En esta página se describen las estrategias de conectividad de App Engine que se usan con frecuencia, incluidos los pasos relacionados con el uso del acceso a VPC sin servidor y las direcciones IP internas.
- Conectarse de una VPC a instancias de App Engine
- Conectar App Engine a direcciones IP privadas de Cloud SQL
- Personalizar los permisos de acceso entre servicios de App Engine
- Desplegar una aplicación de App Engine en una red de VPC compartida
Conectarse de una VPC a instancias de App Engine
El acceso a VPC sin servidor es útil cuando se hacen llamadas desde las ofertas sin servidor de Google a una red de nube privada virtual (VPC), pero no se puede acceder a las instancias de App Engine con una dirección IP interna.
Para conectarte a App Engine desde la red de VPC mediante una dirección IP interna sin una dirección IP externa asignada, haz lo siguiente:
- Configura Acceso privado de Google. Asegúrate de que el servicio de App Engine use una subred con Acceso privado de Google habilitado.
- Usa un endpoint de Private Service Connect. Asegúrate de que el endpoint esté conectado a la subred en la que esté habilitado el Acceso privado de Google.
- Envía tráfico al endpoint de Private Service Connect. Asegúrate de que el endpoint esté conectado a la subred.
Las instancias de App Engine con direcciones IP externas pueden enviar tráfico a endpoints de Private Service Connect sin ningún requisito.
Personalizar los permisos de acceso entre servicios de App Engine
Si tienes varios servicios de App Engine y quieres configurar los permisos de acceso de forma diferente entre ellos (por ejemplo, quieres habilitar el acceso al servicio A de App Engine solo desde el servicio B de App Engine), puedes usar App Engine con Identity-Aware Proxy (IAP).
Para obtener más información, consulta Controlar el acceso a sitios web y aplicaciones y la documentación de IAP.
Conectar App Engine a direcciones IP privadas de Cloud SQL
Para conectar tus aplicaciones de App Engine a instancias de Cloud SQL a través de direcciones IP privadas, usa una de las siguientes opciones:
- Entorno estándar de App Engine: usa el conector de acceso a VPC sin servidor para conectarte a Cloud SQL a través de direcciones IP internas. Para obtener más información, consulta el artículo Conectarse a Cloud SQL desde el entorno estándar de App Engine.
- Entorno flexible de App Engine: despliega tu aplicación de entorno flexible en la misma red de VPC que tu instancia de Cloud SQL. Ahora tu aplicación debería poder conectarse directamente mediante la dirección IP privada de la instancia de Cloud SQL. Para obtener más información, consulta el artículo Conectarse a Cloud SQL desde el entorno flexible de App Engine.
Desplegar una aplicación de App Engine en una red de VPC compartida
Para desplegar una aplicación en el entorno flexible de App Engine en una red de VPC compartida, se necesita una dirección IP interna. La dirección IP interna añade una ruta para evitar
0.0.0.0/0.
En el caso de las instancias con el modo de IP definido como internal, debes hacer los siguientes cambios en la red:
- Habilita Acceso privado de Google en cada subred que utilices.
- Crea una ruta compatible con Acceso privado de Google si aún no existe.
- Crea una regla de cortafuegos compatible con Acceso privado a Google si aún no existe.
- Si necesitas acceso a Internet saliente, también debes implementar Cloud NAT en cada región vinculada a las subredes que utilices.
Como se indica en los requisitos de acceso a Internet de las redes de VPC, la red debe tener una ruta de pasarela de Internet predeterminada válida o una ruta personalizada cuyo intervalo de IPs de destino sea el más general (0.0.0.0/0). Si quitas este ajuste, se pueden producir errores de implementación o de servicio.