上り（内向き）設定 (original) (raw)

リージョン ID

REGION_ID は、アプリの作成時に選択したリージョンに基づいて Google が割り当てる省略形のコードです。一部のリージョン ID は、一般的に使用されている国や州のコードと類似しているように見える場合がありますが、このコードは国または州に対応するものではありません。2020 年 2 月以降に作成されたアプリの場合、REGION_ID.r は App Engine の URL に含まれています。この日付より前に作成されたアプリの場合、URL のリージョン ID は省略可能です。

詳しくは、リージョン ID をご覧ください。

このセクションでは、上り（内向き）設定を使用して、App Engine アプリへのネットワーク アクセスを制限する方法について説明します。ネットワーク レベルのデフォルトでは、インターネット上のリソースは appspot URL または App Engine で設定されたカスタム ドメインの App Engine アプリにアクセスできます。たとえば、appspot.com の URL の形式は SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com です。

このデフォルトを変更するには、上り（内向き）に別の設定を指定します。デフォルトの appspot.com URL を含むすべての上り（内向き）パスは、上り（内向き）設定の対象となります。上り（内向き）はサービスレベルで設定されます。

使用可能な上り（内向き）設定

次の設定を使用できます。

内部サービスへのアクセス

次のことに注意してください。

• 共有 VPC からのリクエストの場合、App Engine アプリが共有 VPC ホスト プロジェクトにデプロイされている場合にのみ、トラフィックは内部とみなされます。App Engine アプリが共有 VPC サービス プロジェクトにデプロイされている場合は、アプリ自身のプロジェクトが所有するネットワークからのトラフィックのみが内部とみなされます。他のすべてのトラフィック（他の共有 VPC からのトラフィックを含む）は外部となります。
• 内部サービスにアクセスする場合は、公開 URL（デフォルトの appspot.com URL または App Engine で設定されたカスタム ドメイン）を使用して、通常どおりに呼び出します。
• Compute Engine VM インスタンスからのリクエストの場合、または同じプロジェクトの VPC ネットワーク内で実行されている他のリソースからのリクエストの場合、さらなる設定は必要ありません。
• 同じプロジェクトの VPC ネットワーク内のリソースからのリクエストは、送信元のリソースがパブリック IP アドレスを持っていても、内部に分類されます。
• Cloud VPN 経由で VPC ネットワークに接続されているオンプレミス リソースからのリクエストは、internal とみなされます。
• 他の App Engine サービスからのリクエストの場合や、同じプロジェクトの Cloud Run または Cloud Run functions からのリクエストの場合は、共有 VPC ネットワークへの接続の説明にあるように、サービスまたは関数を VPC ネットワークに接続して、すべての下り（外向き）をコネクタ経由でルーティングします。

上り（内向き）設定を表示する

Console

1. App Engine の [サービス] ページに移動します。
   [サービス] ページに移動
2. [上り（内向き）] 列を見つけます。サービスごとに、この列の値に上り（内向き）設定が [すべて]（デフォルト）、[内部 + ロード バランシング]、[内部] のいずれかとして表示されます。

gcloud

gcloud CLI を使用してサービスの上り（内向き）設定を表示するには:

gcloud app services describe SERVICE

SERVICE は、実際のサービス名に置き換えます。

たとえば、デフォルト サービスの上り（内向き）設定とその他の情報を表示するには、次のコマンドを実行します。

gcloud app services describe default

上り（内向き）設定を編集する

Console

1. App Engine の [サービス] ページに移動します。
   [サービス] ページに移動
2. 編集するサービスを選択します。
3. [上り（内向き）設定を編集] をクリックします。
4. メニューから必要な上り（内向き）設定を選択し、[保存] をクリックします。

gcloud

gcloud CLI を使用してサービスの上り（内向き）設定を更新するには:

gcloud app services update SERVICE --ingress=INGRESS

次のように置き換えます。

• SERVICE: サービスの名前。
• INGRESS: 適用する上り（内向き）の制御。all、internal-only、internal-and-cloud-load-balancing のいずれかです。

次に例を示します。

• 同じプロジェクト内の Cloud Load Balancing と VPC ネットワークからのトラフィックのみを受け入れるように、App Engine アプリのデフォルト サービスを更新するには、次のコマンドを実行します。
  gcloud app services update default --ingress=internal-and-cloud-load-balancing
• 同じプロジェクト内の VPC ネットワークからのトラフィックのみを受け入れるように、「internal-requests」という名前のサービスを更新するには、次のコマンドを実行します。
  gcloud app services update internal-requests --ingress=internal-only

下り（外向き）設定

サーバーレス VPC アクセスを使用している場合は、App Engine サービスの下り（外向き）設定を指定できます。

デフォルトでは、内部 IP アドレスと内部 DNS 名へのリクエストのみが、サーバーレス VPC アクセス コネクタ経由で転送されます。app.yaml ファイルで、サービスの下り（外向き）設定を指定できます。

下り（外向き）設定には URL 取得サービスとの互換性がありません。urlfetch ライブラリを使用すると、下り（外向き）設定は無視され、リクエストはサーバーレス VPC アクセス コネクタ経由でルーティングされません。

App Engine サービスの下り（外向き）動作を構成するには:

1. サービスの app.yaml ファイルの vpc_access_connector フィールドに egress_setting 属性を追加します。
   vpc_access_connector:
   name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
   egress_setting: EGRESS_SETTING
   次のように置き換えます。
   • PROJECT_ID は、使用する Google Cloud プロジェクト ID に置き換えます。
   • REGION は、コネクタが存在するリージョンに置き換えます。
   • CONNECTOR_NAME は、コネクタの名前に置き換えます。
   • EGRESS_SETTING は、次のいずれかに置き換えます。
     * private-ranges-only: デフォルト。IP アドレス範囲（RFC 1918 と RFC 6598）または内部 DNS 名へのリクエストのみが VPC ネットワークに転送されます。その他のリクエストはすべて直接インターネットに転送します。
     * all-traffic: サービスからの送信リクエストをすべて VPC ネットワークに転送します。その後、リクエストは VPC ネットワークのファイアウォール、DNS、ルーティングの各ルールに従って処理されます。すべての送信リクエストを VPC ネットワークに転送すると、サーバーレス VPC アクセス コネクタによって処理される下り（外向き）の量が増加し、料金が発生する可能性があります。
2. サービスをデプロイします。

gcloud app deploy