GCP - App Engine Enum

Grundlegende Informationen

Google Cloud Platform's (GCP) App Engine ist eine robuste, serverlose Plattform, die für die Entwicklung und das Hosting von Webanwendungen im großen Maßstab entwickelt wurde. Das Design dieser Plattform konzentriert sich darauf, den Entwicklungsprozess zu vereinfachen und die Verwaltung von Anwendungen zu verbessern. Die Hauptmerkmale und Vorteile von GCP's App Engine umfassen:

1. Serverlose Architektur: App Engine verwaltet automatisch die Infrastruktur, einschließlich Serverbereitstellung, Konfiguration und Skalierung. Dies ermöglicht es Entwicklern, sich auf das Schreiben von Code zu konzentrieren, ohne sich um die zugrunde liegende Hardware kümmern zu müssen.

2. Automatische Skalierung: App Engine kann Ihre Anwendung automatisch in Abhängigkeit vom eingehenden Datenverkehr skalieren. Es skaliert nach oben, um erhöhten Datenverkehr zu bewältigen, und skaliert nach unten, wenn der Datenverkehr abnimmt, was zur Optimierung von Kosten und Leistung beiträgt.

3. Unterstützung von Sprachen und Laufzeiten: Es unterstützt beliebte Programmiersprachen wie Java, Python, Node.js, Go, Ruby, PHP und .NET. Sie können Ihre Anwendungen in einer Standard- oder einer flexiblen Umgebung ausführen. Die Standardumgebung ist restriktiver, aber hochoptimiert für bestimmte Sprachen, während die flexible Umgebung mehr Anpassungsmöglichkeiten bietet.

4. Integrierte Dienste: App Engine integriert sich mit vielen anderen GCP-Diensten wie Cloud SQL, Cloud Storage, Cloud Datastore und mehr. Diese Integration vereinfacht die Architektur cloudbasierter Anwendungen.

5. Versionierung und Traffic-Splitting: Sie können problemlos mehrere Versionen Ihrer Anwendung bereitstellen und den Datenverkehr zwischen ihnen aufteilen, um A/B-Tests oder schrittweise Rollouts durchzuführen.

6. Anwendungs-Einblicke: App Engine bietet integrierte Dienste wie Protokollierung, Benutzerauthentifizierung und eine Suite von Entwicklerwerkzeugen zur Überwachung und Verwaltung von Anwendungen.

7. Sicherheit: Es bietet integrierte Sicherheitsfunktionen wie Anwendungsverversionierung, SSL/TLS-Zertifikate für sichere Verbindungen und Identitäts- und Zugriffsmanagement.

Firewall

Eine einfache Firewall kann für die Instanzen, auf denen die Apps laufen, mit den folgenden Optionen konfiguriert werden:

SA

Das Standard-Servicekonto, das von diesen Apps verwendet wird, ist <proj-name>@appspot.gserviceaccount.com, das die Editor-Rolle über das Projekt hat, und die SAs innerhalb der APP Engine-Instanz laufen mit cloud-platform scope (unter anderem).

Storage

Der Quellcode und die Metadaten werden automatisch in Buckets gespeichert mit Namen wie <proj-id>.appspot.com und staging.<proj-id>.appspot.com und <country>.<proj-id>.appspot.com

Jede Datei der App wird mit dem sha1 des Inhalts als Dateiname gespeichert:

Im ae-Ordner von staging.<proj-id>.appspot.com existiert ein Ordner pro Version mit den Quellcodedateien und der manifest.json-Datei, die die Komponenten der App beschreibt:

{"requirements.txt":{"sourceUrl":"https://storage.googleapis.com/staging.onboarding-host-98efbf97812843.appspot.com/a270eedcbe2672c841251022b7105d340129d108","sha1Sum":"a270eedc_be2672c8_41251022_b7105d34_0129d108"},"main_test.py":{"sourceUrl":"https://storage.googleapis.com/staging.onboarding-host-98efbf97812843.appspot.com/0ca32fd70c953af94d02d8a36679153881943f32","sha1Sum":"0ca32fd7_0c953af9_4d02d8a ...

Containers

Die Web-App wird letztendlich in einem Container ausgeführt und Code Build wird verwendet, um den Container zu erstellen.

URLs & Regionen

Die Standard-Webseite wird unter der URL <project-uniq-name>.appspot.com verfügbar sein, obwohl die URL älterer Versionen leicht unterschiedlich sein wird, wie https://20240117t001540-dot-<project-uniq-name>.uc.r.appspot.com (beachten Sie den initialen Zeitstempel).

Es könnte so aussehen, als ob es nur möglich ist, 1 App Engine-Webanwendung pro Region bereitzustellen, aber es ist möglich, service: <servicename> in der app.yml anzugeben und einen neuen Dienst (ein neues Web) zu erstellen. Das Format der URL für dieses neue Web wird <servicename>-dot-<project-uniq-name>.appspot.com sein.

Aufzählung

Wie bei Cloud Functions besteht die Möglichkeit, dass die Anwendung auf Geheimnisse angewiesen ist, die zur Laufzeit über Umgebungsvariablen abgerufen werden. Diese Variablen werden in einer app.yaml-Datei gespeichert, die wie folgt zugänglich ist:

# List the apps
gcloud app services list
gcloud app services describe <app-name>
# Access via browser to the specified app
gcloud app services browse <app-name>

# Get App versions
gcloud app versions list
# Get all the info of the app and version, included specific verion URL and the env
gcloud app versions describe -s <app-name> <version-id>

# Logs
gcloud app logs tail -s <app-name>

# Instances
## This is only valid if a flexible environment is used and not a standard one
gcloud app instances list
gcloud app instances describe -s <app-name> --version <version-id> <ID>
## Connect to the instance via ssh
gcloud app instances ssh --service <app-name> --version <version-id> <ID>

# Firewalls
gcloud app firewall-rules list
gcloud app firewall-rules describe <num_fw>

# Get domains
gcloud app domain-mappings list
gcloud app domain-mappings describe <name>

# SSl certificates
gcloud app ssl-certificates list
gcloud app ssl-certificates describe <name>

Privilegieneskalation

Unauthentifizierte Enum

Post Exploitation

Persistenz