Paramètres d'entrée

ID de la région

Le REGION_ID est un code abrégé que Google attribue en fonction de la région que vous sélectionnez lors de la création de votre application. Le code ne correspond pas à un pays ou une province, même si certains ID de région peuvent ressembler aux codes de pays et de province couramment utilisés. Pour les applications créées après février 2020, REGION_ID.r est inclus dans les URL App Engine. Pour les applications existantes créées avant cette date, l'ID de région est facultatif dans l'URL.

En savoir plus sur les ID de région

Cette section explique comment utiliser les paramètres d'entrée pour restreindre l'accès réseau à votre application App Engine. Au niveau du réseau, par défaut, toutes les ressources d'Internet peuvent atteindre votre application App Engine sur son URL appspot ou à un domaine personnalisé configuré dans App Engine. Par exemple, l'URL appspot.com peut avoir le format suivant : SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com.

Vous pouvez modifier ce paramètre valeur par défaut en spécifiant un autre paramètre pour l'entrée. Tous les chemins d'entrée, y compris l'URL appspot.com par défaut, sont soumis à votre paramètre d'entrée. L'entrée est définie au niveau du service.

Paramètres d'entrée disponibles

Voici les paramètres disponibles :

Paramètre	Description
Interne	La plus restrictive. Autorise les requêtes provenant de ressources associées aux réseaux VPC du projet, telles que : VM d'un même projet, y compris les VM Compute Engine. Connecteurs d'accès au VPC sans serveur. VPC partagé lorsque l'application App Engine est déployée dans le projet hôte de VPC partagé. Consultez la page Accéder aux services internes. Les requêtes provenant de ces sources restent dans le réseau Google, même si elles accèdent à votre service à l'URL `appspot.com`. Les requêtes provenant d'autres sources, y compris Internet, ne peuvent pas atteindre votre service via l'URL `appspot.com` ou les domaines personnalisés. Il n'existe aucune compatibilité avec l'architecture mutualisée, c'est-à-dire plusieurs domaines de confiance au sein d'un même projet.
Interne et équilibrage de charge cloud	Il autorise les requêtes provenant des ressources suivantes : Ressources autorisées par le paramètre Interne plus restrictif Équilibreur de charge d'application externe Utilisez le paramètre "Interne + Équilibrage de charge" pour accepter les requêtes provenant d'un équilibreur de charge d'application externe, mais pas directement depuis Internet. Les requêtes adressées à l'URL `appspot.com` contournent l'équilibreur de charge d'application externe. Par conséquent, ce paramètre empêche les requêtes externes d'atteindre l'URL `appspot.com`.
Tout	La moins restrictive. Autorise toutes les requêtes, y compris les requêtes provenant directement d'Internet vers l'URL `appspot.com`.

Accéder aux services internes

Les considérations suivantes s'appliquent :

Pour les requêtes provenant d'un VPC partagé, le trafic n'est considéré comme interne que si l'application App Engine est déployée dans le projet hôte de VPC partagé. Si l'application App Engine est déployée dans un projet de service VPC partagé, seul le trafic provenant des réseaux appartenant au projet de l'application est interne. Tout autre trafic, y compris le trafic provenant d'autres projets VPC partagés, est externe.
Lorsque vous accédez à des services internes, appelez-les comme vous le feriez habituellement avec leurs URL publiques, soit l'URL par défaut appspot.com, soit un domaine personnalisé configuré dans App Engine.
Pour les requêtes provenant d'instances de VM Compute Engine ou d'autres ressources exécutées dans un réseau VPC au sein du même projet, aucune configuration supplémentaire n'est requise.
Les requêtes provenant de ressources au sein de réseaux VPC dans le même projet sont classées comme internes, même si la ressource dont elles proviennent a une adresse IP publique.
Les requêtes provenant de ressources sur site connectées au réseau VPC via Cloud VPN sont considérées comme étant internes (internal).

Pour les requêtes provenant d'autres services App Engine ou de Cloud Run ou Cloud Functions dans le même projet, connectez le service ou la fonction à un réseau VPC et acheminez l'ensemble du trafic sortant via le connecteur, comme décrit dans la section Se connecter à un réseau VPC partagé.

Afficher les paramètres d'entrée

Console

Accédez à la page "Services App Engine".

Accéder à la page Services
Recherchez la colonne Ingress. Pour chaque service, la valeur de cette colonne affiche le paramètre d'entrée Tout (par défaut), Interne + Équilibrage de charge ou Interne.

gcloud

Pour afficher le paramètre d'entrée d'un service à l'aide de gcloud CLI, procédez comme suit :

gcloud app services describe SERVICE

Remplacez SERVICE par le nom du service.

Par exemple, pour afficher les paramètres d'entrée et d'autres informations pour le service par défaut, exécutez la commande suivante :

gcloud app services describe default

Modifier les paramètres d'entrée

Console

Accédez à la page "Services App Engine".

Accéder à la page Services
Sélectionnez le service que vous souhaitez modifier.
Cliquez sur Modifier le paramètre d'entrée.
Sélectionnez le paramètre d'entrée souhaité dans le menu, puis cliquez sur Enregistrer.

gcloud

Pour mettre à jour le paramètre d'entrée d'un service à l'aide de gcloud CLI, procédez comme suit :

gcloud app services update SERVICE --ingress=INGRESS

Remplacez :

SERVICE : le nom de votre service.
INGRESS : le contrôle d'entrée que vous souhaitez appliquer. Spécifiez l'un des contrôles suivants : all, internal-only ou internal-and-cloud-load-balancing.

Exemple :

Pour mettre à jour le service par défaut d'une application App Engine afin de n'accepter que le trafic provenant de Cloud Load Balancing et des réseaux VPC appartenant au même projet :
```
gcloud app services update default --ingress=internal-and-cloud-load-balancing
```
Pour mettre à jour un service nommé "internal-requests" afin de n'accepter que le trafic provenant des réseaux VPC appartenant au même projet :
```
gcloud app services update internal-requests --ingress=internal-only
```

Paramètres de sortie

Si vous utilisez l'accès au VPC sans serveur, vous pouvez spécifier le paramètre de sortie de votre service App Engine.

Par défaut, seules les requêtes adressées aux adresses IP internes et aux noms DNS internes sont acheminées via un connecteur d'accès au VPC sans serveur. Vous pouvez spécifier le paramètre de sortie de votre service dans votre fichier app.yaml.

Les paramètres de sortie ne sont pas compatibles avec le service de récupération d'URL. L'utilisation de la bibliothèque urlfetch ignore les paramètres de sortie et les requêtes ne sont pas acheminées via un connecteur d'accès au VPC sans serveur.

Pour configurer le comportement de sortie de votre service App Engine, procédez comme suit :

Ajoutez l'attribut egress_setting au champ vpc_access_connector du fichier app.yaml de votre service :
```
vpc_access_connector:
  name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
  egress_setting: EGRESS_SETTING
```
Remplacez :
- PROJECT_ID par l'ID de votre projet Google Cloud
- REGION par la région dans laquelle se trouve le connecteur.
- CONNECTOR_NAME par le nom de votre connecteur.
- EGRESS_SETTING par l'un des éléments suivants :
  - private-ranges-only (valeur par défaut). Seules les requêtes adressées aux plages d'adresses IP RFC 1918 et RFC 6598 ou aux noms DNS internes sont acheminées vers votre réseau VPC. Toutes les autres requêtes sont acheminées directement vers Internet.
  - all-traffic Toutes les requêtes sortantes provenant de votre service sont acheminées vers votre réseau VPC. Les requêtes sont ensuite soumises aux règles de pare-feu, de DNS et de routage de votre réseau VPC. Notez que le routage de toutes les requêtes sortantes vers votre réseau VPC augmente la quantité de trafic de sortie gérée par le connecteur d'accès au VPC sans serveur et peut entraîner des frais.
Déployez le service :
```
gcloud app deploy
```