Google更新其无服务器应用程序托管平台App Engine,加入两项新功能,除了提供用户更多出站流量控制(Egress Controls)能力之外,也加入用户管理服务账户,使得用户能够应用最低权限,来增加在App Engine上应用程序的安全性。
App Engine为一个完全托管的应用程序平台,对应用程序的出站流量提供了一个IP地址池,让用户能够不必管理网络细节就能提供服务,对不少用户方便且已经足够,不过,有部分App Engine用户需要对出站请求进行更多的控制,因此Google加入了新功能来满足这些用户的需求。
App Engine的出站流量控制新功能,借助Cloud VPC服务中的无服务器VPC访问功能,无服务器VPC访问功能,可让用户配置连接器,将请求从App Engine应用程序路由到自己的VPC网络,而出站流量控制,能使用户更好地控制使用VPC连接器的流量。
Google提到,出站流量控制的重要使用案例,是对App Engine的HTTP请求创建静态出站IP地址,因为部分App Engine用户提供的SaaS服务,必须连接到终端用户网络,不过这些终端用户通常倾向只对特定来源IP的流量打开防火墙,而借由出站流量控制,用户就可以使用无服务器VPC访问和Cloud NAT来配置静态IP地址。
App Engine另一项新功能,是让用户可以对每个应用程序版本,指定不同的服务账户。目前App Engine使用默认服务账户,来代表App Engine应用程序和其他GCP服务交互,而这个默认服务账户,是在初始App Engine应用程序过程中设置的,用户可以管理并授给该服务账户的权限,但因为这个账户被应用程序的所有服务使用,因此无论特定服务需要的权限为何,所有服务都共享同一个权限集。
而现在Google加入用户管理服务账户新功能,让用户可以对应用程序的每个版本,指定使用不同的服务账户,限制每个服务账户仅具执行任务需要的权限,而非对单一共享服务账户,授给应用程序中的所有服务需要的权限,好处是用户可以遵循最低权限的最佳实践。当用户未指定服务账户,则App Engine使用默认服务账户。