本页介绍了常用的 App Engine 连接策略,包括与使用无服务器 VPC 访问通道和内部 IP 地址相关的步骤。
- 从 VPC 连接到 App Engine 实例
- 将 App Engine 连接到 Cloud SQL 专用 IP 地址
- 自定义 App Engine 服务之间的访问权限
- 在共享 VPC 网络中部署 App Engine 应用
从 VPC 连接到 App Engine 实例
在从 Google 的无服务器产品调用 Virtual Private Cloud (VPC) 网络时,无服务器 VPC 访问通道非常有用,但您无法使用内部 IP 地址访问 App Engine 实例。
如需在未分配外部 IP 地址的情况下使用内部 IP 地址从 VPC 网络连接到 App Engine,请执行以下操作:
- 设置专用 Google 访问通道。确保 App Engine 服务使用启用了专用 Google 访问通道的子网。
- 使用 Private Service Connect 端点。确保该端点已连接到启用了专用 Google 访问通道的子网。
- 将流量发送到 Private Service Connect 端点。确保该端点已连接到子网。
具有外部 IP 地址的 App Engine 实例可以将流量发送到 Private Service Connect 端点,无需满足任何要求。
自定义 App Engine 服务之间的访问权限
当您具有多个 App Engine 服务并希望在服务之间以不同方式配置访问权限(例如,您希望仅从 App Engine 服务 B 启用对 App Engine 服务 A 的访问)时,可以使用 App Engine 和 Identity-Aware Proxy (IAP)。
如需了解详情,请参阅控制对网站和应用的访问权限以及 IAP 文档。
将 App Engine 连接到 Cloud SQL 专用 IP 地址
如需通过专用 IP 地址将 App Engine 应用连接到 Cloud SQL 实例,请使用以下任一选项:
- App Engine 标准环境:使用无服务器 VPC 访问通道连接器通过内部 IP 地址连接到 Cloud SQL。如需了解详情,请参阅从 App Engine 标准环境连接到 Cloud SQL。
- App Engine 柔性环境:在 Cloud SQL 实例所在的同一 VPC 网络中部署柔性环境应用。您的应用现在应该能够使用 Cloud SQL 实例的专用 IP 地址直接连接。如需了解详情,请参阅从 App Engine 柔性环境连接到 Cloud SQL。
在共享 VPC 网络中部署 App Engine 应用
如需在共享 VPC 网络的 App Engine 柔性环境中部署应用,您需要使用内部 IP 地址。内部 IP 地址会添加路由以避免 0.0.0.0/0。
对于 IP 模式设置为 internal 的实例,您必须对网络进行以下更改:
- 为您使用的每个子网启用专用 Google 访问通道。
- 创建与专用 Google 访问通道兼容的路由(如果尚不存在)。
- 创建与专用 Google 访问通道兼容的防火墙规则(如果尚不存在)。
- 如果您需要传出互联网访问权限,还必须为您使用的子网关联的每个区域部署 Cloud NAT。
如 VPC 网络的互联网访问要求中所述,网络必须具有有效的默认互联网网关路由或自定义路由,其目的地 IP 地址范围是最通用的范围 (0.0.0.0/0)。如果您移除此设置,可能会导致部署或响应失败。