Indirizzi IP in uscita per i servizi App Engine

I servizi in uscita, come le API di recupero URL, Socket e Posta, utilizzano un ampio pool di indirizzi IP. Gli intervalli di indirizzi IP in questo pool sono soggetti a modifiche alla routine. Infatti, due chiamate API sequenziali dalla stessa applicazione possono sembrare provenienti da due indirizzi IP diversi.

Se hai bisogno di conoscere gli indirizzi IP associati al traffico in uscita dal tuo servizio, puoi trovare gli intervalli di indirizzi IP attuali del tuo servizio o configurare un indirizzo IP statico per il servizio.

Indirizzi IP per i servizi App Engine

Puoi trovare gli intervalli di indirizzi IP correnti per i tuoi servizi App Engine in base alle informazioni sugli intervalli IP pubblicate da Google:

  • Google pubblica l'elenco completo degli intervalli IP che rende disponibili per gli utenti su internet in goog.json.

  • Google pubblica inoltre un elenco di intervalli di indirizzi IP esterni globali e a livello di regione disponibili per le risorse Google Cloud dei clienti in cloud.json.

Gli indirizzi IP utilizzati dalle API e dai servizi Google rientrano nell'elenco di intervalli calcolato rimuovendo tutti gli intervalli in cloud.json da quelli in goog.json. Questi elenchi vengono aggiornati di frequente.

Puoi utilizzare il seguente script Python per creare un elenco di intervalli di indirizzi IP che includono quelli utilizzati dalle API e dai servizi Google.

Per informazioni sull'esecuzione di questo script, consulta la sezione Come eseguire.

from __future__ import print_function

import json

try:
    from urllib import urlopen
except ImportError:
    from urllib.request import urlopen
    from urllib.error import HTTPError

import netaddr

IPRANGE_URLS = {
    "goog": "https://www.gstatic.com/ipranges/goog.json",
    "cloud": "https://www.gstatic.com/ipranges/cloud.json",
}

def read_url(url):
    try:
        return json.loads(urlopen(url).read())
    except (IOError, HTTPError):
        print("ERROR: Invalid HTTP response from %s" % url)
    except json.decoder.JSONDecodeError:
        print("ERROR: Could not parse HTTP response from %s" % url)

def get_data(link):
    data = read_url(link)
    if data:
        print("{} published: {}".format(link, data.get("creationTime")))
        cidrs = netaddr.IPSet()
        for e in data["prefixes"]:
            if "ipv4Prefix" in e:
                cidrs.add(e.get("ipv4Prefix"))
            if "ipv6Prefix" in e:
                cidrs.add(e.get("ipv6Prefix"))
        return cidrs

def main():
    cidrs = {group: get_data(link) for group, link in IPRANGE_URLS.items()}
    if len(cidrs) != 2:
        raise ValueError("ERROR: Could process data from Google")
    print("IP ranges for Google APIs and services default domains:")
    for ip in (cidrs["goog"] - cidrs["cloud"]).iter_cidrs():
        print(ip)

if __name__ == "__main__":
    main()

Configura un indirizzo IP in uscita statico

Per configurare un indirizzo IP statico per il servizio ambiente standard di App Engine, utilizza l'accesso VPC serverless con il router Cloud e Cloud NAT. Se utilizzi l'accesso VPC serverless, puoi inviare il traffico in uscita alla rete VPC (Virtual Private Cloud). Utilizzando un gateway NAT (Network Address Translation) sul tuo VPC, puoi instradare il traffico di App Engine attraverso un indirizzo IP dedicato.

L'instradamento del traffico tramite Cloud NAT non causa un ulteriore hop nello stack di rete, poiché il gateway Cloud NAT e il router Cloud forniscono solo un piano di controllo e i pacchetti non passano attraverso il gateway Cloud NAT o il router Cloud.

Non è possibile configurare gli indirizzi IP in uscita statici per il traffico inviato utilizzando il servizio di recupero degli URL. Il traffico inviato tramite il servizio di recupero URL continuerà a utilizzare il pool di indirizzi IP pubblici. Se vuoi che tutto il traffico in uscita utilizzi un indirizzo IP statico, disattiva l'impostazione predefinita Recupero URL e interrompi qualsiasi utilizzo esplicito della libreria urlfetch.

I passaggi seguenti mostrano come configurare un indirizzo IP in uscita statico per il servizio dell'ambiente standard di App Engine.

  1. Assicurati di avere il ruolo roles/compute.networkAdmin o un ruolo personalizzato con le stesse autorizzazioni.

  2. Crea una subnet all'interno della tua rete VPC per il traffico di App Engine. Ciò garantisce che le altre risorse nella rete VPC non possano utilizzare l'indirizzo IP statico.

    gcloud compute networks subnets create SUBNET_NAME \
    --range=RANGE \
    --network=NETWORK_NAME \
    --region=REGION

    Nel comando riportato sopra, sostituisci:

    • SUBNET_NAME con un nome da assegnare alla subnet.
    • RANGE con l'intervallo IP in formato CIDR da assegnare a questa subnet (ad es. 10.124.0.0/28)
    • NETWORK_NAME con il nome della rete VPC.
    • REGION con la regione del tuo servizio App Engine.

  3. Connetti il servizio App Engine alla subnet.

    Segui la guida Connessione a una rete VPC e specifica il nome della subnet creata nel passaggio precedente per la subnet del connettore.

  4. Creare un nuovo router Cloud. Il router Cloud è un componente del piano di controllo necessario per Cloud NAT.

    gcloud compute routers create ROUTER_NAME \
    --network=NETWORK_NAME \
    --region=REGION

    Nel comando riportato sopra, sostituisci:

    • ROUTER_NAME con un nome per la risorsa Router Cloud che vuoi creare.
    • NETWORK_NAME con il nome della rete VPC.
    • REGION con la regione in cui vuoi creare un gateway NAT.

  5. Prenota un indirizzo IP statico.

    Si tratta dell'indirizzo che verrà utilizzato dal servizio per inviare il traffico in uscita. Una risorsa di indirizzo IP riservato conserva l'indirizzo IP sottostante quando la risorsa a cui è associata viene eliminata e ricreata. Questo indirizzo IP viene conteggiato ai fini delle quote di indirizzi IP statici nel tuo progetto Google Cloud.

    gcloud compute addresses create ORIGIN_IP_NAME \
    --region=REGION

    Nel comando riportato sopra, sostituisci:

    • ORIGIN_IP_NAME con il nome che vuoi assegnare alla risorsa indirizzo IP.
    • REGION con la regione che eseguirà il router Cloud NAT. Idealmente la stessa regione del servizio App Engine per ridurre al minimo la latenza e i costi di rete.

    Utilizza il comando compute addresses describe per visualizzare il risultato:

    gcloud compute addresses describe ORIGIN_IP_NAME

  6. Crea un gateway Cloud NAT e specifica il tuo indirizzo IP.

    Il traffico proveniente dalla subnet passa attraverso questo gateway e utilizza l'indirizzo IP statico che hai prenotato nel passaggio precedente.

    gcloud compute routers nats create NAT_NAME \
    --router=ROUTER_NAME \
    --region=REGION \
    --nat-custom-subnet-ip-ranges=SUBNET_NAME \
    --nat-external-ip-pool=ORIGIN_IP_NAME

    Nel comando riportato sopra, sostituisci:

    • NAT_NAME con il nome della risorsa gateway Cloud NAT che vuoi creare.
    • ROUTER_NAME con il nome del tuo router Cloud.
    • REGION con la regione in cui vuoi creare un gateway NAT.
    • ORIGIN_IP_NAME con il nome della risorsa dell'indirizzo IP riservato che hai creato nel passaggio precedente.

  7. Imposta l'impostazione di accesso VPC serverless serverless su all-traffic.

    Per impostazione predefinita, i servizi App Engine che utilizzano l'accesso VPC serverless inviano solo traffico interno alla rete VPC. Per inviare il traffico con destinazioni esterne alla tua rete VPC in modo che abbia l'indirizzo IP statico specificato, devi modificare l'impostazione relativa al traffico in uscita.

    Specifica l'impostazione per il traffico in uscita nel file app.yaml per il tuo servizio:

    vpc_access_connector:
  name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
  egress_setting: all-traffic

    Sostituisci:

    • PROJECT_ID con il tuo ID progetto Google Cloud.
    • REGION con la regione in cui si trova il connettore.
    • CONNECTOR_NAME con il nome del connettore.

    Esegui il deployment del servizio:

     gcloud app deploy