ID region
REGION_ID
adalah kode singkat yang ditetapkan Google berdasarkan region yang Anda pilih saat membuat aplikasi. Kode ini tidak sesuai dengan negara atau provinsi, meskipun beberapa ID region mungkin tampak mirip dengan kode negara dan provinsi yang umum digunakan. Untuk aplikasi yang dibuat setelah Februari 2020, REGION_ID.r
disertakan dalam URL App Engine. Untuk aplikasi lama yang dibuat sebelum tanggal tersebut, ID region bersifat opsional dalam URL.
Pelajari ID region lebih lanjut.
Bagian ini mendeskripsikan cara menggunakan setelan traffic masuk untuk membatasi akses jaringan ke
aplikasi App Engine Anda. Pada tingkat jaringan, secara default, resource apa pun di internet dapat menjangkau aplikasi App Engine Anda di URL appspot atau di domain kustom yang disiapkan di App Engine. Misalnya, URL appspot.com
dapat memiliki
format berikut:
SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
.
Anda dapat mengubah setelan default ini dengan menentukan
setelan yang berbeda untuk traffic masuk. Semua jalur traffic masuk, termasuk URL appspot.com
default, tunduk pada setelan traffic masuk Anda. Traffic masuk ditetapkan di
tingkat layanan.
Setelan traffic masuk yang tersedia
Berikut adalah setelan yang tersedia:
Setelan | Deskripsi |
---|---|
Internal |
Batasan maksimum. Mengizinkan permintaan dari resource yang terpasang
ke jaringan VPC project, seperti:
appspot.com .
Permintaan dari sumber lain, termasuk internet, tidak dapat menjangkau
layanan Anda di URL appspot.com atau domain kustom. Tidak
ada dukungan untuk multi-tenancy, yaitu, beberapa domain kepercayaan
dalam project yang sama.
|
Cloud Load Balancing dan Internal | Mengizinkan permintaan dari resource berikut:
appspot.com mengabaikan Load Balancer Aplikasi eksternal, sehingga
setelan ini mencegah permintaan eksternal mencapai
URL appspot.com .
|
Semua |
Batasan minimum. Mengizinkan semua permintaan, termasuk permintaan langsung dari
internet ke URL appspot.com .
|
Mengakses layanan internal
Pertimbangan berikut berlaku:
Untuk permintaan dari VPC Bersama, traffic hanya dianggap internal jika aplikasi App Engine di-deploy di project host VPC Bersama. Jika aplikasi App Engine di-deploy di project layanan VPC Bersama, hanya traffic dari jaringan yang dimiliki oleh project aplikasi itu sendiri yang bersifat internal. Semua traffic lainnya, termasuk traffic dari VPC Bersama lainnya, bersifat eksternal.
Saat mengakses layanan internal, panggil layanan seperti yang biasa Anda lakukan menggunakan URL publiknya, baik URL
appspot.com
default maupun domain kustom yang disiapkan di App Engine.Untuk permintaan dari instance VM Compute Engine atau resource lain yang berjalan di dalam jaringan VPC pada project yang sama, tidak diperlukan penyiapan lebih lanjut.
Permintaan dari resource dalam jaringan VPC pada project yang sama diklasifikasikan sebagai internal meskipun resource asalnya memiliki alamat IP publik.
Permintaan dari resource lokal yang terhubung ke jaringan VPC melalui Cloud VPN dianggap sebagai
internal
.
- Untuk permintaan dari layanan App Engine lain atau dari Cloud Run atau fungsi Cloud Run dalam project yang sama, hubungkan layanan atau fungsi ke jaringan VPC dan rutekan semua traffic keluar melalui konektor, seperti yang dijelaskan dalam Menghubungkan ke jaringan VPC Bersama.
Melihat setelan traffic masuk
Konsol
Buka halaman Layanan App Engine.
Cari kolom Traffic Masuk. Untuk setiap layanan, nilai dalam kolom ini menunjukkan setelan traffic masuk sebagai salah satu dari Semua (default), Internal + Load Balancing, atau Internal.
gcloud
Untuk melihat setelan traffic masuk layanan menggunakan gcloud CLI:
gcloud app services describe SERVICE
Ganti SERVICE dengan nama layanan Anda.
Misalnya, untuk melihat setelan traffic masuk dan informasi lainnya terkait menjalankan layanan default:
gcloud app services describe default
Mengedit setelan traffic masuk
Konsol
Buka halaman Layanan App Engine.
Pilih layanan yang ingin Anda edit.
Klik Edit setelan traffic masuk.
Pilih setelan traffic masuk yang Anda inginkan dari menu, lalu klik Simpan.
gcloud
Untuk mengupdate setelan traffic masuk layanan menggunakan gcloud CLI:
gcloud app services update SERVICE --ingress=INGRESS
Ganti:
- SERVICE: Nama layanan Anda.
- INGRESS: Kontrol traffic masuk yang ingin Anda terapkan. Salah satu dari
all
,internal-only
, atauinternal-and-cloud-load-balancing
.
Contoh:
Untuk mengupdate layanan default aplikasi App Engine agar hanya menerima traffic dari Cloud Load Balancing dan jaringan VPC yang ada dalam project yang sama:
gcloud app services update default --ingress=internal-and-cloud-load-balancing
Untuk memperbarui layanan bernama "internal-requests" agar hanya menerima traffic dari jaringan VPC yang ada dalam project yang sama:
gcloud app services update internal-requests --ingress=internal-only
Setelan keluar
Jika menggunakan Akses VPC Serverless, Anda dapat menentukan setelan traffic keluar untuk layanan App Engine Anda.
Secara default, hanya permintaan ke alamat IP internal dan nama DNS internal yang
dirutekan melalui konektor Akses VPC Serverless. Anda dapat
menentukan setelan traffic keluar untuk layanan Anda di file app.yaml
.
Setelan traffic keluar tidak kompatibel dengan layanan URL-fetch.
Menggunakan library urlfetch
akan mengabaikan setelan traffic keluar, dan permintaan tidak akan
dirutekan melalui konektor Akses VPC Serverless.
Untuk mengonfigurasi perilaku traffic keluar layanan App Engine Anda:
Tambahkan atribut
egress_setting
ke kolomvpc_access_connector
dari fileapp.yaml
layanan Anda:vpc_access_connector: name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME egress_setting: EGRESS_SETTING
Ganti:
PROJECT_ID
dengan project ID Google Cloud AndaREGION
dengan region tempat konektor Anda beradaCONNECTOR_NAME
dengan nama konektor AndaEGRESS_SETTING
dengan salah satu dari berikut ini:private-ranges-only
Default. Hanya permintaan ke rentang alamat IP RFC 1918 dan RFC 6598 atau nama DNS internal yang dirutekan ke jaringan VPC Anda. Semua permintaan lainnya dirutekan langsung ke internet.all-traffic
Semua permintaan keluar dari layanan dirutekan ke jaringan VPC Anda. Selanjutnya, permintaan akan mengikuti aturan firewall, DNS, dan perutean yang berlaku untuk jaringan VPC Anda. Perlu diperhatikan bahwa merutekan semua permintaan keluar ke jaringan VPC akan meningkatkan jumlah traffic keluar yang ditangani oleh konektor Akses VPC Serverless dan dapat dikenai biaya.
Men-deploy layanan:
gcloud app deploy