Einstellungen für eingehenden Traffic

Regions-ID

REGION_ID ist ein abgekürzter Code, den Google anhand der Region zuweist, die Sie beim Erstellen Ihrer Anwendung ausgewählt haben. Der Code bezieht sich nicht auf ein Land oder eine Provinz, auch wenn einige Regions-IDs häufig verwendeten Länder- und Provinzcodes ähneln können. Bei Anwendungen, die nach Februar 2020 erstellt wurden, ist REGION_ID.r in den App Engine-URLs enthalten. Bei Anwendungen, die vor diesem Datum erstellt wurden, ist die Regions-ID in der URL optional.

Hier finden Sie weitere Informationen zu Regions-IDs.

In diesem Abschnitt wird beschrieben, wie Sie mit den Einstellungen für eingehenden Traffic den Netzwerkzugriff auf Ihre App Engine-Anwendung einschränken. Auf Netzwerkebene kann standardmäßig jede Ressource im Internet Ihre App Engine-Anwendung auf ihrer appspot-URL oder über eine in App Engine eingerichtete benutzerdefinierte Domain erreichen. Die URL appspot.com kann beispielsweise das folgende Format haben: SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com.

Sie können diese Standardeinstellung ändern, indem Sie eine andere Einstellung für eingehenden Traffic festlegen. Alle Ingress-Pfade, einschließlich der Standard-URL appspot.com, unterliegen der Einstellung für eingehenden Traffic. Eingehender Traffic wird auf Dienstebene festgelegt.

Verfügbare Einstellungen für eingehenden Traffic

Diese Einstellungen sind verfügbar:

Einstellung Beschreibung
Intern Stärkste Einschränkung. Ermöglicht Anfragen von Ressourcen, die an die VPC-Netzwerke des Projekts angehängt sind, z. B.
. Anfragen von diesen Quellen verbleiben im Google-Netzwerk, auch wenn sie über die URL appspot.com auf Ihren Dienst zugreifen. Anfragen aus anderen Quellen, einschließlich des Internets, können Ihren Dienst nicht über die URL appspot.com oder benutzerdefinierte Domains erreichen. Mehrinstanzenfähigkeit wird nicht unterstützt, also mehrere Vertrauensdomains in einem Projekt.
internes und Cloud-Load-Balancing Anfragen von den folgenden Ressourcen sind zulässig:
  • Ressourcen, die durch die restriktivere interne Einstellung zulässig sind
  • Externer Application Load Balancer
Verwenden Sie die Einstellung Intern und Cloud Load Balancing, um Anfragen von einem externen HTTP(S)-Load-Balancer für Anwendungen zu akzeptieren, aber nicht direkt aus dem Internet. Anfragen an die URL appspot.com umgehen den externen Load-Balancer für Anwendungen. Daher verhindert diese Einstellung, dass externe Anfragen die URL appspot.com erreichen.
Alle Geringste Einschränkung. Ermöglicht alle Anfragen, einschließlich Anfragen direkt aus dem Internet an die URL appspot.com.

Auf interne Dienste zugreifen

Dabei gilt Folgendes:

  • Bei Anfragen von einer freigegebenen VPC wird der Traffic nur als intern betrachtet, wenn die App Engine-Anwendung im freigegebenen VPC-Hostprojekt bereitgestellt wird. Wenn die App Engine-Anwendung in einem freigegebenen VPC-Dienstprojekt bereitgestellt wird, ist nur der Traffic aus Netzwerken , die zum eigenen Projekt der Anwendung gehören, intern. Der gesamte andere Traffic, einschließlich Traffic von anderen freigegebenen VPCs, ist extern.

  • Wenn Sie auf interne Dienste zugreifen, rufen Sie sie so auf, wie Sie es auch mit ihren öffentlichen URLs tun würden, entweder die Standard-URL appspot.com oder eine in App Engine eingerichtete benutzerdefinierte Domain.

  • Für Anfragen von Compute Engine-VM-Instanzen oder anderen Ressourcen, die in einem VPC-Netzwerk im selben Projekt ausgeführt werden, ist keine weitere Einrichtung erforderlich.

  • Anfragen von Ressourcen innerhalb von VPC-Netzwerken im selben Projekt werden als intern klassifiziert, auch wenn die Ressource, von der sie stammen, eine öffentliche IP-Adresse hat.

  • Anfragen von lokalen Ressourcen, die über Cloud VPN mit dem VPC-Netzwerk verbunden sind, gelten als internal.

  • Verbinden Sie für Anfragen von anderen App Engine-Diensten oder von Cloud Run oder Cloud Run-Funktionen im selben Projekt den Dienst oder die Funktion mit einem VPC-Netzwerk und leiten Sie den gesamten ausgehenden Traffic über den Connector weiter, wie unter Verbindung zu einem freigegebenen VPC-Netzwerk herstellen beschrieben.

Einstellungen für eingehenden Traffic aufrufen

Console

  1. Rufen Sie die Seite „App Engine-Dienste“ auf.

    Zur Seite „Dienste“

  2. Suchen Sie die Spalte Ingress (Eingehend). Für jeden Dienst zeigt der Wert in dieser Spalte die Einstellung für eingehenden Traffic entweder als Alle (Standardeinstellung), Intern + Load-Balancing oder Intern.

gcloud

So rufen Sie die Einstellung für eingehenden Traffic für einen Dienst mit der gcloud CLI auf:

gcloud app services describe SERVICE

Ersetzen Sie SERVICE durch den Namen Ihres Dienstes.

So zeigen Sie beispielsweise die Einstellungen für eingehenden Traffic und andere Informationen für den Standarddienst an:

gcloud app services describe default

Einstellungen für eingehenden Traffic bearbeiten

Console

  1. Rufen Sie die Seite „App Engine-Dienste“ auf.

    Zur Seite „Dienste“

  2. Wählen Sie den Dienst aus, den Sie löschen möchten.

  3. Klicken Sie auf Einstellung für eingehenden Traffic bearbeiten.

  4. Wählen Sie die gewünschte Einstellung für eingehenden Traffic aus dem Menü aus und klicken Sie auf Speichern.

gcloud

So aktualisieren Sie die Einstellung für eingehenden Traffic für einen Dienst mit der gcloud CLI:

gcloud app services update SERVICE --ingress=INGRESS

Ersetzen Sie:

  • SERVICE: Name Ihres Dienstes.
  • INGRESS: Das Steuerelement für eingehenden Traffic, das Sie anwenden möchten. Entweder all, internal-only oder internal-and-cloud-load-balancing.

Beispiel:

  • So aktualisieren Sie den Standarddienst einer App Engine-Anwendung, damit dieser nur Traffic von Cloud Load Balancing und VPC-Netzwerken akzeptiert, die sich im selben Projekt befinden:

    gcloud app services update default --ingress=internal-and-cloud-load-balancing
  • Aktualisieren Sie den Dienst „internal-requests“ so, dass Traffic nur von VPC-Netzwerken im selben Projekt akzeptiert wird:

    gcloud app services update internal-requests --ingress=internal-only

Einstellungen für ausgehenden Traffic

Wenn Sie den serverlosen VPC-Zugriff verwenden, können Sie die Einstellung für ausgehenden Traffic für Ihren App Engine-Dienst angeben.

Standardmäßig werden nur Anfragen an interne IP-Adressen und interne DNS-Namen über einen Connector für serverlosen VPC-Zugriff weitergeleitet. Sie können die Einstellung für ausgehenden Traffic für Ihren Dienst in der Datei app.yaml angeben.

Einstellungen für ausgehenden Traffic sind nicht mit dem URL-Abrufdienst kompatibel. Bei Verwendung der urlfetch-Bibliothek werden die Einstellungen für ausgehenden Traffic ignoriert und Anfragen werden nicht über einen Connector für serverlosen VPC-Zugriff weitergeleitet.

So konfigurieren Sie das Verhalten des ausgehenden Traffics Ihres App Engine-Dienstes:

  1. Fügen Sie das Attribut egress_setting dem Feld vpc_access_connector der Datei app.yaml Ihres Dienstes hinzu:

    vpc_access_connector:
      name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
      egress_setting: EGRESS_SETTING

    Ersetzen Sie:

    • PROJECT_ID durch Ihre Google Cloud-Projekt-ID
    • REGION durch die Region, in der sich der Connector befindet.
    • CONNECTOR_NAME ist der Name des Connectors.
    • EGRESS_SETTING durch einen der folgenden Werte:
      • private-ranges-only Standardeinstellung. Nur Anfragen an die IP-Adressbereiche RFC 1918 und RFC 6598 oder interne DNS-Namen werden an Ihr VPC-Netzwerk weitergeleitet. Alle anderen Anfragen werden direkt an das Internet weitergeleitet.
      • all-traffic Alle ausgehenden Anfragen von Ihrem Dienst werden an Ihr VPC-Netzwerk weitergeleitet. Anfragen unterliegen dann den Firewall-, DNS- und Routingregeln Ihres VPC-Netzwerks. Beachten Sie, dass die Weiterleitung aller ausgehenden Anfragen an Ihr VPC-Netzwerk den Umfang des ausgehenden Traffics erhöht, der vom Connector für serverlosen VPC-Zugriff verarbeitet wird. Es können Gebühren anfallen.
  2. Stellen Sie den Dienst bereit:

    gcloud app deploy