是否可以知道GCP上的DataFlow工作人员使用的外部IP范围是什么？目标是在外部服务上设置某种IP过滤，以便只有在GCP上运行的DataFlow作业才能访问该服务。

最好的解决方案是升级，以便您可以使用SSL或其他强身份验证机制。

您可以使用--network=选项来控制将工作虚拟机分配给的GCE网络。查看GCE docs on networking，了解有关如何设置VPN的详细信息(如Elmar建议的评论)。您还可以考虑在网络中使用静态外部IP设置一台计算机，并将其用作网络中其他VM的代理。

这不是我们测试过的使用模式，因此通过代理/VPN的延迟或流量吞吐量可能存在问题。您可能需要注意只通过此代理发送流量，以免意外劫持每个工作人员与Dataflow服务进行通信所使用的流量。