Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
ID da região
O REGION_ID é um código abreviado que o Google atribui
com base na região que você selecionou ao criar o aplicativo. O código não
corresponde a um país ou estado, ainda que alguns IDs de região sejam semelhantes
aos códigos de país e estado geralmente usados. Para apps criados após
fevereiro de 2020, o REGION_ID.r está incluído nos
URLs do App Engine. Para apps existentes criados antes dessa data, o
ID da região é opcional no URL.
Nesta seção, descrevemos como usar as configurações de entrada para restringir o acesso à rede ao seu aplicativo do App Engine. Por nível de rede, por padrão, qualquer recurso na
Internet pode alcançar seu aplicativo do App Engine no
URL DO appspot
ou emdomínio personalizado
configurados no App Engine. Por exemplo, o URL appspot.com pode ter o
seguinte formato:
SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com.
É possível alterar
esse padrão especificando uma configuração diferente de entrada. Todos os caminhos de entrada,
incluindo o URL appspot.com padrão, estão sujeitos à configuração de entrada. O recurso de entrada é definido no nível do serviço.
Configurações de entrada disponíveis
As seguintes configurações estão disponíveis:
Configuração
Descrição
Interno
Mais restritiva. Permite solicitações de recursos anexados às
redes VPC do projeto, como:
VMs no mesmo projeto, incluindo VMs do Compute Engine.
As solicitações dessas origens permanecem na rede do Google, mesmo que
elas acessem o serviço no URL appspot.com.
Solicitações
de outras origens, incluindo a Internet, não podem alcançar seu serviço no
URL appspot.com ou em domínios personalizados. Não há suporte para multilocação, ou seja, vários domínios de
confiança dentro do mesmo projeto.
Interno e Cloud Load Balancing
Permite solicitações dos seguintes recursos:
Recursos permitidos pela configuração interna mais restritiva
Balanceador de carga de aplicativo externo
Use a configuração de balanceamento de carga interno e do Cloud para aceitar solicitações
de um balanceador de carga de aplicativo externo, mas não diretamente da Internet. As solicitações para o URL appspot.com ignoram o balanceador de carga de aplicativo externo. Portanto, essa configuração impede que solicitações externas cheguem ao URL appspot.com.
Todas
Menos restritiva. Permite todas as solicitações, incluindo solicitações diretamente da
Internet para o URL appspot.com.
Como acessar serviços internos
As seguintes considerações se aplicam:
Nas solicitações de uma VPC compartilhada, o tráfego só será considerado interno se o
app do App Engine for implantado no projeto host da VPC compartilhada. Se o
aplicativo do App Engine for implantado em um projeto de serviço de VPC compartilhada, somente o tráfego
de redes de propriedade do próprio projeto do aplicativo será interno. Todo o restante, inclusive o de outras VPCs compartilhadas, é externo.
Ao acessar os serviços internos, chame-os da mesma forma que faria usando os URLs públicos deles: o URL appspot.com padrão ou um domínio personalizado configurado no App Engine.
Para solicitações de instâncias de VM do Compute Engine ou outros recursos em execução
em uma rede VPC no mesmo projeto,
nenhuma outra configuração é necessária.
As solicitações de recursos dentro de redes VPC no mesmo projeto são classificadas
como internas, mesmo que o recurso de origem tenha um endereço IP público.
As solicitações de recursos locais conectados à rede VPC via Cloud VPN
são consideradas internal.
Para solicitações de outros serviços do App Engine ou do Cloud Run ou das funções do Cloud Run no mesmo projeto, conecte o serviço ou a função a uma rede VPC e encaminhe todas as saídas pelo conector, conforme descrito em Conectar-se a uma rede VPC compartilhada
Localize a coluna Entrada. Para cada serviço, o valor nessa coluna mostra a configuração de entrada como Todos (padrão), Interno + Balanceamento de carga ou Interno.
gcloud
Para ver a configuração de entrada de um serviço usando a CLI gcloud:
gcloudappservicesdescribeSERVICE
SERVICE pelo nome do serviço;
Por exemplo, para visualizar as configurações de entrada e outras informações da
execução do serviço padrão:
Se você usar o acesso VPC sem servidor,
poderá especificar a configuração de saída do serviço do App Engine.
Por padrão, somente solicitações para endereços IP internos e nomes DNS internos são roteadas por meio de um conector de acesso VPC sem servidor. É possível
especificar a configuração de saída para o serviço no arquivo app.yaml.
As configurações de saída não são compatíveis com o serviço de busca de URL.
O uso da biblioteca urlfetch ignora as configurações de saída, e as solicitações não serão
roteadas por um conector de acesso VPC sem servidor.
Para configurar o comportamento de saída do serviço do App Engine:
Adicione o atributo egress_setting ao campo vpc_access_connector do
arquivo app.yaml do serviço:
private-ranges-only Padrão. Somente solicitações para intervalos de endereços IP
RFC 1918 e
RFC 6598 ou nomes de DNS internos são roteadas para a rede
VPC. Todas as outras solicitações são roteadas diretamente para a Internet.
all-traffic Todas as solicitações de saída do serviço são
encaminhadas para a rede VPC. As solicitações estão sujeitas às
regras de firewall, DNS e roteamento da rede VPC.
O roteamento de todas as solicitações de saída para a rede VPC
aumenta a quantidade de saída processada pelo
conector de acesso VPC sem servidor e pode
gerar cobranças.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-04-21 UTC."],[[["\u003cp\u003eRegion ID is a code assigned by Google based on the selected region during app creation, and it's included in App Engine URLs for apps created after February 2020.\u003c/p\u003e\n"],["\u003cp\u003eIngress settings determine network access to your App Engine app, with options including "Internal," "Internal and Cloud Load Balancing," and "All" to control traffic sources.\u003c/p\u003e\n"],["\u003cp\u003eThe "Internal" ingress setting is the most restrictive, allowing only requests from resources within the project's VPC networks, while "All" is the least restrictive, permitting all internet traffic.\u003c/p\u003e\n"],["\u003cp\u003eEgress settings, available for most runtimes except PHP, define how outbound requests from your App Engine service are routed, with options to direct traffic to your VPC network or directly to the internet.\u003c/p\u003e\n"],["\u003cp\u003eYou can view and edit ingress settings via the Google Cloud Console or the gcloud command-line interface, and you can update the egress setting in the app.yaml file.\u003c/p\u003e\n"]]],[],null,["# Ingress settings\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n\n### Region ID\n\nThe \u003cvar translate=\"no\"\u003eREGION_ID\u003c/var\u003e is an abbreviated code that Google assigns\nbased on the region you select when you create your app. The code does not\ncorrespond to a country or province, even though some region IDs may appear\nsimilar to commonly used country and province codes. For apps created after\nFebruary 2020, \u003cvar translate=\"no\"\u003eREGION_ID\u003c/var\u003e`.r` is included in\nApp Engine URLs. For existing apps created before this date, the\nregion ID is optional in the URL.\n\nLearn more\n[about region IDs](/appengine/docs/standard/python/how-requests-are-routed#region-id). \nOK\n\nThis section describes how to use ingress settings to restrict network access to\nyour App Engine app. At a network level, by default, any resource on\nthe internet is able to reach your App Engine app on its\n[appspot URL](/appengine/docs/standard/how-requests-are-routed)\nor at a [custom domain](/appengine/docs/standard/mapping-custom-domains)\nset up in App Engine. For example, the `appspot.com` URL can have the\nfollowing format:\n\u003cvar translate=\"no\"\u003eSERVICE_ID\u003c/var\u003e`.`\u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e`.`\u003cvar translate=\"no\"\u003eREGION_ID\u003c/var\u003e`.r.appspot.com`.\n\nYou can change this default setting by specifying a\ndifferent setting for ingress. All ingress paths, including the default\n`appspot.com` URL, are subject to your ingress setting. Ingress is set at the\nservice level.\n\nAvailable ingress settings\n--------------------------\n\nThe following settings are available:\n\n### Accessing internal services\n\nThe following considerations apply:\n\n- For requests from a Shared VPC, traffic is only considered internal if the\n App Engine app is deployed in the Shared VPC host project. If the\n App Engine app is deployed in a Shared VPC service project, only traffic\n from networks owned by the app's own project is internal. All other traffic,\n including traffic from other Shared VPCs, is external.\n\n- When accessing internal services, call them as you would normally do by using\n their public URLs, either the default `appspot.com` URL or a\n [custom domain](/run/docs/mapping-custom-domains) set up in App Engine.\n\n- For requests from Compute Engine VM instances or other resources running\n inside a\n\n [VPC network](/appengine/docs/standard/connecting-vpc)\n in the same project, no further setup is required.\n\n- Requests from resources within VPC networks in the same project are classified\n as internal even if the resource they originate from has a public IP address.\n\n- Requests from on-premises resources connected to the VPC network via\n Cloud VPN are considered `internal`.\n\n\u003c!-- --\u003e\n\n- For requests from other App Engine services or from Cloud Run or Cloud Run functions in the same project, connect the service or function to a VPC network and route all egress through the connector, as described in [Connecting to a Shared VPC network](/appengine/docs/standard/connecting-shared-vpc).\n\n### View ingress settings\n\n### Console\n\n1. Go to the App Engine Services page.\n\n [Go to the Services page](https://console.cloud.google.com/appengine/services)\n2. Locate the **Ingress** column. For each service, the value in this column\n shows the ingress setting as one of **All** (default),\n **Internal + Load Balancing** , or **Internal**.\n\n### gcloud\n\nTo view the ingress setting for a service using the gcloud CLI: \n\n```bash\ngcloud app services describe SERVICE\n```\n\nReplace \u003cvar translate=\"no\"\u003eSERVICE\u003c/var\u003e with the name of your service.\n\nFor example, to view the ingress settings and other information for the\ndefault service run: \n\n```bash\ngcloud app services describe default\n```\n\n\u003cbr /\u003e\n\n### Edit ingress settings\n\n### Console\n\n1. Go to the App Engine Services page.\n\n [Go to the Services page](https://console.cloud.google.com/appengine/services)\n2. Select the service you wish to edit.\n\n3. Click **Edit ingress setting**.\n\n4. Select the ingress setting that you want from the menu and click\n **Save**.\n\n### gcloud\n\nTo update the ingress setting for a service using the gcloud CLI: \n\n```bash\ngcloud app services update SERVICE --ingress=INGRESS\n```\n\nReplace:\n\n- \u003cvar translate=\"no\"\u003eSERVICE\u003c/var\u003e: The name of your service.\n- \u003cvar translate=\"no\"\u003eINGRESS\u003c/var\u003e: The ingress control you want to apply. One of `all`, `internal-only`, or `internal-and-cloud-load-balancing`.\n\nFor example:\n\n- To update the default service of an App Engine app to accept traffic\n only from Cloud Load Balancing and VPC networks that are in the same\n project:\n\n ```bash\n gcloud app services update default --ingress=internal-and-cloud-load-balancing\n ```\n- To update a service named \"internal-requests\" to accept traffic only from VPC\n networks that are in the same project:\n\n ```bash\n gcloud app services update internal-requests --ingress=internal-only\n ```\n\n\u003cbr /\u003e\n\nEgress settings\n---------------\n\n| **Note:** Egress settings are not available for the PHP runtimes.\n\nIf you use [Serverless VPC Access](/vpc/docs/serverless-vpc-access),\nyou can specify the egress setting for your App Engine service.\n\n\nBy default, only requests to internal IP addresses and internal DNS names are\nrouted through a Serverless VPC Access connector. You can\nspecify the egress setting for your service in your `app.yaml` file.\n\nEgress settings are not compatible with the URL Fetch service.\nUsing the `urlfetch` library ignores egress settings, and requests will not\nroute through a Serverless VPC Access connector.\n\nTo configure the egress behavior of your App Engine service:\n\n1. Add the `egress_setting` attribute to the `vpc_access_connector` field of your\n service's `app.yaml` file:\n\n ```yaml\n vpc_access_connector:\n name: projects/\u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e/locations/\u003cvar translate=\"no\"\u003eREGION\u003c/var\u003e/connectors/\u003cvar translate=\"no\"\u003eCONNECTOR_NAME\u003c/var\u003e\n egress_setting: EGRESS_SETTING\n ```\n\n Replace:\n - \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e with your Google Cloud project ID\n - \u003cvar translate=\"no\"\u003eREGION\u003c/var\u003e with the region your connector is in\n - \u003cvar translate=\"no\"\u003eCONNECTOR_NAME\u003c/var\u003e with the name of your connector\n - \u003cvar translate=\"no\"\u003eEGRESS_SETTING\u003c/var\u003e with one of the following:\n - `private-ranges-only` Default. Only requests to [RFC 1918](https://tools.ietf.org/html/rfc1918#section-3) and [RFC 6598](https://tools.ietf.org/html/rfc6598#section-7) IP address ranges or internal DNS names are routed to your VPC network. All other requests are routed directly to the internet.\n - `all-traffic` All outbound requests from your service are routed to your VPC network. Requests are then subject to the firewall, DNS, and routing rules of your VPC network. Note that routing all outbound requests to your VPC network increases the amount of egress handled by the Serverless VPC Access connector and can [incur charges](/vpc/pricing#serverless-vpc-pricing).\n2. Deploy the service:\n\n gcloud app deploy\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e"]]
