標準の Google App Engine (GAE) 環境を使用しています。この環境は公共のインターネットに公開されているため、ユーザーは接続を確立できます。一方、私はプライベート GKE クラスタを持っています (パブリック エンドポイント アクセスなし)。このシナリオでは、GAE 内のアプリは GKE クラスターとの接続を確立する必要がありますが、GKE クラスターを公共のインターネットに公開したくないため、GKE クラスターを非公開にする必要があります。
GAE 内のアプリケーションがプライベート GKE クラスタに安全にアクセスできるように、内部ロード バランサまたはその間のプロキシを使用して実装できることを顧客に伝えました。
しかし、顧客はそれらの代替手段を信頼していません。
GAE のアプリケーションからプライベート GKE クラスタへの安全な接続を許可するために必要な代替手段は何ですか?
存在する場合、それらの接続 (GAE から GKE へ) を安全にする引数を説明していただけますか?
前もって感謝します!
あなたが持っていることを考慮して:
App EngineインスタンスGKEクラスター@ジョン・ハンリーが述べたように:
スタンダードとフレキシブルのどちらの App Engine ですか? 標準の場合、オプションはサーバーレス VPC アクセス cloud.google.com/vpc/docs/configure-serverless-vpc-accessです。フレキシブルの場合、同じ VPC にいる場合は、既にアクセスできます。それ以外の場合は、VPC ピアリングを参照して ください。cloud.google.com/vpc/docs/vpc-peering
両方のリソースが異なるプロジェクトにあります。彼らは別のネットワークを持っています。次のような 2 つのプロジェクトを接続するためのソリューションがあります。
共有 VPC を使用すると、組織は複数のプロジェクトのリソースを共通のVirtual Private Cloud (VPC) ネットワークに接続できるため、リソースはそのネットワークの内部 IP を使用して安全かつ効率的に相互に通信できます。
Cloud.google.com: Serverless VPC Accessのようなものを使用してみてください。
サーバーレス VPC アクセスを使用すると、App Engine スタンダード環境と Cloud Functions から VPC ネットワークに直接接続できます。この接続により、App Engine スタンダード環境のアプリと Cloud Functions が内部 (プライベート) IP アドレスを介して VPC ネットワーク内のリソースにアクセスできるようになります。内部 IP アドレスを使用すると、Google Cloud サービス間の通信のレイテンシが改善され、内部リソースが公共のインターネットに公開されるのを回避できます。
問題は、サーバーレス VPC アクセスが、異なるプロジェクトがある場合に必要な共有 VPC でサポートされていないことです。ドキュメントの状態からのフラグメントの下:
サーバーレス VPC アクセスは、Cloud VPNとVPC ネットワーク ピアリングを介して接続された VPC ネットワークへの通信をサポートします。サーバーレス VPC アクセスは、レガシー ネットワークや共有 VPC ネットワークをサポートしていません。
Google Cloud VPC ネットワーク ピアリングを使用 すると、同じプロジェクトまたは同じ組織に属しているかどうかに関係なく、2 つの Virtual Private Cloud(VPC)ネットワーク間でプライベートRFC 1918接続が可能になります。
VPC ネットワーク ピアリングを使用すると、VPC ネットワークをピアリングして、異なる VPC ネットワーク内のワークロードがプライベート RFC 1918 空間で通信できるようになります。トラフィックは Google のネットワーク内にとどまり、公共のインターネットを通過しません。
VPC ピアリングの問題は、 をサポートしていて をサポートしてFlexible App Engineいないこと Standard App Engineです。
VPC ネットワーク ピアリングは、Compute Engine、GKE、App Engine フレキシブル環境で動作します。
回避策は次のいずれかです。
Flexibleご不明な点がございましたら、お知らせください。