上り(内向き)設定

リージョン ID

REGION_ID は、アプリの作成時に選択したリージョンに基づいて Google が割り当てる省略形のコードです。一部のリージョン ID は、一般的に使用されている国や州のコードと類似しているように見える場合がありますが、このコードは国または州に対応するものではありません。2020 年 2 月以降に作成されたアプリの場合、REGION_ID.r は App Engine の URL に含まれています。この日付より前に作成されたアプリの場合、URL のリージョン ID は省略可能です。

詳しくは、リージョン ID をご覧ください。

このセクションでは、上り(内向き)設定を使用して、App Engine アプリへのネットワーク アクセスを制限する方法について説明します。ネットワーク レベルのデフォルトでは、インターネット上のリソースは appspot URL または App Engine で設定されたカスタム ドメインの App Engine アプリにアクセスできます。たとえば、appspot.com の URL の形式は SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com です。

このデフォルトを変更するには、上り(内向き)に別の設定を指定します。デフォルトの appspot.com URL を含むすべての上り(内向き)パスは、上り(内向き)設定の対象となります。上り(内向き)はサービスレベルで設定されます。

使用可能な上り(内向き)設定

次の設定を使用できます。

設定 説明
内部 最も厳しい。プロジェクトの VPC ネットワークに接続されている次のようなリソースからのリクエストを許可します。
  • 同じプロジェクト内の VM(Compute Engine VM を含む)。
  • 共有 VPC: App Engine アプリが共有 VPC ホスト プロジェクトにデプロイされている場合。内部サービスへのアクセスをご覧ください。
これらのソースからのリクエストは、appspot.com URL でサービスにアクセスする場合でも、Google ネットワーク内にとどまります。インターネットを含む他のソースからのリクエストは、appspot.com URL またはカスタム ドメインのサービスに到達できません。マルチテナンシー(同じプロジェクト内の複数の信頼ドメイン)はサポートされていません。
内部と Cloud Load Balancing 次のリソースからのリクエストを許可します。
  • より厳しい内部設定によって許可されるリソース
  • 外部アプリケーション ロードバランサ
内部と Cloud Load Balancing の設定を使用して、インターネットから直接ではなく、外部アプリケーション ロードバランサ経由でリクエストを受け入れます。appspot.com URL へのリクエストは外部アプリケーション ロードバランサをバイパスします。この設定により、外部リクエストは appspot.com URL に到達しません。
すべて 最も寛容。インターネットから appspot.com の URL に直接送信されるリクエストを含むすべてのリクエストを許可します。

内部サービスへのアクセス

次のことに注意してください。

  • 共有 VPC からのリクエストの場合、App Engine アプリが共有 VPC ホスト プロジェクトにデプロイされている場合にのみ、トラフィックは内部とみなされます。App Engine アプリが共有 VPC サービス プロジェクトにデプロイされている場合は、アプリ自身のプロジェクトが所有するネットワークからのトラフィックのみが内部とみなされます。他のすべてのトラフィック(他の共有 VPC からのトラフィックを含む)は外部となります。

  • 内部サービスにアクセスする場合は、公開 URL(デフォルトの appspot.com URL または App Engine で設定されたカスタム ドメイン)を使用して、通常どおりに呼び出します。

  • Compute Engine VM インスタンスからのリクエストの場合、または同じプロジェクトの VPC ネットワーク内で実行されている他のリソースからのリクエストの場合、さらなる設定は必要ありません。

  • 同じプロジェクトの VPC ネットワーク内のリソースからのリクエストは、送信元のリソースがパブリック IP アドレスを持っていても、内部に分類されます。

  • Cloud VPN 経由で VPC ネットワークに接続されているオンプレミス リソースからのリクエストは、internal とみなされます。

上り(内向き)設定を表示する

Console

  1. App Engine の [サービス] ページに移動します。

    [サービス] ページに移動

  2. [上り(内向き)] 列を見つけます。サービスごとに、この列の値に上り(内向き)設定が [すべて](デフォルト)、[内部 + ロード バランシング]、[内部] のいずれかとして表示されます。

gcloud

gcloud CLI を使用してサービスの上り(内向き)設定を表示するには:

gcloud app services describe SERVICE

SERVICE は、実際のサービス名に置き換えます。

たとえば、デフォルト サービスの上り(内向き)設定とその他の情報を表示するには、次のコマンドを実行します。

gcloud app services describe default

上り(内向き)設定を編集する

Console

  1. App Engine の [サービス] ページに移動します。

    [サービス] ページに移動

  2. 編集するサービスを選択します。

  3. [上り(内向き)設定を編集] をクリックします。

  4. メニューから必要な上り(内向き)設定を選択し、[保存] をクリックします。

gcloud

gcloud CLI を使用してサービスの上り(内向き)設定を更新するには:

gcloud app services update SERVICE --ingress=INGRESS

次のように置き換えます。

  • SERVICE: サービスの名前。
  • INGRESS: 適用する上り(内向き)の制御。allinternal-onlyinternal-and-cloud-load-balancing のいずれかです。

次に例を示します。

  • 同じプロジェクト内の Cloud Load Balancing と VPC ネットワークからのトラフィックのみを受け入れるように、App Engine アプリのデフォルト サービスを更新するには、次のコマンドを実行します。

    gcloud app services update default --ingress=internal-and-cloud-load-balancing
  • 同じプロジェクト内の VPC ネットワークからのトラフィックのみを受け入れるように、「internal-requests」という名前のサービスを更新するには、次のコマンドを実行します。

    gcloud app services update internal-requests --ingress=internal-only