Как установить частное соединение между механизмом приложений Google и вычислительным механизмом?

У меня есть веб-приложение/Api, которое в настоящее время работает на ресурсе движка приложения Google. Поскольку расчеты API требуют больших вычислительных ресурсов, я передал вычислительную часть на аутсорсинг группе управляемого автоматического масштабирования вычислительного движка Google с балансировщиком нагрузки HTTP во внешнем интерфейсе (для поддержки одного IP-адреса и балансировки нагрузки между несколькими двигатели, которые создаются динамически).

В настоящее время я просто делаю HTTP-вызов на IP-адрес балансировщика нагрузки из механизма приложения. Поскольку GAE и GCE находятся в одном регионе, это, однако, кажется крайне неэффективным (я знаю, что ядро ​​приложения и вычислительные ядра все еще находятся в двух физически разделенных центрах обработки данных). Это также представляет угрозу безопасности, поскольку я постоянно получаю звонки от случайных IP-ботов, пытающихся использовать потенциальные лазейки в системе безопасности. Кроме того, я проверяю действительность токена API только на уровне ядра приложения, так как я не хочу предоставлять пользовательской базе данных доступ к вычислительному движку (соображения безопасности), поэтому это означает, что проверка между движком приложения и вычислительным движком не выполняется. , чтобы последний отвечал на все поступающие вызовы.

Есть ли способ установить частное соединение между движком приложения и облачным движком?

Моя цель состояла бы в том, чтобы не открывать GCE для всего Интернета, учитывая, что он принимает звонки только с одного IP-адреса/ресурса.

Я пытался внести в белый список только IP-адреса движков приложений, но, к сожалению, это большой блок адресов, который очень громоздко извлекать и динамически изменять. Механизм приложения также не может использовать частный IP-адрес вычислительного механизма/серверов Google SQL.

Другие творческие идеи приветствуются!