GAE 標準アプリを、VPN クライアントへの接続に使用されている VPC の 1 つに接続しようとしています。VPC (rsvpn) は、OpenVPN サブネットに接続し、クライアントとして openvpn を実行します。ip_forward が設定されており、172.16.0.0/24 宛てのすべての受信パケットを tun0 経由で転送するように設定されています。VPC ネットワークのグローバル ルーティングは、172.16.0.0/24 を rsvpn 経由でルーティングするように設定されています。別の VPC に移動すると、予想どおりに VPN サブネットに ping を送信できます。ただし、172.16.0.0/24 宛ての GAE アプリのパケットは、rsvpn 経由でルーティングされていません。
調査した結果、おそらく vpc_access_connector を使用して gcloud beta 経由でアプリをデプロイする必要があることがわかったので、これも実行しました。vpc_access_connector はサブネット 10.8.0.0/28 で構成され、アプリは適切な構成で構成されていました。アプリを再デプロイしても、rsvpn サーバーにアクセスできません。
アプリの実行中の構成を見ると、vpc_access_connector についての言及はありませんが、app.yaml では明確に構成されています。
Google サポートと話し合いました。セットアップは正しく、アプリは VPC ルーティング テーブルを使用する必要があることが確認されました。現在調査中です。
しかし、誰かがこれについて何か説明できるかどうか疑問に思っています。Google のドキュメントは素晴らしいものではなく、かなり一貫して間違っていることが多いと思います。vpc_access_connector は flex 環境でのみ機能する可能性があることを示唆する参照をいくつか聞いたことがありますが、ドキュメントと Google サポートでは、標準でも機能するはずだと言っています。
この設定を機能させた人はいますか?
答え1
最終的に、私たちの解決策は、デプロイメントを実行するプロファイルにコンピューティングネットワークユーザー権限を追加することでした。残念ながら、この権限エラーは、私たちにログアウトされたものではなく、Google内部のものです。これにより、標準環境で発生していたすべての問題が解決されたようです。また、gcloud beta app deploy