Connexion à un réseau VPC

L'accès au VPC sans serveur vous permet de vous connecter directement à des instances de VM Compute Engine, à des instances Cloud Memorystore, à des instances Cloud SQL et à toute autre ressource possédant une adresse IP interne à partir de votre application App Engine. Cet accès s'avère utile dans les scénarios suivants :

  • Vous exécutez un service de backend sur un groupe d'instances géré dans Compute Engine et avez besoin de votre application pour communiquer avec ce service sans aucune exposition au réseau Internet public.
  • Votre application utilise un logiciel tiers que vous exécutez sur une VM Compute Engine.
  • Vous exploitez Cloud Memorystore pour stocker des données relatives à votre application App Engine.
  • Votre application doit accéder aux données de votre base de données sur site via Cloud VPN.

Avec l'accès au VPC sans serveur, les requêtes envoyées depuis votre application vers des adresses IP internes (telles que définies par la RFC 1918) sont acheminées via un connecteur d'accès au VPC sans serveur vers votre réseau VPC. Les requêtes envoyées à des adresses IP publiques sont acheminées via Internet. Comme les adresses IP internes ne sont accessibles que depuis les services Google Cloud Platform, leur utilisation évite d'exposer des ressources internes au réseau Internet public et améliore la latence des communications entre vos services.

L'accès au VPC sans serveur accepte la communication avec les réseaux VPC connectés via Cloud VPN et via l'appairage de réseaux VPC. L'accès au VPC sans serveur n'est pas compatible avec les anciens réseaux ni avec les réseaux VPC partagés. Les connecteurs d'accès au VPC sans serveur entraînent des frais mensuels. Pour en savoir plus, consultez les tarifs de l'accès au VPC sans serveur.

Se connecter au réseau VPC

Pour connecter une application App Engine à votre réseau VPC, procédez comme suit :

  1. Créez un connecteur d'accès au VPC sans serveur.
  2. Configurez vos services App Engine pour utiliser le connecteur.

Un connecteur d'accès au VPC sans serveur doit se trouver dans le même projet et la même région que l'application qui l'utilise, mais il peut envoyer du trafic à des ressources se trouvant dans d'autres régions. Plusieurs services App Engine peuvent exploiter le même connecteur. Pour en savoir plus sur les connecteurs, consultez la page Configurer l'accès au VPC sans serveur.

Créer un connecteur

Vous pouvez créer un connecteur depuis la console GCP ou à l'aide de l'outil de ligne de commande gcloud.

Console

  1. Accédez à la page de présentation de l'accès au VPC sans serveur.

    Accéder à l'accès au VPC sans serveur

  2. Cliquez sur Créer un connecteur.

  3. Dans le champ Nom, saisissez le nom du connecteur.

  4. Dans le champ Région, sélectionnez la région dans laquelle se trouve votre application.

  5. Dans le champ Réseau, sélectionnez le réseau VPC auquel vous souhaitez vous connecter.

  6. Dans le champ Plage d'adresses IP, saisissez une plage CIDR /28 inutilisée. Les adresses figurant dans cette plage sont utilisées comme adresses sources pour le trafic envoyé via le connecteur. Cette plage d'adresses IP ne doit pas chevaucher les réservations d'adresses IP existantes sur votre réseau VPC.

  7. (Facultatif) Vous pouvez contrôler le débit du connecteur en définissant les valeurs des champs Débit minimal et Débit maximal.

  8. Cliquez sur Créer.

Une coche verte apparaît à côté du nom du connecteur lorsque celui-ci est prêt à être utilisé.

gcloud

  1. Activez l'API Serverless VPC Access pour votre projet à l'aide de la commande suivante :

    gcloud services enable vpcaccess.googleapis.com
    
  2. Créez un connecteur :

    gcloud beta compute networks vpc-access connectors create CONNECTOR_NAME \
    --network VPC_NETWORK \
    --region REGION \
    --range IP_RANGE
    

    Où :

    • CONNECTOR_NAME est le nom du connecteur.
    • VPC_NETWORK est le réseau VPC auquel vous souhaitez vous connecter.
    • REGION est la région dans laquelle se trouve votre application.
    • IP_RANGE est une plage d'adresses IP CIDR /28 non utilisée. Les adresses figurant dans cette plage sont utilisées comme adresses sources pour le trafic envoyé via le connecteur. Cette plage d'adresses IP ne doit pas chevaucher les réservations d'adresses IP existantes sur votre réseau VPC.
  3. Avant d'utiliser le connecteur, vérifiez qu'il est dans l'état READY :

    gcloud beta compute networks vpc-access connectors describe CONNECTOR_NAME --region REGION
    

    Le résultat de la commande doit contenir la ligne state: READY.

Si la création d'un connecteur entraîne une erreur, suivez la procédure suivante et recréez votre connecteur :

  • Spécifiez une plage d'adresses IP qui ne chevauche pas les réservations d'adresses IP existantes sur le réseau VPC.
  • Accordez à votre projet l'autorisation d'utiliser les images de VM Compute Engine du projet avec l'ID serverless-vpc-access-images. Consultez la page Définir des contraintes d'accès aux images pour savoir comment mettre à jour votre règle d'administration en conséquence.

Configurer une application pour utiliser un connecteur

Une fois que vous avez créé un connecteur d'accès au VPC sans serveur, vous pouvez configurer les services de votre application App Engine pour utiliser le connecteur. Plusieurs services peuvent exploiter le même connecteur.

Pour associer le connecteur à un service de l'application, procédez comme suit :

  1. Ajoutez l'élément <vpc-access-connector> au fichier appengine-web.xml de votre service :

    <vpc-access-connector>
      <name>projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME</name>
    </vpc-access-connector>
    

    PROJECT_ID est l'ID de votre projet GCP, et où REGION et CONNECTOR_NAME correspondent respectivement à la région et au nom définis lors de la création du connecteur. Notez que le connecteur et l'application doivent se trouver dans la même région.

  2. Déployez le service :

    gcloud beta app deploy WEB-INF/appengine-web.xml
    

Une fois votre service déployé, celui-ci peut envoyer des requêtes aux adresses IP internes afin d'accéder aux ressources de votre réseau VPC.

Déconnecter une application d'un connecteur

Si votre application n'a plus besoin de se connecter au réseau VPC, vous pouvez déconnecter le connecteur d'accès au VPC sans serveur.

Pour déconnecter un service d'un connecteur, procédez comme suit :

  1. Supprimez l'élément <vpc-access-connector> du fichier appengine-web.xml de votre service.

  2. Redéployez le service :

    gcloud app deploy WEB-INF/appengine-web.xml
    

Étape suivante

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Environnement standard App Engine pour Java