本頁說明常用的 App Engine 連線策略,包括使用無伺服器虛擬私有雲存取和內部 IP 位址的相關步驟。
- 從虛擬私有雲連線至 App Engine 執行個體
- 將 App Engine 連線至 Cloud SQL 私人 IP 位址
- 自訂 App Engine 服務之間的存取權
- 在共用虛擬私有雲網路中部署 App Engine 應用程式
從虛擬私有雲連線至 App Engine 執行個體
從 Google 的無伺服器產品呼叫虛擬私有雲 (VPC) 網路時,無伺服器虛擬私有雲存取功能非常實用,但您無法使用內部 IP 位址存取 App Engine 執行個體。
如要使用內部 IP 位址從虛擬私有雲網路連線至 App Engine,且不使用已指派的外部 IP 位址,請執行下列步驟:
- 設定私人 Google 存取權。確認 App Engine 服務使用的子網路已啟用私人 Google 存取權。
- 使用 Private Service Connect 端點。確認端點已連線至啟用私人 Google 存取權的子網路。
- 將流量傳送至 Private Service Connect 端點。確認端點已連上子網路。
具備外部 IP 位址的 App Engine 執行個體可將流量傳送至 Private Service Connect 端點,無須任何條件。
自訂 App Engine 服務之間的存取權
如果您有多項 App Engine 服務,且想為不同服務設定不同的存取權 (例如,您只想允許 App Engine 服務 B 存取 App Engine 服務 A),可以使用 App Engine with Identity-Aware Proxy (IAP)。
詳情請參閱「控管網站和應用程式的存取權」和 IAP 說明文件。
將 App Engine 連線至 Cloud SQL 私人 IP 位址
如要透過私人 IP 位址將 App Engine 應用程式連線至 Cloud SQL 執行個體,請使用下列其中一個選項:
- App Engine 標準環境:使用無伺服器虛擬私人雲端存取連接器,透過內部 IP 位址連線至 Cloud SQL。詳情請參閱「將 App Engine 標準環境連線至 Cloud SQL」。
- App Engine 彈性環境:在與 Cloud SQL 執行個體相同的 VPC 網路中,部署彈性環境應用程式。現在,您的應用程式應該可以使用 Cloud SQL 執行個體的私人 IP 位址直接連線。詳情請參閱「從 App Engine 彈性環境連線至 Cloud SQL」。
在共用 VPC 網路中部署 App Engine 應用程式
如要在共用 VPC 網路的 App Engine 彈性環境中部署應用程式,必須使用內部 IP 位址。內部 IP 位址會新增路徑,以避開 0.0.0.0/0。
如果執行個體的 IP 模式設為 internal,您必須對網路進行下列變更:
- 為使用的每個子網路啟用私人 Google 存取權。
- 如果沒有與私人 Google 存取相容的路徑,請建立該路徑。
- 如果還沒有,請建立與私人 Google 存取權相容的防火牆規則。
- 如需網際網路連出存取權,您也必須為每個附加至所用子網路的區域部署 Cloud NAT。
如虛擬私有雲網路的網際網路存取權需求所述,網路必須具備有效的預設網際網路閘道路徑或自訂路徑,這類路徑的目的地 IP 範圍是最常見的形式 (0.0.0.0/0)。如果移除這項設定,可能會導致部署或服務失敗。