Auf dieser Seite werden häufig verwendete App Engine-Konnektivitätsstrategien beschrieben, einschließlich der Schritte zur Verwendung des serverlosen VPC-Zugriffs und interner IP-Adressen.
- VPC mit App Engine-Instanzen verbinden
- App Engine mit privaten Cloud SQL-IP-Adressen verbinden
- Zugriffsberechtigungen zwischen App Engine-Diensten anpassen
- App Engine-Anwendung in einem freigegebene VPC bereitstellen
VPC mit App Engine-Instanzen verbinden
Der serverlose VPC-Zugriff ist nützlich, um Aufrufe von den serverlosen Angeboten von Google an ein VPC-Netzwerk (Virtual Private Cloud) zu senden. Er bietet jedoch keine Möglichkeit, über interne IP-Adressen auf App Engine-Instanzen zuzugreifen.
Wenn Sie über eine interne IP-Adresse ohne zugewiesene externe IP-Adresse eine Verbindung vom VPC-Netzwerk zur App Engine herstellen möchten, gehen Sie so vor:
- Richten Sie den privaten Google-Zugriff ein. Der App Engine-Dienst muss ein für den privaten Google-Zugriff aktiviertes Subnetz verwenden.
- Verwenden Sie einen Private Service Connect-Endpunkt. Prüfen Sie, ob der Endpunkt mit dem für den privaten Google-Zugriff aktivierten Subnetz verbunden ist.
- Senden Sie Traffic an den Private Service Connect-Endpunkt. Prüfen Sie, ob der Endpunkt mit dem Subnetz verbunden ist.
App Engine-Instanzen mit externen IP-Adressen können Traffic ohne Einschränkungen an Private Service Connect-Endpunkte senden.
Zugriffsberechtigungen zwischen App Engine-Diensten anpassen
Wenn Sie mehrere App Engine-Dienste haben und Zugriffsberechtigungen zwischen den Diensten unterschiedlich konfigurieren möchten (z. B. möchten Sie den Zugriff auf App Engine-Dienst A nur über App Engine-Dienst B aktivieren), können Sie App Engine mit Identity-Aware Proxy (IAP) verwenden.
Weitere Informationen finden Sie unter Zugriff auf Websites und Apps steuern und in der IAP-Dokumentation.
App Engine mit privaten Cloud SQL-IP-Adressen verbinden
Wenn Sie Ihre App Engine-Anwendungen über private IP-Adressen mit Cloud SQL-Instanzen verbinden möchten, haben Sie folgende Möglichkeiten:
- App Engine-Standardumgebung: Verwenden Sie den Connector für serverlosen VPC-Zugriff, um eine Verbindung zu Cloud SQL über interne IP-Adressen herzustellen. Weitere Informationen finden Sie unter Verbindung von der App Engine-Standardumgebung zu Cloud SQL herstellen.
- Flexible App Engine-Umgebung: Stellen Sie Ihre Anwendung in der flexiblen Umgebung im selben VPC-Netzwerk wie Ihre Cloud SQL-Instanz bereit. Ihre Anwendung sollte nun direkt über die private IP-Adresse der Cloud SQL-Instanz eine Verbindung herstellen können. Weitere Informationen finden Sie unter Verbindung von der flexiblen App Engine-Umgebung zu Cloud SQL herstellen.
App Engine-Anwendung in einem freigegebene VPC-Netzwerk bereitstellen
Für die Bereitstellung einer Anwendung in der flexiblen App Engine-Umgebung in einem freigegebene VPC-Netzwerk ist eine interne IP-Adresse erforderlich. Die interne IP-Adresse fügt eine Route hinzu, um 0.0.0.0/0 zu vermeiden.
Für Instanzen, bei denen der IP-Modus auf internal gesetzt ist, müssen Sie folgende Änderungen am Netzwerk vornehmen:
- Aktivieren Sie Privaten Google-Zugriff für jedes verwendete Subnetz.
- Erstellen Sie eine Route, die mit dem privaten Google-Zugriff kompatibel ist, falls noch nicht vorhanden.
- Erstellen Sie eine Firewallregel, die mit dem privaten Google-Zugriff kompatibel ist, falls noch nicht vorhanden.
- Wenn Sie ausgehenden Internetzugriff benötigen, müssen Sie auch Cloud NAT für alle Regionen bereitstellen, die mit den von Ihnen verwendeten Subnetzwerken verbunden sind.
Wie in den Anforderungen für den Internetzugriff für VPC-Netzwerke dokumentiert, muss das Netzwerk eine gültige, standardmäßige Internet-Gateway-Route oder eine benutzerdefinierte Route haben, deren Ziel-IP-Bereich allgemein ist (0.0.0.0/0). Wenn Sie diese Einstellung entfernen, kann es zu Bereitstellungs- oder Dienstfehlern kommen.