Mengonfigurasi service khusus internal pribadi

Halaman ini menampilkan konfigurasi yang diperlukan untuk mengekspos service lingkungan fleksibel App Engine hanya pada alamat IP internalnya.

Secara default, service lingkungan fleksibel menerima alamat IP internal dan alamat IP eksternal sementara saat pertama kali di-deploy. Alamat IP eksternal sementara memungkinkan service Anda mengirim permintaan ke service App Engine dengan domain kustom dan resource di internet. Alamat IP eksternal sementara akan dikenai biaya.

Jika service Anda tidak memerlukan alamat IP eksternal, Anda dapat mencegah service mengirimkan permintaan ke resource di internet dan mengurangi biaya dengan membatasi service agar hanya menggunakan alamat IP internalnya. Hal ini tidak mencegah service Anda menerima permintaan dari internet atau service App Engine dengan domain kustom, karena nama domain yang sepenuhnya memenuhi syarat pada service Anda masih terlihat secara eksternal.

Batasan

Penonaktifan alamat IP eksternal sementara memiliki batasan berikut:

  • Service dengan domain kustom: Untuk mengirim permintaan ke service App Engine dengan domain kustom, Anda harus mengonfigurasi Cloud NAT.
  • Resource eksternal: Untuk mengirim permintaan ke resource eksternal, Anda harus mengonfigurasi Cloud NAT.
  • Dependensi Akses Google Pribadi: Instance dengan mode IP yang disetel ke internal memerlukan Akses Google Pribadi pada subnetwork target.
  • Jaringan lama: Jaringan lama tidak dapat menggunakan Akses Google Pribadi sehingga tidak dapat menonaktifkan alamat IP eksternal sementara.

Sebelum memulai

Untuk men-deploy aplikasi lingkungan fleksibel tanpa alamat IP eksternal, Anda harus mengaktifkan Akses Google Pribadi pada subnetwork target.

Menyiapkan jaringan VPC Bersama

Jika Anda menggunakan VPC Bersama, ikuti langkah-langkah berikut untuk menyiapkan jaringan VPC Bersama untuk konfigurasi lebih lanjut.

  1. Pastikan Anda memiliki rute yang kompatibel dengan Akses Google Pribadi. Biasanya, rute default jaringan kompatibel dengan Akses Google Pribadi. Untuk rute lainnya, pastikan rute telah dikonfigurasi sebagai berikut.

    Network: SHARED_VPC_NETWORK_NAME
    Destination IP address range: 0.0.0.0/0
    Instance tags: INSTANCE_TAGS
    Next hop: DEFAULT_INTERNET_GATEWAY
    

    Ganti kode berikut:

    • SHARED_VPC_NETWORK_NAME: Nama jaringan VPC Bersama Anda.
    • INSTANCE_TAGS: Jika Anda tidak menggunakan tag instance apa pun, jangan tentukan apa pun di kolom ini. Jika Anda menggunakan tag instance, sertakan aef-instances dalam daftar tag instance.
    • DEFAULT_INTERNET_GATEWAY: Gateway internet default.

    Guna mempelajari lebih lanjut rute yang kompatibel untuk Akses Google Pribadi, lihat dokumentasi Akses Google Pribadi tentang opsi pemilihan rute.

  2. Pastikan Anda memiliki aturan firewall yang kompatibel dengan Akses Google Pribadi. Aturan firewall harus dikonfigurasi sebagai berikut.

    Network: SHARED_VPC_NETWORK_NAME
    Destination IP address range: 0.0.0.0/0
    Destination filter: IP ranges
    Direction of traffic: Egress
    Attach on match: Allow
    Instance tags: INSTANCE_TAGS
    

    Ganti kode berikut:

    • SHARED_VPC_NETWORK_NAME: Nama jaringan VPC Bersama Anda.
    • INSTANCE_TAGS: Jika Anda tidak menggunakan tag instance apa pun, jangan tentukan apa pun di kolom ini. Jika Anda menggunakan tag instance, sertakan aef-instances dalam daftar tag instance.

    Untuk mempelajari lebih lanjut aturan firewall yang kompatibel bagi Akses Google Pribadi, lihat dokumentasi Akses Google Pribadi tentang konfigurasi firewall.

Mengonfigurasi service Anda agar hanya menggunakan alamat IP internalnya

  1. Mengupdate Google Cloud CLI. Hal ini memastikan bahwa Anda menggunakan versi gcloud CLI yang mendukung alamat IP pribadi untuk aplikasi lingkungan fleksibel.

    gcloud components update
  2. Dalam file app.yaml, tambahkan kolom instance_ip_mode ke bagian network dan tetapkan ke internal.

    • Jika file app.yaml Anda sudah memiliki bagian network, tambahkan baris berikut di dalam bagian network:

      instance_ip_mode: internal

    • Jika file app.yaml Anda tidak memiliki bagian network, buat bagian ini dan tentukan mode IP instance dengan menambahkan baris berikut:

      network:
       instance_ip_mode: internal

    Simpan perubahan ini.

  3. Men-deploy service.

    gcloud beta app deploy
  4. Verifikasi konfigurasi dengan memeriksa halaman Instance di konsol Google Cloud.

    Buka Instance

    Scroll ke bawah menuju tabel Instances (di bawah chart Ringkasan). Di kolom IP VM, konfirmasi bahwa tidak ada alamat IP yang tercantum. Karena alamat IP tidak tersedia di kolom ini, instance Anda tidak memiliki alamat IP eksternal. Meskipun kolom ini kosong, instance Anda masih memiliki alamat IP internal.

Mengirim permintaan eksternal tanpa alamat IP eksternal

Jika service Anda mengirim permintaan ke internet, tetapi Anda ingin membatasinya agar hanya menggunakan alamat IP internalnya, Anda dapat menggunakan Cloud NAT untuk membuat gateway. Service Anda dapat mengirim permintaan eksternal melalui gateway Cloud NAT tanpa menggunakan alamat IP eksternal sementara default.

  1. Ikuti langkah-langkah di bagian Mengonfigurasi service untuk hanya menggunakan alamat IP internalnya.

  2. Ikuti langkah-langkah untuk Mengonfigurasi Cloud NAT.

Untuk mempelajari pendekatan ini lebih lanjut, lihat dokumentasi Cloud Architecture Center tentang Men-deploy Cloud NAT untuk pengambilan.