Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Auf dieser Seite werden häufig verwendete App Engine-Konnektivitätsstrategien beschrieben, einschließlich der Schritte zur Verwendung des serverlosen VPC-Zugriffs und interner IP-Adressen.
Der serverlose VPC-Zugriff ist nützlich, um Aufrufe von den serverlosen Angeboten von Google an ein VPC-Netzwerk (Virtual Private Cloud) zu senden. Er bietet jedoch keine Möglichkeit, über interne IP-Adressen auf App Engine-Instanzen zuzugreifen.
Wenn Sie über eine interne IP-Adresse ohne zugewiesene externe IP-Adresse eine Verbindung vom VPC-Netzwerk zur App Engine herstellen möchten, gehen Sie so vor:
Richten Sie den privaten Google-Zugriff ein. Der App Engine-Dienst muss ein für den privaten Google-Zugriff aktiviertes Subnetz verwenden.
Verwenden Sie einen Private Service Connect-Endpunkt. Prüfen Sie, ob der Endpunkt mit dem für den privaten Google-Zugriff aktivierten Subnetz verbunden ist.
Senden Sie Traffic an den Private Service Connect-Endpunkt. Prüfen Sie, ob der Endpunkt mit dem Subnetz verbunden ist.
App Engine-Instanzen mit externen IP-Adressen können Traffic ohne Einschränkungen an Private Service Connect-Endpunkte senden.
Zugriffsberechtigungen zwischen App Engine-Diensten anpassen
Wenn Sie mehrere App Engine-Dienste haben und Zugriffsberechtigungen zwischen den Diensten unterschiedlich konfigurieren möchten (z. B. möchten Sie den Zugriff auf App Engine-Dienst A nur über App Engine-Dienst B aktivieren), können Sie App Engine mit Identity-Aware Proxy (IAP) verwenden.
Flexible App Engine-Umgebung: Stellen Sie Ihre Anwendung in der flexiblen Umgebung im selben VPC-Netzwerk wie Ihre Cloud SQL-Instanz bereit. Ihre Anwendung sollte nun direkt über die private IP-Adresse der Cloud SQL-Instanz eine Verbindung herstellen können. Weitere Informationen finden Sie unter Verbindung von der flexiblen App Engine-Umgebung zu Cloud SQL herstellen.
App Engine-Anwendung in einem freigegebenen VPC-Netzwerk bereitstellen
Für die Bereitstellung einer Anwendung in der flexiblen App Engine-Umgebung in einem freigegebenen VPC-Netzwerk ist eine interne IP-Adresse erforderlich. Die interne IP-Adresse fügt eine Route hinzu, um 0.0.0.0/0 zu vermeiden.
Für Instanzen, bei denen der IP-Modus auf internal gesetzt ist, müssen Sie folgende Änderungen am Netzwerk vornehmen:
Erstellen Sie eine Route, die mit dem privaten Google-Zugriff kompatibel ist, falls noch nicht vorhanden.
Erstellen Sie eine Firewallregel, die mit dem privaten Google-Zugriff kompatibel ist, falls noch nicht vorhanden.
Wenn Sie ausgehenden Internetzugriff benötigen, müssen Sie auch Cloud NAT für alle Regionen bereitstellen, die mit den von Ihnen verwendeten Subnetzwerken verbunden sind.
Wie in den Anforderungen für den Internetzugriff für VPC-Netzwerke dokumentiert, muss das Netzwerk eine gültige, standardmäßige Internet-Gateway-Route oder eine benutzerdefinierte Route haben, deren Ziel-IP-Bereich allgemein ist (0.0.0.0/0). Wenn Sie diese Einstellung entfernen, kann es zu Bereitstellungs- oder Dienstfehlern kommen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-04 (UTC)."],[[["\u003cp\u003eApp Engine connectivity can be established from a VPC network using Private Google Access and a Private Service Connect endpoint for instances without external IP addresses.\u003c/p\u003e\n"],["\u003cp\u003eServerless VPC Access enables App Engine standard environment apps to connect to Cloud SQL using internal IP addresses, while flexible environment apps can connect directly when deployed in the same VPC network.\u003c/p\u003e\n"],["\u003cp\u003eApp Engine services can have customized access permissions, using App Engine with Identity-Aware Proxy (IAP) to enable granular control between the different App Engine services.\u003c/p\u003e\n"],["\u003cp\u003eDeploying App Engine flexible environment apps in a Shared VPC network with internal IP mode requires enabling Private Google Access, adding a compatible route and firewall rule, and potentially deploying Cloud NAT for outgoing internet access.\u003c/p\u003e\n"],["\u003cp\u003eInternal ip address mode deployment in shared VPC networks requires valid default internet gateway route or custom route with \u003ccode\u003e0.0.0.0/0\u003c/code\u003e destination ip range.\u003c/p\u003e\n"]]],[],null,["# App Engine connectivity strategies\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nThis page describes commonly used App Engine connectivity\nstrategies, including steps related to using [Serverless VPC Access](/vpc/docs/serverless-vpc-access) and internal IP addresses.\n\n- [Connect from VPC to App Engine instances](#set-up-connectivity-from-vpc-to-app-engine)\n- [Connect App Engine to Cloud SQL private IP addresses](#sql-connectivity)\n- [Customize access permissions between App Engine services](#access-permissions)\n- [Deploy an App Engine app in a Shared VPC network](#internal-ip)\n\nConnect from VPC to App Engine instances\n----------------------------------------\n\nServerless VPC Access is useful when making calls from Google's\nserverless offerings to a Virtual Private Cloud (VPC) network, but you can't\naccess App Engine instances using an internal IP address.\n\nTo connect to App Engine from the VPC network using an\ninternal IP address without an assigned external IP address, do the following:\n\n1. Set up [Private Google Access](/vpc/docs/private-google-access). Ensure that the App Engine service uses a Private Google Access-enabled subnet.\n2. Use a [Private Service Connect](/vpc/docs/private-service-connect) endpoint. Ensure that the endpoint is connected to the Private Google Access-enabled subnet.\n3. Send traffic to the Private Service Connect endpoint. Ensure that the endpoint is connected to the subnet.\n\nApp Engine instances with external IP addresses can send traffic to\nPrivate Service Connect endpoints without any requirements.\n\nCustomize access permissions between App Engine services\n--------------------------------------------------------\n\nWhen you have multiple App Engine services and\nwant to configure access permissions differently between services (for example,\nyou want to enable access to App Engine Service A only from App Engine Service B), you can use\n[App Engine with Identity-Aware Proxy (IAP)](/solutions/authenticating-web-users).\n\nFor more information, see [Controlling access to websites and apps](/solutions/authenticating-web-users) and [IAP documentation](/iap/docs/authenticate-users-google-accounts).\n\nConnect App Engine to Cloud SQL private IP addresses\n----------------------------------------------------\n\nTo connect your App Engine apps to [Cloud SQL](/sql)\ninstances over private IP addresses, use one of the following options:\n\n- **App Engine standard environment** : Use the [Serverless VPC Access connector](/vpc/docs/serverless-vpc-access) to connect to Cloud SQL over internal IP addresses. For more information, see [Connecting from App Engine standard environment to Cloud SQL](/sql/docs/mysql/connect-app-engine-standard#configuring).\n- **App Engine flexible environment** : Deploy your flexible environment app in the same VPC network as your Cloud SQL instance. Your app should now be able to connect directly using Cloud SQL instance's private IP address. For more information, see [Connecting from App Engine flexible environment to Cloud SQL](/sql/docs/mysql/connect-app-engine-flexible#configuring).\n\nDeploy an App Engine app in a Shared VPC network\n------------------------------------------------\n\nDeploying an application in the App Engine flexible environment in a Shared VPC network\nrequires an internal IP address. The internal IP address adds a route to avoid\n`0.0.0.0/0`.\n\nFor instances with IP mode set to `internal`, you must make the following\nchanges to the network:\n\n- Enable [Private Google Access](/vpc/docs/private-google-access) for each subnetwork that you use.\n- Create a route compatible with [Private Google Access](/vpc/docs/private-google-access) if it doesn't already exist.\n- Create a firewall rule compatible with [Private Google Access](/vpc/docs/private-google-access) if it doesn't already exist.\n- If you need outgoing internet access, you must also deploy Cloud NAT for each region attached to subnetworks that you use.\n\nAs documented in the [internet access requirement for VPC networks](/vpc/docs/vpc#internet_access_reqs),\nthe network must have a valid default internet gateway route or custom route\nwhose destination IP range is the most general (`0.0.0.0/0`). If you remove this\nsetting, it could cause deployment or serving failures."]]
