App Engine の接続戦略

このページでは、サーバーレス VPC アクセスや内部 IP アドレスの使用に関連する手順など、App Engine でよく使用される接続戦略について説明します。

VPC から App Engine インスタンスに接続する

Google のサーバーレス サービスから Virtual Private Cloud(VPC)ネットワークへの呼び出しを行うには、サーバーレス VPC アクセスが役立ちますが、内部 IP アドレスを使用して App Engine インスタンスにアクセスすることはできません。

外部 IP アドレスを割り当てずに内部 IP アドレスを使用して VPC ネットワークから App Engine に接続するには、次の操作を行います。

  1. 限定公開の Google アクセスを設定します。App Engine サービスで、限定公開の Google アクセス対応のサブネットが使用されていることを確認します。
  2. Private Service Connect エンドポイントを使用します。エンドポイントが限定公開の Google アクセス対応のサブネットに接続されていることを確認します。
  3. Private Service Connect エンドポイントにトラフィックを送信します。エンドポイントがサブネットに接続されていることを確認します。

外部 IP アドレスを持つ App Engine インスタンスは、要件なしで Private Service Connect エンドポイントにトラフィックを送信できます。

App Engine サービス間のアクセス権限をカスタマイズする

複数の App Engine サービスがあり、サービスごとに異なるアクセス権限を構成する場合(例: App Engine Service A へのアクセスを App Engine Service B からのみ有効にする場合)は、App Engine と Identity-Aware Proxy(IAP)を併用できます。

詳細については、ウェブサイトとアプリへのアクセスを制御するIAP のドキュメントをご覧ください。

App Engine を Cloud SQL のプライベート IP アドレスに接続する

プライベート IP アドレス経由で App Engine アプリを Cloud SQL インスタンスに接続するには、次のいずれかのオプションを使用します。

共有 VPC ネットワークに App Engine アプリをデプロイする

共有 VPC ネットワークの App Engine フレキシブル環境にアプリケーションをデプロイするには、内部 IP アドレスが必要です。内部 IP アドレスは、0.0.0.0/0 を回避するためにルートを追加します。

IP モードが internal に設定されたインスタンスの場合、ネットワークに対して次の変更を行う必要があります。

  • 使用するサブネットワークごとに限定公開の Google アクセスを有効にします。
  • 限定公開の Google アクセスに対応しているルートがまだない場合には、このルートを作成します。
  • 限定公開の Google アクセスに対応しているファイアウォール ルールがまだない場合は、このルールを作成します。
  • インターネットへのアクセスが必要な場合は、使用するサブネットワークに接続されているリージョンごとに Cloud NAT をデプロイする必要もあります。

VPC ネットワークのインターネット アクセスの要件に記載されているように、ネットワークには、有効なデフォルト インターネット ゲートウェイ ルート、または宛先 IP 範囲が最も一般的なカスタムルート(0.0.0.0/0)が必要です。この設定を削除すると、デプロイやサービス提供が失敗する可能性があります。