Regions-ID
REGION_ID
ist ein abgekürzter Code, den Google anhand der Region zuweist, die Sie beim Erstellen Ihrer Anwendung ausgewählt haben. Der Code bezieht sich nicht auf ein Land oder eine Provinz, auch wenn einige Regions-IDs häufig verwendeten Länder- und Provinzcodes ähneln können. Bei Anwendungen, die nach Februar 2020 erstellt wurden, ist REGION_ID.r
in den App Engine-URLs enthalten. Bei Anwendungen, die vor diesem Datum erstellt wurden, ist die Regions-ID in der URL optional.
In diesem Abschnitt wird beschrieben, wie Sie mit den Einstellungen für eingehenden Traffic den Netzwerkzugriff auf Ihre App Engine-Anwendung einschränken. Auf Netzwerkebene kann standardmäßig jede Ressource im Internet Ihre App Engine-Anwendung auf ihrer appspot-URL oder über eine in App Engine eingerichtete benutzerdefinierte Domain erreichen. Die URL appspot.com
kann beispielsweise das folgende Format haben: SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
.
Sie können diese Standardeinstellung ändern, indem Sie eine andere Einstellung für eingehenden Traffic festlegen. Alle Ingress-Pfade, einschließlich der Standard-URL appspot.com
, unterliegen der Einstellung für eingehenden Traffic. Eingehender Traffic wird auf Dienstebene festgelegt.
Verfügbare Einstellungen für eingehenden Traffic
Diese Einstellungen sind verfügbar:
Einstellung | Beschreibung |
---|---|
Intern |
Stärkste Einschränkung. Ermöglicht Anfragen von Ressourcen, die an die VPC-Netzwerke des Projekts angehängt sind, z. B. .
appspot.com auf Ihren Dienst zugreifen.
Anfragen aus anderen Quellen, einschließlich des Internets, können Ihren Dienst nicht über die URL appspot.com oder benutzerdefinierte Domains erreichen. Mehrinstanzenfähigkeit wird nicht unterstützt, also mehrere Vertrauensdomains in einem Projekt.
|
internes und Cloud-Load-Balancing | Anfragen von den folgenden Ressourcen sind zulässig:
appspot.com umgehen den externen Load-Balancer für Anwendungen. Daher verhindert diese Einstellung, dass externe Anfragen die URL appspot.com erreichen.
|
Alle |
Geringste Einschränkung. Ermöglicht alle Anfragen, einschließlich Anfragen direkt aus dem Internet an die URL appspot.com .
|
Auf interne Dienste zugreifen
Dabei gilt Folgendes:
Bei Anfragen von einer freigegebenen VPC wird der Traffic nur als intern betrachtet, wenn die App Engine-Anwendung im freigegebenen VPC-Hostprojekt bereitgestellt wird. Wenn die App Engine-Anwendung in einem freigegebenen VPC-Dienstprojekt bereitgestellt wird, ist nur der Traffic aus Netzwerken , die zum eigenen Projekt der Anwendung gehören, intern. Der gesamte andere Traffic, einschließlich Traffic von anderen freigegebenen VPCs, ist extern.
Wenn Sie auf interne Dienste zugreifen, rufen Sie sie so auf, wie Sie es auch mit ihren öffentlichen URLs tun würden, entweder die Standard-URL
appspot.com
oder eine in App Engine eingerichtete benutzerdefinierte Domain.Für Anfragen von Compute Engine-VM-Instanzen oder anderen Ressourcen, die in einem VPC-Netzwerk im selben Projekt ausgeführt werden, ist keine weitere Einrichtung erforderlich.
Anfragen von Ressourcen innerhalb von VPC-Netzwerken im selben Projekt werden als intern klassifiziert, auch wenn die Ressource, von der sie stammen, eine öffentliche IP-Adresse hat.
Anfragen von lokalen Ressourcen, die über Cloud VPN mit dem VPC-Netzwerk verbunden sind, gelten als
internal
.
- Verbinden Sie für Anfragen von anderen App Engine-Diensten oder von Cloud Run oder Cloud Run-Funktionen im selben Projekt den Dienst oder die Funktion mit einem VPC-Netzwerk und leiten Sie den gesamten ausgehenden Traffic über den Connector weiter, wie unter Verbindung zu einem freigegebenen VPC-Netzwerk herstellen beschrieben.
Einstellungen für eingehenden Traffic aufrufen
Console
Rufen Sie die Seite „App Engine-Dienste“ auf.
Suchen Sie die Spalte Ingress (Eingehend). Für jeden Dienst zeigt der Wert in dieser Spalte die Einstellung für eingehenden Traffic entweder als Alle (Standardeinstellung), Intern + Load-Balancing oder Intern.
gcloud
So rufen Sie die Einstellung für eingehenden Traffic für einen Dienst mit der gcloud CLI auf:
gcloud app services describe SERVICE
Ersetzen Sie SERVICE durch den Namen Ihres Dienstes.
So zeigen Sie beispielsweise die Einstellungen für eingehenden Traffic und andere Informationen für den Standarddienst an:
gcloud app services describe default
Einstellungen für eingehenden Traffic bearbeiten
Console
Rufen Sie die Seite „App Engine-Dienste“ auf.
Wählen Sie den Dienst aus, den Sie löschen möchten.
Klicken Sie auf Einstellung für eingehenden Traffic bearbeiten.
Wählen Sie die gewünschte Einstellung für eingehenden Traffic aus dem Menü aus und klicken Sie auf Speichern.
gcloud
So aktualisieren Sie die Einstellung für eingehenden Traffic für einen Dienst mit der gcloud CLI:
gcloud app services update SERVICE --ingress=INGRESS
Ersetzen Sie:
- SERVICE: Name Ihres Dienstes.
- INGRESS: Das Steuerelement für eingehenden Traffic, das Sie anwenden möchten. Entweder
all
,internal-only
oderinternal-and-cloud-load-balancing
.
Beispiel:
So aktualisieren Sie den Standarddienst einer App Engine-Anwendung, damit dieser nur Traffic von Cloud Load Balancing und VPC-Netzwerken akzeptiert, die sich im selben Projekt befinden:
gcloud app services update default --ingress=internal-and-cloud-load-balancing
Aktualisieren Sie den Dienst „internal-requests“ so, dass Traffic nur von VPC-Netzwerken im selben Projekt akzeptiert wird:
gcloud app services update internal-requests --ingress=internal-only
Einstellungen für ausgehenden Traffic
Wenn Sie den serverlosen VPC-Zugriff verwenden, können Sie die Einstellung für ausgehenden Traffic für Ihren App Engine-Dienst angeben.
Standardmäßig werden nur Anfragen an interne IP-Adressen und interne DNS-Namen über einen Connector für serverlosen VPC-Zugriff weitergeleitet. Sie können die Einstellung für ausgehenden Traffic für Ihren Dienst in der Datei app.yaml
angeben.
Einstellungen für ausgehenden Traffic sind nicht mit dem URL-Abrufdienst kompatibel.
Bei Verwendung der urlfetch
-Bibliothek werden die Einstellungen für ausgehenden Traffic ignoriert und Anfragen werden nicht über einen Connector für serverlosen VPC-Zugriff weitergeleitet.
So konfigurieren Sie das Verhalten des ausgehenden Traffics Ihres App Engine-Dienstes:
Fügen Sie das Attribut
egress_setting
dem Feldvpc_access_connector
der Dateiapp.yaml
Ihres Dienstes hinzu:vpc_access_connector: name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME egress_setting: EGRESS_SETTING
Ersetzen Sie:
PROJECT_ID
durch Ihre Google Cloud-Projekt-IDREGION
durch die Region, in der sich der Connector befindet.CONNECTOR_NAME
ist der Name des Connectors.EGRESS_SETTING
durch einen der folgenden Werte:private-ranges-only
Standardeinstellung. Nur Anfragen an die IP-Adressbereiche RFC 1918 und RFC 6598 oder interne DNS-Namen werden an Ihr VPC-Netzwerk weitergeleitet. Alle anderen Anfragen werden direkt an das Internet weitergeleitet.all-traffic
Alle ausgehenden Anfragen von Ihrem Dienst werden an Ihr VPC-Netzwerk weitergeleitet. Anfragen unterliegen dann den Firewall-, DNS- und Routingregeln Ihres VPC-Netzwerks. Beachten Sie, dass die Weiterleitung aller ausgehenden Anfragen an Ihr VPC-Netzwerk den Umfang des ausgehenden Traffics erhöht, der vom Connector für serverlosen VPC-Zugriff verarbeitet wird. Es können Gebühren anfallen.
Stellen Sie den Dienst bereit:
gcloud app deploy