Разрешить говорить или подключать только движок приложения к вычислительному движку
У меня есть Compute Engine со статическим IP-адресом, на котором установлен apache / php.
Мой движок приложений выполняет вызовы php-скрипта, как и любой обычный вызов POST. Я получаю произвольные запросы, направленные на мой вычислительный движок, и я хочу ограничить свой вычислительный движок, чтобы принимать запросы только от моего движка приложений.
Или проверять это в PHP Script или создавать какие-то правила брандмауэра?
Единственный способ, которым я могу придумать, — это ограничить его IP-адрес, но в App Engine есть много разных IP-адресов.
Что вы, ребята, считаете лучшим ходом действий?
Решение
Способ сделать это (который я реализовал и работает нормально) — настроить HTTP-аутентификацию на вашем сервере GCE и использовать эти учетные данные в ваших запросах.
Я сделал это с nginx и apache — в зависимости от того, что вы используете на GCE.
Вы можете использовать обычную аутентификацию или дайджест / HTTPS, если вам нужно.
Я на самом деле использую это, чтобы воспользоваться Elasticsearch от App Engine.
Другие решения
HTTPS, вероятно, является самым безопасным подходом, так как вы можете проверить сертификат партнера и сбросить запрос, поступивший от кого-либо, кроме понравившегося вам партнера. urlfetch может сделать https запросы и фактически они поощряются по всевозможным основательным соображениям безопасности!