Connessione a una rete VPC

Questa pagina mostra come utilizzare l'accesso VPC serverless per collegare l'app dell'ambiente standard App Engine direttamente alla rete VPC, consentendo l'accesso alle istanze VM Compute Engine, alle istanze Memorystore e a qualsiasi altra risorsa con un indirizzo IP interno.

Prima di iniziare

• Se non hai ancora una rete VPC nel progetto, creane una.

• Se utilizzi un VPC condiviso, consulta Connessione a una VPC condiviso condivisa

• Nella console Google Cloud, assicurati che l'accesso VPC serverless L'API è abilitata per il tuo progetto.

  Abilita API

Crea un connettore di accesso VPC serverless

Per inviare richieste alla tua rete VPC e ricevere risposte corrispondenti senza utilizzare la rete internet pubblica, puoi utilizzare Connettore di accesso VPC serverless.

Se il connettore si trova nello stesso progetto della rete VPC, puoi creare un connettore utilizzando una subnet esistente o creare un connettore e una nuova subnet.

Se il connettore si trova in un progetto di servizio e utilizza un VPC condiviso rete, il connettore e la rete VPC associata si trovano a progetti diversi. Quando un connettore e la relativa rete VPC si trovano in progetti diversi, un amministratore della rete VPC condivisa deve creare la subnet del connettore nella rete VPC condivisa prima che tu possa creare il connettore e devi creare il connettore utilizzando una subnet esistente.

Per scoprire di più sui requisiti delle subnet, consulta i requisiti delle subnet dei connettori.

Per informazioni sulla velocità effettiva del connettore, incluso il tipo di macchina e la scalabilità, consulta Velocità effettiva e scalabilità.

Puoi creare un connettore utilizzando la console Google Cloud, Google Cloud CLI o Terraform.

resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  version    = "~> 9.0"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

Configurare il servizio per utilizzare un connettore

Dopo aver creato un connettore di accesso VPC serverless, devi configurare ciascun servizio nell'app App Engine che vuoi per connetterti alla rete VPC.

Per specificare un connettore per un servizio nella tua app:

1. Per utilizzare Accesso VPC serverless, interrompi l'uso Servizio di recupero URL di App Engine. L'accesso VPC serverless non supporta URL Fetch e le richieste effettuate utilizzando URL Fetch ignoreranno le impostazioni di Accesso VPC serverless. Esegui connessioni in uscita con socket.

2. Aggiungi il campo vpc_access_connector al file app.yaml del servizio:

   vpc_access_connector:
     name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
   

   Dove PROJECT_ID è l'ID progetto Google Cloud, REGION è la regione in cui si trova il connettore, e CONNECTOR_NAME è il nome del connettore.

3. Esegui il deployment del servizio:

   gcloud app deploy
   

Dopo aver eseguito il deployment del servizio, questo può inviare richieste agli indirizzi IP interni per accedere alle risorse nella rete VPC.

Limita l'accesso alle risorse VPC

Regole firewall obbligatorie per i connettori nei progetti di servizio

Se crei un connettore in una rete VPC autonoma o nel progetto host di una rete VPC condiviso, Google Cloud crea le regole firewall necessarie per il funzionamento del connettore. Per ulteriori informazioni, consulta Regole firewall per i connettori nelle reti VPC autonome o nei progetti host VPC condiviso.

Tuttavia, se crei un connettore in un progetto di servizio e il connettore ha come target una rete VPC condivisa nel progetto host, devi aggiungere regole del firewall per consentire il traffico necessario per il funzionamento del connettore dai seguenti intervalli:

• Intervallo IP dell'infrastruttura serverless: 35.199.224.0/19
• Intervalli IP dei probe del controllo di integrità: 35.191.0.0/16, 35.191.192.0/18 e 130.211.0.0/22

Questi intervalli vengono utilizzati dall'infrastruttura Google sottostante Cloud Run, funzioni di Cloud Run e ambiente standard di App Engine. Tutte le richieste da che questi indirizzi IP provengono dall'infrastruttura di Google per che ogni risorsa serverless comunica solo con a cui è connesso.

Devi inoltre consentire il traffico dalla subnet del connettore alle risorse nella tua rete VPC.

Per eseguire questi passaggi, devi avere uno dei seguenti ruoli nel progetto ospitante:

• Ruolo Proprietario(roles/owner)
• Ruolo Amministratore sicurezza Compute (roles/compute.securityAdmin)
• Ruolo personalizzato di Identity and Access Management (IAM) con Autorizzazione compute.firewalls.create attivata

Per una configurazione di base, applica le regole per consentire alle risorse serverless in qualsiasi progetto di servizio collegato alla rete VPC condivisa di inviare richieste a qualsiasi risorsa della rete.

Per applicare queste regole, esegui i seguenti comandi nel progetto host:

1. Crea regole firewall che consentano le richieste dal server serverless di Google dell'infrastruttura e del controllo di integrità per raggiungere tutti i connettori nel in ogni rete. In questi comandi, le porte UDP e TCP vengono utilizzate come proxy e per e controlli di integrità HTTP. Non cambiare le porte specificate.

   gcloud compute firewall-rules create serverless-to-vpc-connector \
       --allow tcp:667,udp:665-666,icmp \
       --source-ranges=35.199.224.0/19 \
       --direction=INGRESS \
       --target-tags vpc-connector \
       --network=VPC_NETWORK

   gcloud compute firewall-rules create vpc-connector-to-serverless \
       --allow tcp:667,udp:665-666,icmp \
       --destination-ranges=35.199.224.0/19 \
       --direction=EGRESS \
       --target-tags vpc-connector \
       --network=VPC_NETWORK

   gcloud compute firewall-rules create vpc-connector-health-checks \
       --allow tcp:667 \
       --source-ranges=35.191.0.0/16,35.191.192.0/18,130.211.0.0/22 \
       --direction=INGRESS \
       --target-tags vpc-connector \
       --network=VPC_NETWORK

   Sostituisci VPC_NETWORK con il nome della rete VPC a cui collegare il connettore.

2. Crea una regola firewall in entrata sulla rete VPC per consentire le richieste provenienti da connettori che hanno come target questa rete:

   gcloud compute firewall-rules create vpc-connector-requests \
       --allow tcp,udp,icmp \
       --direction=INGRESS \
       --source-tags vpc-connector \
       --network=VPC_NETWORK

   Questa regola concede al connettore l'accesso a ogni risorsa della rete. Per limitare le risorse che il tuo ambiente serverless può raggiungere utilizzando l'accesso VPC serverless, consulta Limitare l'accesso della VM del connettore alle risorse di rete VPC.

Crea regole firewall per connettori specifici

Se segui la procedura descritta in Regole firewall richieste per i connettori nei progetti di servizio, vengono create regole firewall che si applicano a tutti i connettori, sia quelli attuali sia quelli creati in futuro. Se non vuoi, ma vuoi invece creare regole solo per connettori specifici, puoi definire l'ambito delle regole in modo che si applichino solo a questi connettori.

Per limitare l'ambito delle regole a connettori specifici, puoi utilizzare una delle i seguenti meccanismi:

• Tag di rete: ogni connettore ha due tag di rete: vpc-connector e vpc-connector-REGION-CONNECTOR_NAME. Utilizza quest'ultimo formato per limitare l'ambito delle regole firewall a un connettore specifico.
• Intervalli IP: utilizza questa opzione solo per le regole in uscita, perché non funziona per e le regole in entrata. Puoi usare l'intervallo IP del connettore per limitare l'ambito delle regole firewall a un singolo VPC di rete.

Limita l'accesso della VM del connettore alle risorse di rete VPC

Puoi limitare l'accesso del connettore alle risorse nella sua destinazione Rete VPC mediante firewall VPC regole o regole in firewall criteri. Puoi applicare queste limitazioni utilizzando una delle seguenti strategie:

• Crea regole di ingresso i cui target rappresentano le risorse a cui vuoi limitare l'accesso delle VM del connettore e le cui origini rappresentano le VM del connettore.
• Crea regole di uscita i cui target rappresentano le VM di connettore e le cui destinazioni rappresentano le risorse a cui vuoi limitare l'accesso delle VM di connettore.

Gli esempi riportati di seguito illustrano ciascuna strategia.

Limitare l'accesso utilizzando le regole per il traffico in entrata

Scegli tag di rete o intervalli CIDR per controllare il traffico in entrata nella rete VPC.

Limitare l'accesso utilizzando le regole di uscita

I passaggi riportati di seguito mostrano come creare regole di uscita per limitare l'accesso del connettore.

1. Assicurati di disporre delle autorizzazioni necessarie per inserire le regole del firewall. Devi disporre di uno dei seguenti ruoli Identity and Access Management (IAM):

   • Ruolo Compute Security Admin
   • Ruolo IAM personalizzato con compute.firewalls.create autorizzazione abilitata

2. Rifiutare il traffico in uscita dal connettore.

   Crea una regola firewall in uscita sul connettore di accesso VPC serverless per impedire l'invio di traffico in uscita, ad eccezione delle risposte stabilite, a qualsiasi destinazione.

   gcloud compute firewall-rules create RULE_NAME \
   --action=DENY \
   --rules=PROTOCOL \
   --direction=EGRESS \
   --target-tags=VPC_CONNECTOR_NETWORK_TAG \
   --network=VPC_NETWORK \
   --priority=PRIORITY

   Sostituisci quanto segue:

   • RULE_NAME: il nome della nuova regola firewall. Ad esempio: deny-vpc-connector.

   • PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono tcp o udp. Ad esempio, tcp:80,udp consente il traffico TCP attraverso la porta 80 e il traffico UDP. Per ulteriori informazioni, consulta la documentazione relativa al flag allow.

     Per motivi di sicurezza e convalida, puoi anche configura regole di negazione per bloccare il traffico per i seguenti elementi non supportati protocolli: ah, all, esp, icmp, ipip e sctp.

   • VPC_CONNECTOR_NETWORK_TAG: il tag di rete del connettore VPC universale se vuoi che la regola venga applicata a tutti i connettori VPC esistenti e a eventuali connettori VPC creati in futuro. Oppure, il tag di rete univoco del connettore VPC per controllare un connettore specifico.

   • VPC_NETWORK: il nome della tua rete VPC

   • PRIORITY: un numero intero compreso tra 0 e 65535. Ad esempio, 0 imposta la priorità più elevata.

3. Consenti il traffico in uscita quando la destinazione è nell'intervallo CIDR a cui vuoi che acceda il connettore.

   Utilizza i flag allow e destination-ranges per creare una regola firewall che consenta il traffico in uscita dal connettore per un intervallo di destinazioni specifico. Imposta l'intervallo di destinazione sull'intervallo CIDR della risorsa nel La rete VPC a cui vuoi che il connettore possa accedere. Imposta la priorità di questa regola su un valore inferiore a quello della regola creata nel passaggio precedente.

   gcloud compute firewall-rules create RULE_NAME \
   --allow=PROTOCOL \
   --destination-ranges=RESOURCE_CIDR_RANGE \
   --direction=EGRESS \
   --network=VPC_NETWORK \
   --target-tags=VPC_CONNECTOR_NETWORK_TAG \
   --priority=PRIORITY

   Sostituisci quanto segue:

   • RULE_NAME: il nome della nuova regola firewall. Ad esempio: allow-vpc-connector-for-select-resources.

   • PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono tcp o udp. Ad esempio, tcp:80,udp consente il traffico TCP attraverso la porta 80 e il traffico UDP. Per ulteriori informazioni, consulta la documentazione relativa al flag allow.

   • RESOURCE_CIDR_RANGE: l'intervallo CIDR per il connettore di cui stai limitandone l'accesso

   • VPC_NETWORK: il nome della rete VPC

   • VPC_CONNECTOR_NETWORK_TAG: il tag di rete del connettore VPC universale se vuoi che la regola venga applicata a tutti i connettori VPC esistenti e a eventuali connettori VPC creati in futuro. Oppure, il tag di rete univoco del connettore VPC per controllare un connettore specifico. Se hai utilizzato l'attributo nel passaggio precedente, utilizza il tag di rete univoco.

   • PRIORITY: un numero intero minore della priorità impostata al passaggio precedente. Ad esempio, se hai impostato la priorità della regola creata nel passaggio precedente su 990, prova 980.

Per ulteriori informazioni sui flag obbligatori e facoltativi per la creazione di un firewall di Google Cloud, fai riferimento documentazione relativa a gcloud compute firewall-rules create.

Gestisci il tuo connettore

Controllo del traffico in uscita da un servizio

Per impostazione predefinita, solo le richieste agli indirizzi IP interni e ai nomi DNS interni vengono indirizzate tramite un connettore di accesso VPC serverless. Puoi specificare l'impostazione di uscita per il servizio nel file app.yaml.

Le impostazioni in uscita non sono compatibili con il servizio di recupero URL. Se non disponi lo è già, disattiva l'impostazione predefinita Recupero URL utilizzando le prese e interrompi qualsiasi uso esplicito dei urlfetch. L'utilizzo della libreria urlfetch ignora le impostazioni di uscita e le richieste non vengono inoltrate tramite un connettore di accesso VPC serverless.

Per configurare il comportamento in uscita del servizio App Engine:

1. Aggiungi l'attributo egress_setting al campo vpc_access_connector del file app.yaml del servizio:

   vpc_access_connector:
     name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
     egress_setting: EGRESS_SETTING

   Sostituisci:

   • PROJECT_ID con il tuo ID progetto Google Cloud
   • REGION con la regione in cui si trova il connettore
   • CONNECTOR_NAME con il nome del tuo connettore
   • EGRESS_SETTING con uno dei seguenti:
     • private-ranges-only Predefinita. Solo le richieste agli intervalli di indirizzi IP RFC 1918 e RFC 6598 o ai nomi DNS interni vengono instradate alla rete VPC. Tutte le altre richieste vengono indirizzate direttamente a internet.
     • all-traffic Tutte le richieste in uscita dal tuo servizio vengono indirizzate alla tua rete VPC. Le richieste sono quindi soggette alle regole firewall, DNS e di routing della rete VPC. Tieni presente che instradamento di tutte le richieste in uscita alla rete VPC aumenta la quantità di traffico in uscita gestito Connettore di accesso VPC serverless e prevede addebiti.

2. Esegui il deployment del servizio:

   gcloud app deploy
   

Scollegare un servizio da una rete VPC

Per scollegare un servizio da una rete VPC, rimuovi il campo vpc_access_connector dal file app.yaml e reimplementa il servizio.

Gli addebiti continuano a essere applicati ai connettori anche se non generano traffico e sono disconnessi. Per maggiori dettagli, consulta la pagina dei prezzi. Se non hai più bisogno del connettore, assicurati di eliminarlo per evitare e continuare la fatturazione.

Aggiorna un connettore

Puoi aggiornare e monitorare i seguenti attributi del connettore utilizzando la console Google Cloud, Google Cloud CLI o l'API:

• Tipo di macchina (istanza)
• Numero minimo e massimo di istanze
• Prestazioni recenti, numero di istanze e utilizzo della CPU

Aggiorna tipo di macchina

Riduci il numero minimo e massimo di istanze

Per diminuire il numero minimo e massimo di istanze, devi farlo le seguenti:

1. Crea un nuovo connettore con i valori che preferisci.
2. Aggiorna il servizio o la funzione per utilizzare il nuovo connettore.
3. Elimina il vecchio connettore dopo aver spostato il relativo traffico.

Per ulteriori informazioni, consulta Creare un connettore di accesso VPC serverless.

Aumenta il numero minimo e massimo di istanze

Trovare i valori degli attributi correnti

Per trovare i valori degli attributi correnti per il tuo connettore, esegui quanto segue in il tuo terminale:

gcloud compute networks vpc-access connectors describe CONNECTOR_NAME --region=REGION --project=PROJECT

• CONNECTOR_NAME: il nome del tuo connettore
• REGION: il nome della regione del connettore
• PROJECT: il nome del tuo progetto Google Cloud

Monitorare l'utilizzo dei connettori

Il monitoraggio dell'utilizzo nel tempo può aiutarti a determinare quando regolare impostazioni. Ad esempio, se si verificano picchi di utilizzo della CPU, potresti provare ad aumentare il numero massimo di istanze per ottenere risultati migliori. O se stai raggiungendo il limite effettiva, potresti decidere di passare a un tipo di macchina più grande.

Visualizzare i grafici relativi a velocità effettiva, numero di istanze e CPU del connettore di utilizzo delle metriche nel tempo usando la console Google Cloud:

1. Vai alla pagina di riepilogo Accesso VPC serverless.

   Vai ad Accesso VPC serverless

2. Fai clic sul nome del connettore da monitorare.

3. Seleziona il numero di giorni da visualizzare tra 1 e 90 giorni.

4. Nel grafico Velocità effettiva, passa il mouse sopra il grafico per visualizzare la velocità effettiva recente del connettore.

5. Nel grafico Numero di istanze, passa il mouse sopra il grafico per visualizzare il numero di istanze utilizzate di recente dal connettore.

6. Nel grafico Utilizzo della CPU, passa il mouse sopra il grafico per visualizzare l'utilizzo della CPU recente del connettore. Il grafico mostra l'utilizzo della CPU distribuito tra le istanze per i percentile 50, 95 e 99.

Eliminare un connettore

Prima di eliminare un connettore, assicurati che nessun servizio o job sia ancora a essa connesso.

Gli utenti VPC condiviso che configurano i connettori nel progetto host VPC condiviso possono utilizzare il comando gcloud compute networks vpc-access connectors describe per elencare i progetti in cui sono presenti servizi o job che utilizzano un determinato connettore.

Per eliminare un connettore, utilizza la console Google Cloud o Google Cloud CLI:

Risoluzione dei problemi

Autorizzazioni account di servizio

Per eseguire operazioni nel progetto Google Cloud, Accesso VPC serverless utilizza l'account di servizio Agente di servizio Accesso VPC serverless. Questo servizio l'indirizzo email dell'account ha il seguente formato:

service-PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com

Per impostazione predefinita, questo account di servizio dispone del ruolo Agente di servizio di accesso VPC serverless (roles/vpcaccess.serviceAgent). Le operazioni di accesso VPC serverless potrebbero non riuscire se modifichi le autorizzazioni di questo account.

Scarse prestazioni della rete o utilizzo elevato della CPU in stato inattivo

L'utilizzo di un singolo connettore per migliaia di istanze può causare prestazioni il peggioramento e l'aumento dell'utilizzo della CPU inattiva. Per risolvere il problema, suddividi i servizi tra più connettori.

Errori

Errore: all'account di servizio serve il ruolo Agente di servizio

Se utilizzi il vincolo dei criteri dell'organizzazione 'Limita l'utilizzo dei servizi delle risorse' per bloccare Cloud Deployment Manager (deploymentmanager.googleapis.com), potresti visualizzare il seguente messaggio di errore:

Serverless VPC Access service account (service-<PROJECT_NUMBER>@gcp-sa-vpcaccess.iam.gserviceaccount.com) needs Serverless VPC Access Service Agent role in the project.

Impostare il criterio dell'organizzazione rimuovere Deployment Manager dalla lista bloccata o aggiungerlo alla lista consentita.

Errore durante la creazione del connettore

Se la creazione di un connettore genera un errore, prova a procedere nel seguente modo:

• Specifica una specifica RFC 1918 intervallo IP interno che non si sovrappone ad alcun indirizzo IP esistente delle tue risorse nella rete VPC.
• Concedi al tuo progetto l'autorizzazione a utilizzare le immagini VM di Compute Engine dall' progetto con ID serverless-vpc-access-images. Per saperne di più su come aggiornare di conseguenza i criteri dell'organizzazione, consulta Impostare limitazioni di accesso alle immagini.

Impossibile accedere alle risorse

Se hai specificato un connettore, ma non riesci ancora ad accedere alle risorse nella rete VPC, assicurati che nella rete VPC non siano presenti regole firewall con una priorità inferiore a 1000 che negano l'ingresso dall'intervallo di indirizzi IP del connettore.

Se configuri un connettore in un progetto di servizio VPC condiviso, assicurati che le regole del firewall consentano l'ingresso dall'infrastruttura serverless al connettore.

Errore di connessione rifiutata

Se ricevi connection refused o connection timeout errori che si riducono le prestazioni della rete, le tue connessioni potrebbero crescere senza limiti delle tue applicazioni serverless. Per limitare il numero massimo di connessioni utilizzate per istanza, utilizza una libreria client che supporti i pool di connessioni. Per esempi dettagliati di utilizzo dei pool di connessioni, vedi Gestire le connessioni ai database.

Errore di risorsa non trovata

Quando elimini una rete VPC o una regola firewall, potresti visualizzare un messaggio simile al seguente: The resource "aet-uscentral1-subnet--1-egrfw" was not found.

Per informazioni su questo errore e sulla relativa soluzione, consulta Errore: risorsa non trovata nella documentazione delle regole firewall VPC.

Passaggi successivi

• Monitorare l'attività di amministrazione con Audit logging degli accessi VPC serverless.
• Proteggi le risorse e i dati creando un perimetro di servizio con Controlli di servizio VPC.
• Scopri i ruoli Identity and Access Management (IAM) associati all'accesso VPC serverless. Consulta la sezione Ruoli di accesso VPC serverless nella documentazione IAM per un elenco delle autorizzazioni associate a ciascun ruolo.
• Scopri come collegarti a Memorystore dall'ambiente standard di App Engine.