Cette page contient des réponses aux questions courantes sur la connectivité App Engine, y compris sur l'utilisation de l'accès au VPC sans serveur et des adresses IP internes.
Configurer la connectivité entrante du VPC vers les instances App Engine à l'aide d'une adresse IP interne
L'accès au VPC sans serveur est utile lorsque vous appelez des offres Google sans serveur à un réseau de cloud privé virtuel (VPC), mais vous ne pouvez pas accéder aux instances App Engine à l'aide d'une adresse IP interne.
Pour vous connecter à App Engine à partir du réseau VPC à l'aide d'une adresse IP interne sans adresse IP externe attribuée, procédez comme suit pour accéder aux API et services Google :
- Configurez l'accès privé à Google. Assurez-vous que le service App Engine utilise un sous-réseau compatible avec l'accès privé à Google.
- Utilisez un point de terminaison Private Service Connect. Assurez-vous que le point de terminaison est connecté au sous-réseau avec l'accès privé à Google.
- Envoyez du trafic vers le point de terminaison Private Service Connect. Assurez-vous que le point de terminaison est connecté au sous-réseau.
Les instances App Engine avec des adresses IP externes peuvent envoyer du trafic vers des points de terminaison Private Service Connect sans aucune exigence.
Les machines virtuelles dotées uniquement d'adresses IP internes nécessitent un Accès privé à Google.
Les adresses IP internes sont requises lorsque vous déployez une application d'environnement flexible App Engine dans un réseau VPC partagé qui ajoute une route pour éviter 0.0.0.0/0.
Pour les instances dont le mode IP est défini sur internal, vous devez apporter les modifications suivantes au réseau :
- Activez l'Accès privé à Google pour chaque sous-réseau que vous utilisez.
- Si elle n'existe pas déjà, créez une route compatible avec l'Accès privé à Google.
- Si elle n'existe pas déjà, créez une règle de pare-feu compatible avec l'Accès privé à Google.
- Si vous avez besoin d'un accès Internet sortant, vous devez également déployer Cloud NAT pour chaque région associée aux sous-réseaux que vous utilisez.
Comme indiqué dans les conditions d'accès à Internet pour les réseaux VPC, le réseau doit disposer d'une route de passerelle Internet par défaut ou d'une route personnalisée valide dont la plage d'adresses IP de destination est la plus générale (0.0.0.0/0). La suppression de ce paramètre peut entraîner des échecs de déploiement ou de diffusion.
Connecter App Engine à des adresses IP privées Cloud SQL
Ce scénario peut se produire lorsque vous souhaitez vous connecter à des instances Cloud SQL depuis des environnements App Engine standard ou flexible via des adresses IP privées.
Dans ce scénario, créez une connexion en utilisant l'une des options suivantes:
- Environnement standard App Engine: utilisez le connecteur d'accès au VPC sans serveur pour vous connecter à Cloud SQL via des adresses IP internes. Pour en savoir plus, consultez la section Se connecter à Cloud SQL depuis l'environnement standard App Engine.
- Environnement flexible App Engine: déployez votre application d'environnement flexible sur le même réseau VPC que votre instance Cloud SQL. Votre application doit maintenant pouvoir se connecter directement à l'aide de l'adresse IP privée de l'instance Cloud SQL. Pour en savoir plus, consultez la section Se connecter à Cloud SQL depuis l'environnement flexible App Engine.
Résoudre les problèmes liés à une instance Cloud SQL à l'aide d'adresses IP publiques
Lorsque vous déployez une application de l'environnement standard App Engine plus ancienne avec Cloud SQL à l'aide de sockets Unix, des messages d'erreur peuvent s'afficher si votre application n'est pas correctement configurée pour se connecter à une instance Cloud SQL.
Le message d'avertissement suivant indique qu'App Engine a pu revenir à une ancienne méthode de connexion pour effectuer l'opération:
CloudSQL warning: your action is needed to update your application and avoid potential disruptions. Please see https://cloud.google.com/sql/docs/mysql/connect-app-engine-standard for additional details: ...
Le message d'erreur suivant indique que l'opération de connexion à Cloud SQL n'a pas abouti:
Cloud SQL connection failed. Please see https://cloud.google.com/sql/docs/mysql/connect-app-engine-standard for additional details: ...
Pour les deux messages d'erreur, vous devez vérifier les points suivants pour vous assurer que le Proxy d'authentification Cloud SQL est correctement configuré pour se connecter à une instance Cloud SQL:
- L'API Cloud SQL Admin doit être activée.
- Le compte de service de l'application App Engine doit disposer des autorisations appropriées.
- Le nom de connexion de l'instance doit inclure la région.
Si le message d'échec persiste après le dépannage, contactez l'assistance Google Cloud pour obtenir de l'aide.
Personnaliser les autorisations d'accès entre les services App Engine
Ce scénario peut se produire lorsque vous avez plusieurs services App Engine et que vous souhaitez configurer des autorisations d'accès différemment entre ces services (par exemple, si vous souhaitez activer l'accès au service App Engine A uniquement depuis le service App Engine B).
Dans ce scénario, vous pouvez utiliser App Engine avec Identity-Aware Proxy (IAP) pour rendre uniquement certains services accessibles au public tout en protégeant d'autres services. Pour en savoir plus, regardez la vidéo Centraliser l'accès aux sites Web de votre organisation avec IAP et consultez la documentation sur IAP.
Métriques incohérentes lorsque l'environnement flexible App Engine utilise Cloud Load Balancing
Le tableau de bord de l'environnement flexible App Engine n'affiche toutes les métriques que pour les requêtes acheminées via un backend géré par un environnement flexible. Si vous utilisez l'environnement flexible App Engine avec Cloud Load Balancing, certaines métriques du tableau des métriques App Engine sont signalées sous forme de métriques du fichier loadbalancing. Pour en savoir plus, consultez la page Journalisation et surveillance de l'équilibrage de charge HTTP(S).