Diese Seite enthält Antworten auf häufige Fragen zur App Engine-Konnektivität, einschließlich Fragen zur Verwendung des serverlosen VPC-Zugriffs und interner IP-Adressen.
Eingehende Verbindung von VPC- und App Engine-Instanzen über eine interne IP-Adresse einrichten
Der serverlose VPC-Zugriff ist nützlich, um Aufrufe von den serverlosen Angeboten von Google an ein VPC-Netzwerk (Virtual Private Cloud) zu senden. Er bietet jedoch keine Möglichkeit, über interne IP-Adressen auf App Engine-Instanzen zuzugreifen.
Wenn Sie eine Verbindung zu App Engine über das VPC-Netzwerk mithilfe einer internen IP-Adresse ohne zugewiesene externe IP-Adresse herstellen möchten, gehen Sie so vor, um auf Google APIs und Google-Dienste zuzugreifen:
- Richten Sie den privaten Google-Zugriff ein. Der App Engine-Dienst muss ein für den privaten Google-Zugriff aktiviertes Subnetz verwenden.
- Verwenden Sie einen Private Service Connect-Endpunkt. Prüfen Sie, ob der Endpunkt mit dem für den privaten Google-Zugriff aktivierten Subnetz verbunden ist.
- Senden Sie Traffic an den Private Service Connect-Endpunkt. Prüfen Sie, ob der Endpunkt mit dem Subnetz verbunden ist.
App Engine-Instanzen mit externen IP-Adressen können ohne Anforderungen Traffic an Private Service Connect-Endpunkte senden.
Virtuelle Maschinen, die nur interne IP-Adressen haben, erfordern privaten Google-Zugriff
Interne IP-Adressen sind erforderlich, wenn Sie eine Anwendung der flexiblen App Engine-Umgebung in einem freigegebenen VPC-Netzwerk bereitstellen, das eine Route hinzufügt, um 0.0.0.0/0 zu vermeiden.
Für Instanzen, bei denen der IP-Modus auf internal gesetzt ist, müssen Sie folgende Änderungen am Netzwerk vornehmen:
- Aktivieren Sie für jedes von Ihnen verwendete Subnetzwerk den privaten Google-Zugriff.
- Erstellen Sie eine Route, die mit dem privaten Google-Zugriff kompatibel ist, falls noch nicht vorhanden.
- Erstellen Sie eine Firewallregel, die mit dem privaten Google-Zugriff kompatibel ist, falls noch nicht vorhanden.
- Wenn Sie ausgehenden Internetzugriff benötigen, müssen Sie auch Cloud NAT für alle Regionen bereitstellen, die mit den von Ihnen verwendeten Subnetzwerken verbunden sind.
Wie in den Anforderungen für den Internetzugriff für VPC-Netzwerke dokumentiert, muss das Netzwerk eine gültige, standardmäßige Internet-Gateway-Route oder eine benutzerdefinierte Route haben, deren Ziel-IP-Bereich allgemein ist (0.0.0.0/0). Wenn Sie diese Einstellung entfernen, kann es zu Bereitstellungs- oder Dienstfehlern kommen.
App Engine mit privaten Cloud SQL-IP-Adressen verbinden
Dieses Szenario kann auftreten, wenn Sie eine Verbindung von Anwendungen aus der App Engine-Standardumgebung oder der flexiblen App Engine-Umgebung zu Cloud SQL-Instanzen über private IP-Adressen herstellen möchten.
Erstellen Sie in diesem Szenario eine Verbindung mit einer der folgenden Optionen:
- App Engine-Standardumgebung: Verwenden Sie den Connector für serverlosen VPC-Zugriff, um eine Verbindung zu Cloud SQL über interne IP-Adressen herzustellen. Weitere Informationen finden Sie unter Verbindung von der App Engine-Standardumgebung zu Cloud SQL herstellen.
- Flexible App Engine-Umgebung: Stellen Sie Ihre Anwendung in der flexiblen Umgebung im selben VPC-Netzwerk wie Ihre Cloud SQL-Instanz bereit. Ihre Anwendung sollte nun direkt über die private IP-Adresse der Cloud SQL-Instanz eine Verbindung herstellen können. Weitere Informationen finden Sie unter Verbindung von der flexiblen App Engine-Umgebung zu Cloud SQL herstellen.
Fehler bei Cloud SQL-Instanzen mit öffentlichen IP-Adressen beheben
Wenn Sie eine ältere Anwendung der App Engine-Standardumgebung mit Cloud SQL über Unix-Sockets bereitstellen, werden möglicherweise einige Fehlermeldungen angezeigt, wenn Ihre Anwendung nicht richtig für die Verbindung mit einer Cloud SQL-Instanz konfiguriert ist.
Die folgende Warnmeldung gibt an, dass App Engine auf eine Legacy-Verbindungsmethode zurückgreifen konnte, um den Vorgang erfolgreich abzuschließen:
CloudSQL warning: your action is needed to update your application and avoid potential disruptions. Please see https://cloud.google.com/sql/docs/mysql/connect-app-engine-standard for additional details: ...
Die folgende Fehlermeldung zeigt an, dass der Vorgang zum Herstellen einer Verbindung zu Cloud SQL nicht erfolgreich abgeschlossen wurde:
Cloud SQL connection failed. Please see https://cloud.google.com/sql/docs/mysql/connect-app-engine-standard for additional details: ...
Bei beiden Fehlermeldungen müssen Sie Folgendes prüfen, um sicherzustellen, dass der Cloud SQL-Auth-Proxy richtig konfiguriert ist, um eine Verbindung zu einer Cloud SQL-Instanz herzustellen:
- Die Cloud SQL Admin API muss aktiviert sein.
- Das Dienstkonto für die App Engine-Anwendung muss die richtigen Berechtigungen haben.
- Der Name der Instanzverbindung muss die Region enthalten.
Wenn die Fehlermeldung nach der Fehlerbehebung weiterhin angezeigt wird, wenden Sie sich an den Google Cloud-Support.
Zugriffsberechtigungen zwischen App Engine-Diensten anpassen
Dieses Szenario kann auftreten, wenn Sie mehrere App Engine-Dienste haben und Zugriffsberechtigungen zwischen den Diensten unterschiedlich konfigurieren möchten (z. B. möchten Sie den Zugriff auf App Engine-Dienst A nur über App Engine-Dienst B aktivieren).
In diesem Szenario können Sie App Engine mit Identity-Aware Proxy (IAP) verwenden, um nur einige der Dienste öffentlich zugänglich zu machen und gleichzeitig andere zu schützen. Weitere Informationen finden Sie im Video Centralize access to your organization's websites with IAP und in der IAP-Dokumentation.
Inkonsistente Messwerte bei Verwendung von Cloud Load Balancing durch die flexible App Engine-Umgebung
Im Dashboard der flexiblen App Engine-Umgebung werden Messwerte nur für die Anfragen angezeigt, die über ein von der flexiblen Umgebung verwaltetes Backend weitergeleitet wurden. Wenn Sie die flexible App Engine-Umgebung mit Cloud Load Balancing verwenden, werden bestimmte Messwerte in der App Engine-Messwerttabelle als Messwerte aus der loadbalancing-Tabelle angegeben. Weitere Informationen finden Sie unter Logging und Monitoring für das HTTP(S)-Load-Balancing.