最佳做法
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
本页介绍有关使用 Identity-Aware Proxy (IAP) 的最佳做法。
缓存
- 请勿在应用的前面使用第三方 CDN。CDN 可能缓存内容并将缓存的页面提供给未经身份验证的用户。
- 如果您希望通过 CDN 提供大量非敏感资源,请为这些资源使用单独的网域(例如
images.yourapp.com
)。然后在该网域中使用 CDN,同时向只能提供给经过身份验证的用户的所有对象添加 Cache-control:
private
HTTP 响应标头。
保护应用的安全
为了正确保护应用,您必须为 App Engine 标准环境、Compute Engine 和 GKE 应用使用签名标头。
配置防火墙
-
确保向 Compute Engine 或 GKE 发出的所有请求均通过负载均衡器进行路由:
-
配置防火墙规则以支持健康检查,并确保发往虚拟机 (VM) 的所有流量均来自 Google 前端 (GFE) IP。
-
如需获得额外的保护,请检查应用中请求的来源 IP,以确保它们来自防火墙规则允许的同一 IP 范围。
-
在 Google Cloud 控制台中,如果防火墙规则设置有误,IAP 会显示错误或警告。IAP Google Cloud 控制台不会检测每项服务使用的是哪个虚拟机,因此防火墙分析功能不包含非默认网络和防火墙规则标记等高级功能。如需绕过此分析,请通过
gcloud compute backend-services update
命令启用 IAP。
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2023-05-26。
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"很难理解"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"信息或示例代码不正确"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"没有我需要的信息/示例"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻译问题"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"其他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"易于理解"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"解决了我的问题"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"其他"
}]