Halaman ini menampilkan konfigurasi yang diperlukan untuk mengekspos service lingkungan fleksibel App Engine hanya pada alamat IP internalnya.
Secara default, service lingkungan fleksibel menerima alamat IP internal dan alamat IP eksternal sementara saat pertama kali di-deploy. Alamat IP eksternal sementara memungkinkan service Anda mengirim permintaan ke service App Engine dengan domain kustom dan resource di internet. Alamat IP eksternal sementara akan dikenai biaya.
Jika service Anda tidak memerlukan alamat IP eksternal, Anda dapat mencegah service mengirimkan permintaan ke resource di internet dan mengurangi biaya dengan membatasi service agar hanya menggunakan alamat IP internalnya. Hal ini tidak mencegah service Anda menerima permintaan dari internet atau service App Engine dengan domain kustom, karena nama domain yang sepenuhnya memenuhi syarat pada service Anda masih terlihat secara eksternal.
Batasan
Penonaktifan alamat IP eksternal sementara memiliki batasan berikut:
- Service dengan domain kustom: Untuk mengirim permintaan ke service App Engine dengan domain kustom, Anda harus mengonfigurasi Cloud NAT.
- Resource eksternal: Untuk mengirim permintaan ke resource eksternal, Anda harus mengonfigurasi Cloud NAT.
- Dependensi Akses Google Pribadi: Instance dengan mode IP yang disetel ke
internal
memerlukan Akses Google Pribadi pada subnetwork target. - Jaringan lama: Jaringan lama tidak dapat menggunakan Akses Google Pribadi sehingga tidak dapat menonaktifkan alamat IP eksternal sementara.
Sebelum memulai
Untuk men-deploy aplikasi lingkungan fleksibel tanpa alamat IP eksternal, Anda harus mengaktifkan Akses Google Pribadi pada subnetwork target.
- Untuk mempelajari Akses Google Pribadi, lihat Ringkasan.
- Untuk petunjuk konfigurasi langkah demi langkah, baca Mengaktifkan Akses Google Pribadi.
Menyiapkan jaringan VPC Bersama
Jika Anda menggunakan VPC Bersama, ikuti langkah-langkah berikut untuk menyiapkan jaringan VPC Bersama untuk konfigurasi lebih lanjut.
Pastikan Anda memiliki rute yang kompatibel dengan Akses Google Pribadi. Biasanya, rute default jaringan kompatibel dengan Akses Google Pribadi. Untuk rute lainnya, pastikan rute telah dikonfigurasi sebagai berikut.
Network: SHARED_VPC_NETWORK_NAME Destination IP address range: 0.0.0.0/0 Instance tags: INSTANCE_TAGS Next hop: DEFAULT_INTERNET_GATEWAY
Ganti kode berikut:
SHARED_VPC_NETWORK_NAME
: Nama jaringan VPC Bersama Anda.INSTANCE_TAGS
: Jika Anda tidak menggunakan tag instance apa pun, jangan tentukan apa pun di kolom ini. Jika Anda menggunakan tag instance, sertakanaef-instances
dalam daftar tag instance.DEFAULT_INTERNET_GATEWAY
: Gateway internet default.
Guna mempelajari lebih lanjut rute yang kompatibel untuk Akses Google Pribadi, lihat dokumentasi Akses Google Pribadi tentang opsi pemilihan rute.
Pastikan Anda memiliki aturan firewall yang kompatibel dengan Akses Google Pribadi. Aturan firewall harus dikonfigurasi sebagai berikut.
Network: SHARED_VPC_NETWORK_NAME Destination IP address range: 0.0.0.0/0 Destination filter: IP ranges Direction of traffic: Egress Attach on match: Allow Instance tags: INSTANCE_TAGS
Ganti kode berikut:
SHARED_VPC_NETWORK_NAME
: Nama jaringan VPC Bersama Anda.INSTANCE_TAGS
: Jika Anda tidak menggunakan tag instance apa pun, jangan tentukan apa pun di kolom ini. Jika Anda menggunakan tag instance, sertakanaef-instances
dalam daftar tag instance.
Untuk mempelajari lebih lanjut aturan firewall yang kompatibel bagi Akses Google Pribadi, lihat dokumentasi Akses Google Pribadi tentang konfigurasi firewall.
Mengonfigurasi service Anda agar hanya menggunakan alamat IP internalnya
Mengupdate Google Cloud CLI. Hal ini memastikan bahwa Anda menggunakan versi gcloud CLI yang mendukung alamat IP pribadi untuk aplikasi lingkungan fleksibel.
gcloud components update
Dalam file
app.yaml
, tambahkan kolominstance_ip_mode
ke bagiannetwork
dan tetapkan keinternal
.Jika file
app.yaml
Anda sudah memiliki bagiannetwork
, tambahkan baris berikut di dalam bagiannetwork
:instance_ip_mode: internal
Jika file
app.yaml
Anda tidak memiliki bagiannetwork
, buat bagian ini dan tentukan mode IP instance dengan menambahkan baris berikut:network: instance_ip_mode: internal
Simpan perubahan ini.
Men-deploy service.
gcloud beta app deploy
Verifikasi konfigurasi dengan memeriksa halaman Instance di konsol Google Cloud.
Scroll ke bawah menuju tabel Instances (di bawah chart Ringkasan). Di kolom IP Eksternal, konfirmasi bahwa tidak ada alamat IP yang tercantum. Karena alamat IP tidak tersedia di kolom ini, instance Anda tidak memiliki alamat IP eksternal. Meskipun kolom ini kosong, instance Anda masih memiliki alamat IP internal.
Mengirim permintaan eksternal tanpa alamat IP eksternal
Jika service Anda mengirim permintaan ke internet, tetapi Anda ingin membatasinya agar hanya menggunakan alamat IP internalnya, Anda dapat menggunakan Cloud NAT untuk membuat gateway. Service Anda dapat mengirim permintaan eksternal melalui gateway Cloud NAT tanpa menggunakan alamat IP eksternal sementara default.
Ikuti langkah-langkah di bagian Mengonfigurasi service untuk hanya menggunakan alamat IP internalnya.
Ikuti langkah-langkah untuk Mengonfigurasi Cloud NAT.
Untuk mempelajari pendekatan ini lebih lanjut, lihat dokumentasi Cloud Architecture Center tentang Men-deploy Cloud NAT untuk pengambilan.