我尝试将托管在Google云平台(gcp)应用程序引擎上的应用程序连接到我的Mongo Atlas数据库。 Mongo希望我将gcp应用ip列入白名单。 但是gcp没有将我列入白名单的静态IP。
我想确保我应用了安全最佳实践,据我所知,为所有ip将我的数据库列入白名单是不安全的。那么如何在不打开所有ip的情况下做到这一点呢?
iCMS 回答:如何将MongoDB Atlas连接到GCP(Google云平台)?
您有2个解决方案
- 您可以授予App Engine IP范围。但是它的安全性不为described in the documentation:
从此示例中,我们可以看到IP范围8.34.208.0/20和8.35.192.0/21均可用于App Engine通信。对于任何其他网络块的其他查询可能会返回其他IP范围。
请注意,使用静态IP地址过滤不是一种安全有效的保护手段。例如,攻击者可能设置了一个恶意App Engine应用程序,该应用程序可能与您的应用程序共享相同的IP地址范围。相反,我们建议您使用OAuth和Certs进行深度防御。
- 您可以执行VPC对等。这需要几件事
- 具有Mongo Atlas的付费订阅
- 在{Mongo Atlas与您的项目之间建立对等关系](https://docs.atlas.mongodb.com/security-vpc-peering/)
- 创建一个serverless VPC connector and add it to your App Engine to allow it to reach private IP on the VPC(并连接到VPC的对等网络,例如您的Mongo Atlas数据库)
您可以选择在创建VM时保留静态IP。
在“创建实例”页面上,滚动到“网络”,系统会为您提供选项 一,内部知识产权 二。外部IP