Google更新其無伺服器應用程式託管平臺App Engine,加入兩項新功能,除了提供用戶更多出站流量控制(Egress Controls)能力之外,也加入用戶管理服務帳戶,使得用戶能夠應用最低權限,來增加在App Engine上應用程式的安全性。

App Engine為一個完全託管的應用程式平臺,對應用程式的出站流量提供了一個IP地址池,讓用戶能夠不必管理網路細節就能提供服務,對不少用戶方便且已經足夠,不過,有部分App Engine用戶需要對出站請求進行更多的控制,因此Google加入了新功能來滿足這些用戶的需求。

App Engine的出站流量控制新功能,借助Cloud VPC服務中的無伺服器VPC存取功能,無伺服器VPC存取功能,可讓用戶配置連接器,將請求從App Engine應用程式路由到自己的VPC網路,而出站流量控制,能使用戶更好地控制使用VPC連接器的流量。

Google提到,出站流量控制的重要使用案例,是對App Engine的HTTP請求創建靜態出站IP地址,因為部分App Engine用戶提供的SaaS服務,必須連接到終端用戶網路,不過這些終端用戶通常傾向只對特定來源IP的流量開啟防火牆,而藉由出站流量控制,用戶就可以使用無伺服器VPC存取和Cloud NAT來配置靜態IP地址。

App Engine另一項新功能,是讓用戶可以對每個應用程式版本,指定不同的服務帳戶。目前App Engine使用預設服務帳戶,來代表App Engine應用程式和其他GCP服務互動,而這個預設服務帳戶,是在初始App Engine應用程式過程中設定的,用戶可以管理並授予該服務帳戶的權限,但因為這個帳戶被應用程式的所有服務使用,因此無論特定服務需要的權限為何,所有服務都共享同一個權限集。

而現在Google加入用戶管理服務帳戶新功能,讓用戶可以對應用程式的每個版本,指定使用不同的服務帳戶,限制每個服務帳戶僅具執行任務需要的權限,而非對單一共享服務帳戶,授予應用程式中的所有服務需要的權限,好處是用戶可以遵循最低權限的最佳實踐。當用戶未指定服務帳戶,則App Engine使用預設服務帳戶。


熱門新聞

Advertisement