroku, вы можете использовать один из SOCKS5. надстройки прокси.

Но: такое использование нескольких центров обработки данных между вашим приложением и экземпляром Redis влияет на производительность, поэтому на самом деле я бы рекомендовал вам переключиться на экземпляр Redis от Heroku или, по крайней мере, от провайдера, который живет внутри одного и того же региона AWS.

person Denis Cornehl    schedule 02.08.2020
comment
Что меня смущает, так это то, что на приложение heroku указывает домен, поэтому сервер Redis будет получать запросы только из этого домена. Разве мне не нужно было бы добавлять диапазон IP-адресов домена в брандмауэр GCloud вместо экземпляра heroku, на который указывает домен? - person Zenith; 02.08.2020
comment
домен указывает на слой маршрутизации Heroku, а не на ваши динамики. Когда эти динамометры обращаются к другим службам, исходный IP-адрес принадлежит динамометру, а не уровню маршрутизации. - person Denis Cornehl; 02.08.2020