Cette page décrit les stratégies de connectivité App Engine couramment utilisées, y compris les étapes liées à l'utilisation de l'accès au VPC sans serveur et des adresses IP internes.
- Se connecter depuis un VPC aux instances App Engine
- Connecter App Engine à des adresses IP privées Cloud SQL
- Personnaliser les autorisations d'accès entre les services App Engine
- Déployer une application App Engine dans un réseau VPC partagé
Se connecter à partir d'un VPC à des instances App Engine
L'accès au VPC sans serveur est utile lorsque vous appelez des offres Google sans serveur à un réseau de cloud privé virtuel (VPC), mais vous ne pouvez pas accéder aux instances App Engine à l'aide d'une adresse IP interne.
Pour vous connecter à App Engine à partir du réseau VPC à l'aide d'une adresse IP interne sans adresse IP externe attribuée, procédez comme suit:
- Configurez l'accès privé à Google. Assurez-vous que le service App Engine utilise un sous-réseau compatible avec l'accès privé à Google.
- Utilisez un point de terminaison Private Service Connect. Assurez-vous que le point de terminaison est connecté au sous-réseau avec l'accès privé à Google.
- Envoyez du trafic vers le point de terminaison Private Service Connect. Assurez-vous que le point de terminaison est connecté au sous-réseau.
Les instances App Engine avec des adresses IP externes peuvent envoyer du trafic vers des points de terminaison Private Service Connect sans aucune exigence.
Personnaliser les autorisations d'accès entre les services App Engine
Lorsque vous avez plusieurs services App Engine et que vous souhaitez configurer des autorisations d'accès différemment entre ces services (par exemple, si vous souhaitez activer l'accès au service App Engine A uniquement depuis le service App Engine B), vous pouvez utiliser App Engine avec Identity-Aware Proxy (IAP).
Pour en savoir plus, consultez Contrôler l'accès aux sites Web et aux applications et la documentation sur IAP.
Connecter App Engine à des adresses IP privées Cloud SQL
Pour connecter vos applications App Engine à des instances Cloud SQL via des adresses IP privées, utilisez l'une des options suivantes:
- Environnement standard App Engine: utilisez le connecteur d'accès au VPC sans serveur pour vous connecter à Cloud SQL via des adresses IP internes. Pour en savoir plus, consultez la section Se connecter à Cloud SQL depuis l'environnement standard App Engine.
- Environnement flexible App Engine: déployez votre application d'environnement flexible sur le même réseau VPC que votre instance Cloud SQL. Votre application doit maintenant pouvoir se connecter directement à l'aide de l'adresse IP privée de l'instance Cloud SQL. Pour en savoir plus, consultez la section Se connecter à Cloud SQL depuis l'environnement flexible App Engine.
Déployer une application App Engine dans un réseau VPC partagé
Le déploiement d'une application dans l'environnement flexible App Engine sur un réseau VPC partagé nécessite une adresse IP interne. L'adresse IP interne ajoute une route pour éviter 0.0.0.0/0.
Pour les instances dont le mode IP est défini sur internal, vous devez apporter les modifications suivantes au réseau :
- Activez l'Accès privé à Google pour chaque sous-réseau que vous utilisez.
- Si elle n'existe pas déjà, créez une route compatible avec l'Accès privé à Google.
- Si elle n'existe pas déjà, créez une règle de pare-feu compatible avec l'Accès privé à Google.
- Si vous avez besoin d'un accès Internet sortant, vous devez également déployer Cloud NAT pour chaque région associée aux sous-réseaux que vous utilisez.
Comme indiqué dans les conditions d'accès à Internet pour les réseaux VPC, le réseau doit disposer d'une route de passerelle Internet par défaut ou d'une route personnalisée valide dont la plage d'adresses IP de destination est la plus générale (0.0.0.0/0). La suppression de ce paramètre peut entraîner des échecs de déploiement ou de diffusion.