Conectarse a una red de VPC

En esta página, se muestra cómo usar el Acceso a VPC sin servidores para conectar la app del entorno estándar de App Engine directamente a la red de VPC, lo que permite el acceso a las instancias de VM de Compute Engine, instancias de Memorystore y cualquier otro recurso con una dirección IP interna.

Antes de comenzar

Creación de un conector de acceso a VPC sin servidores

Para enviar solicitudes a tu red de VPC y recibir las respuestas correspondientes sin usar la Internet pública, puedes usar un conector de Acceso a VPC sin servidores.

Si el conector se encuentra en el mismo proyecto que su red de VPC, puedes crear un conector con una subred existente o crear un conector y una subred nueva.

Si el conector se encuentra en un proyecto de servicio y usa una red de VPC compartida, el conector y su red de VPC asociada están en proyectos diferentes. Cuando un conector y su red de VPC están en proyectos diferentes, un administrador de red de VPC compartida debe crear la subred del conector en la red de VPC compartida antes de que puedas crear el conector, y debes crear el conector con una subred existente.

Para obtener más información acerca de los requisitos de subred, consulta Requisitos de subred del conector.

Para obtener información sobre la capacidad de procesamiento del conector, incluidos el tipo de máquina y el escalamiento, consulta Capacidad de procesamiento y escalamiento.

Puedes crear un conector con la consola de Google Cloud, Google Cloud CLI o Terraform:

Console

  1. Dirígete a la página de descripción general de acceso a VPC sin servidores.

    Ir a Acceso a VPC sin servidores

  2. Haz clic en Crear conector.

  3. En el campo Nombre, ingresa un nombre para tu conector, que coincida con las convenciones de nombres de Compute Engine, con los requisitos adicionales que debe cumplir el nombre. Debe tener menos de 21 caracteres y esos guiones (-) cuentan como dos caracteres.

  4. En el campo Región, selecciona una región para el conector. Debe coincidir con la región del servicio sin servidores.

    Si tu servicio o trabajo se encuentran en la región us-central o europe-west, usa us-central1 o europe-west1.

  5. En el campo Red, selecciona la red de VPC a la que conectarás el conector.

  6. En el campo Subred, selecciona una de las siguientes opciones:

    • Crea un conector con una subred existente: Selecciona la subred existente en el campo Subred.

    • Crea un conector y una subred nueva: Selecciona Rango de IP personalizado en el campo Subred. Luego, ingresa la primera dirección en un CIDR /28 sin usar (por ejemplo, 10.8.0.0/28) para usarla como rango de direcciones IPv4 principal de una subred nueva que Google Cloud cree en la red de VPC del conector. Asegúrate de que el rango de IP no entre en conflicto con ninguna ruta existente en la red de VPC del conector. El nombre de la subred nueva comienza con el prefijo “aet-”.

  7. (Opcional) Si deseas configurar las opciones de escalamiento para tener control adicional del conector, haz clic en Mostrar la configuración de escalamiento a fin de mostrar el formulario de escalamiento:

    1. Configura la cantidad mínima y máxima de instancias para tu conector o usa los valores predeterminados, que son 2 (mínimo) y 10 (máximo). El conector se escala verticalmente al máximo especificado si el uso del tráfico lo requiere, pero el conector no se reduce cuando el tráfico disminuye. Debes usar valores que se encuentren entre 2 y 10.
    2. En el menú Tipo de instancia, elige el tipo de máquina que se usará para el conector o usa el tipo e2-micro predeterminado. Observa la barra lateral de costos a la derecha cuando elijas el tipo de instancia, en la que se muestran las estimaciones de costo y ancho de banda.
  8. Haz clic en Crear.

  9. Aparecerá una marca de verificación verde junto al nombre del conector cuando esté listo para usar.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Actualiza los componentes de gcloud a la versión más reciente:

    gcloud components update
  3. Asegúrate de que esté habilitada la API de Acceso a VPC sin servidores en el proyecto:

    gcloud services enable vpcaccess.googleapis.com
  4. Crea el conector con una de las siguientes opciones:

    Para obtener más detalles y ver los argumentos opcionales, consulta la referencia de gcloud.

    • Crea un conector con una subred existente:

      gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
       --region REGION \
       --subnet SUBNET_NAME \
       --subnet-project HOST_PROJECT_ID \
       --min-instances MIN \
       --max-instances MAX \
       --machine-type MACHINE_TYPE

      Reemplaza lo siguiente:

      • CONNECTOR_NAME: un nombre para el conector, que coincide con las convenciones de nombres de Compute Engine, con los requisitos adicionales de que el nombre debe tener menos de 21 caracteres y que los guiones (-) cuentan como dos caracteres.
      • REGION: una región para el conector que coincide con la región del trabajo o servicio sin servidores. Si tu servicio o trabajo están en us-central o europe-west, usa us-central1 o europe-west1.
      • SUBNET_NAME: el nombre de la subred existente.
      • HOST_PROJECT_ID: El ID del proyecto host de VPC compartida Si el conector y la subred existente se encuentran en el mismo proyecto, omite la marca --subnet-project.
      • MIN: Es la cantidad mínima de instancias que se usarán para el conector. Usa un número entero que se encuentre entre 2(el valor predeterminado) y 9.
      • MAX: Es la cantidad máxima de instancias que se usarán para el conector. Usa un número entero que se encuentre entre 3 y 10 (el valor predeterminado). Si el conector escala verticalmente al número máximo de instancias, no se reduce la escala.
      • MACHINE_TYPE debe ser una de las siguientes opciones: f1-micro, e2-micro o e2-standard-4.
    • Crea un conector y una subred nueva:

      gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
       --region REGION \
       --network VPC_NETWORK \
       --range IP_RANGE
       --min-instances MIN \
       --max-instances MAX \
       --machine-type MACHINE_TYPE

      Reemplaza lo siguiente:

      • CONNECTOR_NAME: un nombre para el conector, que coincide con las convenciones de nombres de Compute Engine, con los requisitos adicionales de que el nombre debe tener menos de 21 caracteres y que los guiones (-) cuentan como dos caracteres.
      • REGION: una región para el conector que coincide con la región del trabajo o servicio sin servidores. Si tu servicio o trabajo están en us-central o europe-west, usa us-central1 o europe-west1.
      • VPC_NETWORK: el nombre de la red de VPC a la que enchufarás el conector. El conector y la red de VPC deben encontrarse en el mismo proyecto.
      • IP_RANGE: Proporciona un CIDR /28 sin usar (por ejemplo 10.8.0.0/28) para usar como el rango de direcciones IPv4 principal de una subred nueva que Google Cloud crea en la red de VPC del conector. Asegúrate de que el rango de IP no entre en conflicto con ninguna ruta existente en la red de VPC del conector. El nombre de la subred nueva comienza con el prefijo “aet-”.
      • MIN: Es la cantidad mínima de instancias que se usarán para el conector. Usa un número entero que se encuentre entre 2(el valor predeterminado) y 9.
      • MAX: Es la cantidad máxima de instancias que se usarán para el conector. Usa un número entero que se encuentre entre 3 y 10 (el valor predeterminado). Si el conector escala verticalmente al número máximo de instancias, no se reduce la escala.
      • MACHINE_TYPE debe ser una de las siguientes opciones: f1-micro, e2-micro o e2-standard-4.
  5. Verifica que tu conector tenga el estado READY antes de usarlo:

    gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \
    --region REGION

    Reemplaza lo siguiente:

    • CONNECTOR_NAME: Es el nombre de tu conector. Este es el nombre que especificaste en el paso anterior.
    • REGION: Es la región del conector. Esta es la región que especificaste en el paso anterior.

    El resultado debe contener la línea state: READY.

Terraform

Puedes usar un recurso de Terraform para habilitar la API de vpcaccess.googleapis.com.

resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

Puedes usar módulos de Terraform para crear una red y subred de VPC y, luego, crear el conector.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  version    = "~> 9.0"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

Configura el servicio para usar un conector

Después de crear un conector de Acceso a VPC sin servidores, debes configurar cada servicio en la app de App Engine que desees conectarte a la red de VPC.

A fin de especificar un conector para un servicio en la app, haz lo siguiente:

  1. Deja de usar el URLFetchService del servicio de recuperación de URL de App Engine.

  2. Agrega el elemento <vpc-access-connector> al archivo appengine-web.xml del servicio:

    <vpc-access-connector>
      <name>projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME</name>
    </vpc-access-connector>
    

    En el ejemplo anterior, PROJECT_ID es el ID del proyecto de Cloud, REGION es la región en la que se encuentra el conector y CONNECTOR_NAME es el nombre del conector.

  3. Implementa el servicio:

    gcloud app deploy WEB-INF/appengine-web.xml
    

Después de implementar el servicio, este podrá enviar solicitudes a direcciones IP internas para acceder a los recursos en la red de VPC.

Restringe el acceso a los recursos de VPC

Reglas de firewall obligatorias para conectores en proyectos de servicio

Si creas un conector en una red de VPC independiente o en el proyecto host de una red de VPC compartida, Google Cloud crea todas las reglas de firewall necesarias para el funcionamiento del conector. Para obtener más información, consulta Reglas de firewall para conectores en redes de VPC independientes o proyectos host de VPC compartida.

Sin embargo, si creas un conector en un proyecto de servicio y el conector se orienta a una red de VPC compartida en el proyecto host, debes agregar reglas de firewall para permitir el tráfico necesario para el funcionamiento del conector desde los siguientes rangos:

La infraestructura de Google subyacente a Cloud Run, funciones de Cloud Run y el entorno estándar de App Engine usa estos rangos. Todas las solicitudes de estas direcciones IP se originan en la infraestructura de Google para garantizar que cada recurso sin servidores solo se comunique con el conector al que está conectado.

También debes permitir el tráfico de la subred del conector a los recursos en la red de VPC.

Para seguir estos pasos, debes tener una de las siguientes funciones en el proyecto host:

Para una configuración simple, aplica las reglas para permitir que los servicios sin servidores en cualquier proyecto de servicio conectado a la red de VPC compartida envíen solicitudes a cualquier recurso en la red.

Para aplicar estas reglas, ejecuta los siguientes comandos en el proyecto host:

  1. Crea reglas de firewall que permitan que las solicitudes de la infraestructura sin servidores y los sondeos de verificación de estado de Google lleguen a todos los conectores de la red. En estos comandos, se usan puertos UDP y TCP como proxies y para verificaciones de estado HTTP, respectivamente. No cambies los puertos especificados.

    gcloud compute firewall-rules create serverless-to-vpc-connector \
        --allow tcp:667,udp:665-666,icmp \
        --source-ranges=35.199.224.0/19 \
        --direction=INGRESS \
        --target-tags vpc-connector \
        --network=VPC_NETWORK
    gcloud compute firewall-rules create vpc-connector-to-serverless \
        --allow tcp:667,udp:665-666,icmp \
        --destination-ranges=35.199.224.0/19 \
        --direction=EGRESS \
        --target-tags vpc-connector \
        --network=VPC_NETWORK
    gcloud compute firewall-rules create vpc-connector-health-checks \
        --allow tcp:667 \
        --source-ranges=35.191.0.0/16,35.191.192.0/18,130.211.0.0/22 \
        --direction=INGRESS \
        --target-tags vpc-connector \
        --network=VPC_NETWORK

    Reemplaza VPC_NETWORK por el nombre de la red de VPC a la que deseas conectar tu conector.

  2. Crea una regla de firewall de entrada en tu red de VPC para permitir las solicitudes de los conectores que se orientan a esta red:

    gcloud compute firewall-rules create vpc-connector-requests \
        --allow tcp,udp,icmp \
        --direction=INGRESS \
        --source-tags vpc-connector \
        --network=VPC_NETWORK

    Esta regla otorga al conector acceso a cada recurso de la red. Para limitar los recursos a los que tu entorno sin servidores puede acceder con el Acceso a VPC sin servidores, consulta Restringe el acceso de la VM del conector a los recursos de la red de VPC.

Crea reglas de firewall para conectores específicos

Seguir el procedimiento en Reglas de firewall obligatorias para los conectores en los proyectos de servicio da como resultado reglas de firewall que se aplican a todos los conectores, tanto los actuales como los actuales en el futuro. Si no quieres esto, pero deseas crear reglas solo para conectores específicos, puedes definir el alcance de las reglas para que se apliquen solo a esos conectores.

Para limitar el alcance de las reglas a conectores específicos, puedes usar uno de los siguientes mecanismos:

  • Etiquetas de red: cada conector tiene dos etiquetas de red: vpc-connector y vpc-connector-REGION-CONNECTOR_NAME. Usa este último formato para limitar el alcance de las reglas de firewall a un conector específico.
  • Rangos de IP: Usa esto solo para las reglas de salida, porque no funciona con las reglas de entrada. Puedes usar el rango de IP de la subred del conector para limitar el alcance de las reglas de firewall a un solo conector de VPC.

Restringe el acceso de la VM del conector a los recursos de la red de VPC

Puedes restringir el acceso de tu conector a los recursos en la red de VPC de destino mediante las reglas de firewall de VPC o las reglas en las políticas de firewall. Puedes aplicar estas restricciones mediante una de las siguientes estrategias:

  • Crea reglas de entrada cuyos objetivos representen los recursos a los que deseas limitar el acceso de la VM del conector y cuyos orígenes representen las VMs del conector.
  • Crea reglas de salida cuyos objetivos representen las VMs del conector y cuyos destinos representen los recursos a los que deseas limitar el acceso de la VM del conector.

En los siguientes ejemplos, se ilustra cada estrategia.

Restringe el acceso con reglas de entrada

Elige las etiquetas de red o los rangos de CIDR que sirven para controlar el tráfico de entrada a tu red de VPC:

Etiquetas de red

En los siguientes pasos, se muestra cómo crear reglas de entrada que restrinjan el acceso de un conector a tu red de VPC en función de las etiquetas de red del conector.

  1. Asegúrate de tener los permisos necesarios para insertar reglas de firewall. Debes contar con una de las siguientes funciones de Identity and Access Management (IAM):

  2. Deniega el tráfico del conector en toda tu red de VPC.

    Crea una regla de firewall de entrada con una prioridad inferior a 1,000 en la red de VPC para denegar la entrada de la etiqueta de red del conector. Esto anula la regla de firewall implícita que crea el acceso a VPC sin servidores en la red de VPC de forma predeterminada.

    gcloud compute firewall-rules create RULE_NAME \
    --action=DENY \
    --rules=PROTOCOL \
    --source-tags=VPC_CONNECTOR_NETWORK_TAG \
    --direction=INGRESS \
    --network=VPC_NETWORK \
    --priority=PRIORITY

    Reemplaza lo siguiente:

    • RULE_NAME: Es el nombre de la regla de firewall nueva. Por ejemplo, deny-vpc-connector

    • PROTOCOL: Uno o más protocolos que deseas permitir desde tu conector de VPC. Los protocolos compatibles son tcp o udp. Por ejemplo, tcp:80,udp permite el tráfico de TCP a través del puerto 80 y el tráfico de UDP. Para obtener más información, consulta la documentación de la marca allow.

      Por razones de seguridad y validación, también puedes configurar reglas de denegación para bloquear el tráfico de los siguientes protocolos no compatibles: ah, all, esp, icmp, ipip y sctp.

    • VPC_CONNECTOR_NETWORK_TAG: Es la etiqueta de red del conector universal si quieres restringir el acceso a todos los conectores (incluidos los que se creen en el futuro) o la etiqueta de red única si deseas restringir el acceso a un conector específico.

      • Etiqueta de red universal: vpc-connector
      • Etiqueta de red única: vpc-connector-REGION-CONNECTOR_NAME

        Reemplaza lo siguiente:

        • REGION: Es la región del conector que quieres restringir.
        • CONNECTOR_NAME: Es el nombre del conector que quieres restringir.

      Para obtener más información sobre las etiquetas de red del conector, consulta Etiquetas de red.

    • VPC_NETWORK es el nombre de tu red de VPC.

    • PRIORITY: un número entero entre 0 y 65535. Por ejemplo, 0 establece la prioridad más alta.

  3. Permite el tráfico del conector al recurso que debe recibir tráfico del conector.

    Usa las marcas allow y target-tags para crear una regla de firewall de entrada orientada al recurso en tu red de VPC a la que deseas que acceda el conector de VPC. Establece la prioridad para que esta regla sea un valor inferior a la prioridad de la regla que estableciste en el paso anterior.

    gcloud compute firewall-rules create RULE_NAME \
    --allow=PROTOCOL \
    --source-tags=VPC_CONNECTOR_NETWORK_TAG \
    --direction=INGRESS \
    --network=VPC_NETWORK \
    --target-tags=RESOURCE_TAG \
    --priority=PRIORITY

    Reemplaza lo siguiente:

    • RULE_NAME: Es el nombre de la regla de firewall nueva. Por ejemplo, allow-vpc-connector-for-select-resources

    • PROTOCOL: Uno o más protocolos que deseas permitir desde tu conector de VPC. Los protocolos compatibles son tcp o udp. Por ejemplo, tcp:80,udp permite el tráfico de TCP a través del puerto 80 y el tráfico de UDP. Para obtener más información, consulta la documentación de la marca allow.

    • VPC_CONNECTOR_NETWORK_TAG: Es la etiqueta de red del conector universal si quieres restringir el acceso a todos los conectores (incluidos los que se creen en el futuro) o la etiqueta de red única si deseas restringir el acceso a un conector específico. Debe coincidir con la etiqueta de red que especificaste en el paso anterior.

      • Etiqueta de red universal: vpc-connector
      • Etiqueta de red única: vpc-connector-REGION-CONNECTOR_NAME

        Reemplaza lo siguiente:

        • REGION: Es la región del conector que quieres restringir.
        • CONNECTOR_NAME: Es el nombre del conector que quieres restringir.

      Para obtener más información sobre las etiquetas de red del conector, consulta Etiquetas de red.

    • VPC_NETWORK es el nombre de tu red de VPC.

    • RESOURCE_TAG: la etiqueta de red para el recurso de VPC al que deseas que acceda tu conector de VPC.

    • PRIORITY: un número entero inferior a la prioridad que estableciste en el paso anterior. Por ejemplo, si estableces la prioridad para la regla que creaste en el paso anterior en 990, prueba con 980.

A fin de obtener más información sobre las marcas obligatorias y opcionales para la creación de reglas de firewall, consulta la documentación de gcloud compute firewall-rules create.

Rango de CIDR

En los siguientes pasos, se muestra cómo crear reglas de entrada que restrinjan el acceso de un conector a tu red de VPC en función del rango de CIDR del conector.

  1. Asegúrate de tener los permisos necesarios para insertar reglas de firewall. Debes contar con una de las siguientes funciones de Identity and Access Management (IAM):

  2. Deniega el tráfico del conector en toda tu red de VPC.

    Crea una regla de firewall de entrada con una prioridad inferior a 1,000 en tu red de VPC para denegar la entrada desde el rango de CIDR del conector. Esto anula la regla de firewall implícita que crea el acceso a VPC sin servidores en la red de VPC de forma predeterminada.

    gcloud compute firewall-rules create RULE_NAME \
    --action=DENY \
    --rules=PROTOCOL \
    --source-ranges=VPC_CONNECTOR_CIDR_RANGE \
    --direction=INGRESS \
    --network=VPC_NETWORK \
    --priority=PRIORITY

    Reemplaza lo siguiente:

    • RULE_NAME: Es el nombre de la regla de firewall nueva. Por ejemplo, deny-vpc-connector

    • PROTOCOL: Uno o más protocolos que deseas permitir desde tu conector de VPC. Los protocolos compatibles son tcp o udp. Por ejemplo, tcp:80,udp permite el tráfico de TCP a través del puerto 80 y el tráfico de UDP. Para obtener más información, consulta la documentación de la marca allow.

      Por razones de seguridad y validación, también puedes configurar reglas de denegación para bloquear el tráfico de los siguientes protocolos no compatibles: ah, all, esp, icmp, ipip y sctp.

    • VPC_CONNECTOR_CIDR_RANGE: El rango de CIDR del conector cuyo acceso estás restringiendo

    • VPC_NETWORK es el nombre de tu red de VPC.

    • PRIORITY: un número entero entre 0 y 65535. Por ejemplo, 0 establece la prioridad más alta.

  3. Permite el tráfico del conector al recurso que debe recibir tráfico del conector.

    Usa las marcas allow y target-tags para crear una regla de firewall de entrada orientada al recurso en tu red de VPC a la que deseas que acceda el conector de VPC. Establece la prioridad para que esta regla sea un valor inferior a la prioridad de la regla que estableciste en el paso anterior.

    gcloud compute firewall-rules create RULE_NAME \
    --allow=PROTOCOL \
    --source-ranges=VPC_CONNECTOR_CIDR_RANGE \
    --direction=INGRESS \
    --network=VPC_NETWORK \
    --target-tags=RESOURCE_TAG \
    --priority=PRIORITY

    Reemplaza lo siguiente:

    • RULE_NAME: Es el nombre de la regla de firewall nueva. Por ejemplo, allow-vpc-connector-for-select-resources

    • PROTOCOL: Uno o más protocolos que deseas permitir desde tu conector de VPC. Los protocolos compatibles son tcp o udp. Por ejemplo, tcp:80,udp permite el tráfico de TCP a través del puerto 80 y el tráfico de UDP. Para obtener más información, consulta la documentación de la marca allow.

    • VPC_CONNECTOR_CIDR_RANGE: El rango de CIDR del conector cuyo acceso estás restringiendo

    • VPC_NETWORK es el nombre de tu red de VPC.

    • RESOURCE_TAG: la etiqueta de red para el recurso de VPC al que deseas que acceda tu conector de VPC.

    • PRIORITY: un número entero inferior a la prioridad que estableciste en el paso anterior. Por ejemplo, si estableces la prioridad para la regla que creaste en el paso anterior en 990, prueba con 980.

A fin de obtener más información sobre las marcas obligatorias y opcionales para la creación de reglas de firewall, consulta la documentación de gcloud compute firewall-rules create.

Restringe el acceso con reglas de salida

En los siguientes pasos, se muestra cómo crear reglas de salida para restringir el acceso al conector.

  1. Asegúrate de tener los permisos necesarios para insertar reglas de firewall. Debes contar con una de las siguientes funciones de Identity and Access Management (IAM):

  2. Rechaza el tráfico de salida proveniente de tu conector.

    Crea una regla de firewall de salida en tu conector de acceso a VPC sin servidores para evitar que envíe tráfico de salida, con la excepción de las respuestas establecidas, a cualquier destino.

    gcloud compute firewall-rules create RULE_NAME \
    --action=DENY \
    --rules=PROTOCOL \
    --direction=EGRESS \
    --target-tags=VPC_CONNECTOR_NETWORK_TAG \
    --network=VPC_NETWORK \
    --priority=PRIORITY

    Reemplaza lo siguiente:

    • RULE_NAME: Es el nombre de la regla de firewall nueva. Por ejemplo, deny-vpc-connector

    • PROTOCOL: Uno o más protocolos que deseas permitir desde tu conector de VPC. Los protocolos compatibles son tcp o udp. Por ejemplo, tcp:80,udp permite el tráfico de TCP a través del puerto 80 y el tráfico de UDP. Para obtener más información, consulta la documentación de la marca allow.

      Por razones de seguridad y validación, también puedes configurar reglas de denegación para bloquear el tráfico de los siguientes protocolos no compatibles: ah, all, esp, icmp, ipip y sctp.

    • VPC_CONNECTOR_NETWORK_TAG: Es la etiqueta de red del conector de VPC universal si deseas que la regla se aplique para todos los conectores de VPC existentes y futuros. O bien, es la etiqueta de red del conector de VPC única si deseas controlar un conector específico.

    • VPC_NETWORK es el nombre de tu red de VPC.

    • PRIORITY: un número entero entre 0 y 65535. Por ejemplo, 0 establece la prioridad más alta.

  3. Permite el tráfico de salida cuando el destino se encuentra en el rango CIDR al que deseas que acceda tu conector.

    Usa las marcas allow y destination-ranges a fin de crear una regla de firewall que permita el tráfico de salida desde el conector para un rango específico de destinos. Establece el rango de destinos en el rango de CIDR del recurso en tu red de VPC a la que deseas que tu conector pueda acceder. Establece la prioridad para que esta regla sea un valor inferior a la prioridad de la regla que estableciste en el paso anterior.

    gcloud compute firewall-rules create RULE_NAME \
    --allow=PROTOCOL \
    --destination-ranges=RESOURCE_CIDR_RANGE \
    --direction=EGRESS \
    --network=VPC_NETWORK \
    --target-tags=VPC_CONNECTOR_NETWORK_TAG \
    --priority=PRIORITY

    Reemplaza lo siguiente:

    • RULE_NAME: Es el nombre de la regla de firewall nueva. Por ejemplo, allow-vpc-connector-for-select-resources

    • PROTOCOL: Uno o más protocolos que deseas permitir desde tu conector de VPC. Los protocolos compatibles son tcp o udp. Por ejemplo, tcp:80,udp permite el tráfico de TCP a través del puerto 80 y el tráfico de UDP. Para obtener más información, consulta la documentación de la marca allow.

    • RESOURCE_CIDR_RANGE: El rango de CIDR del conector cuyo acceso estás restringiendo

    • VPC_NETWORK es el nombre de tu red de VPC.

    • VPC_CONNECTOR_NETWORK_TAG: Es la etiqueta de red del conector de VPC universal si deseas que la regla se aplique para todos los conectores de VPC existentes y futuros. O bien, es la etiqueta de red del conector de VPC única si deseas controlar un conector específico. Si usaste la etiqueta de red única en el paso anterior, usa la etiqueta de red única.

    • PRIORITY: un número entero inferior a la prioridad que estableciste en el paso anterior. Por ejemplo, si estableces la prioridad para la regla que creaste en el paso anterior en 990, prueba con 980.

A fin de obtener más información sobre las marcas obligatorias y opcionales para la creación de reglas de firewall, consulta la documentación de gcloud compute firewall-rules create.

Administra tu conector

Controla el tráfico de salida desde un servicio

De forma predeterminada, solo las solicitudes a las direcciones IP internas y a los nombres de DNS internos se enrutan a través de un conector de Acceso a VPC sin servidores. Puedes especificar el parámetro de configuración de salida del servicio en el archivo appengine-web.xml.

La configuración de salida no es compatible con el servicio de recuperación de URL. Si aún no lo has hecho, deja de usar URLFetchService. Si se usa la biblioteca urlfetch, se ignora la configuración de salida, y las solicitudes no se enrutarán a través de un conector de Acceso a VPC sin servidores.

Para configurar el comportamiento de salida de tu servicio de App Engine, haz lo siguiente:

  1. Agrega el elemento <egress-setting> al elemento <vpc-access-connector> en el archivo appengine-web.xml de tu servicio:

    <vpc-access-connector>
     <name>projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME</name>
     <egress-setting>EGRESS_SETTING</egress-setting>
    </vpc-access-connector>

    Reemplaza lo siguiente:

    • PROJECT_ID por el ID del proyecto de Google Cloud
    • REGION por la región en la que se encuentra el conector
    • CONNECTOR_NAME por el nombre de tu conector
    • EGRESS_SETTING por uno de los siguientes valores:
      • private-ranges-only: predeterminado. Solo las solicitudes a los rangos de direcciones IP RFC 1918 y RFC 6598, o a nombres de DNS internos, se enrutan a la red de VPC. Todas las demás solicitudes se enrutan directamente a Internet.
      • all-traffic: todas las solicitudes salientes de tu servicio se enrutan a la red de VPC. Entonces, las solicitudes estarán sujetas al firewall, el DNS y las reglas de enrutamiento de la red de VPC. Ten en cuenta que el enrutamiento de todas las solicitudes salientes a tu red de VPC aumenta la cantidad de salida que controla el conector de Acceso a VPC sin servidores y puede generar cargos.
  2. Implementa el servicio:

    gcloud app deploy WEB-INF/appengine-web.xml
    

Desconecta un servicio de una red de VPC

Para desconectar un servicio de una red de VPC, quita el elemento <vpc-access-connector> del archivo appengine-web.xml y vuelve a implementar el servicio.

Los conectores continúan generando cargos, incluso si no tienen tráfico y están desconectados. Para obtener detalles, consulta Precios. Si ya no necesitas el conector, asegúrate de borrarlo para evitar que se te siga facturando.

Actualiza un conector

Puedes actualizar y supervisar los siguientes atributos de tu conector a través de la consola de Google Cloud, Google Cloud CLI o la API:

  • Tipo de máquina (instancia)
  • Cantidad mínima y máxima de instancias
  • Capacidad de procesamiento, cantidad de instancias y uso de CPU recientes

Actualizar tipo de máquina

Console

  1. Dirígete a la página de descripción general de acceso a VPC sin servidores.

    Ir a Acceso a VPC sin servidores

  2. Selecciona el conector que quieres editar y haz clic en Editar.

  3. En la lista Tipo de instancia, selecciona el tipo de máquina (instancia) que prefieras. Para obtener información sobre los tipos de máquinas disponibles, consulta la documentación sobre Capacidad de procesamiento y escalamiento.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Para actualizar el tipo de máquina del conector, ejecuta el siguiente comando en tu terminal:

    gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --machine-type=MACHINE_TYPE
    Reemplaza lo siguiente:

    • CONNECTOR_NAME: el nombre del conector
    • REGION: el nombre de la región del conector
    • MACHINE_TYPE: el tipo de máquina que prefieras. Para obtener información sobre los tipos de máquinas disponibles, consulta la documentación sobre Capacidad de procesamiento y escalamiento.

Disminuye la cantidad mínima y máxima de instancias

Para disminuir la cantidad mínima y máxima de instancias, debes hacer lo siguiente:

  1. Crea un conector nuevo con tus valores preferidos.
  2. Actualiza tu servicio o función para usar el conector nuevo.
  3. Borra el conector anterior cuando hayas movido su tráfico.

Para obtener más información, consulta Crea un conector de acceso a VPC sin servidores.

Aumenta la cantidad mínima y máxima de instancias

Console

  1. Dirígete a la página de descripción general de acceso a VPC sin servidores.

    Ir a Acceso a VPC sin servidores

  2. Selecciona el conector que quieres editar y haz clic en Editar.

  3. En el campo Cantidad mínima de instancias, selecciona la cantidad mínima de instancias que prefieras.

    El valor más pequeño posible para este campo es el valor actual. El valor más alto posible para este campo es el valor actual en el campo Cantidad máxima de instancias menos 1. Por ejemplo, si el valor en el campo Cantidad máxima de instancias es 8, el valor más alto posible para el campo Cantidad mínima de instancias es 7.

  4. En el campo Cantidad máxima de instancias, selecciona la cantidad máxima de instancias que prefieras.

    El valor más pequeño posible para este campo es el valor actual. El valor más alto posible para este campo es 10.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Para aumentar la cantidad mínima o máxima de instancias para el conector, ejecuta el siguiente comando en tu terminal:

    gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --min-instances=MIN_INSTANCES --max-instances=MAX_INSTANCES
    Reemplaza lo siguiente:

  • CONNECTOR_NAME: el nombre del conector
  • REGION: el nombre de la región del conector
  • MIN_INSTANCES: la cantidad mínima de instancias que prefieras.
    • El valor más pequeño posible para este campo es el valor actual de min_instances. Para buscar el valor actual, consulta Busca los valores de los atributos actuales.
    • El valor más alto posible para este campo es el valor max_instances actual menos 1, porque min_instances debe ser menor que max_instances. Por ejemplo, si max_instances es 8, el valor más alto posible para este campo es 7. Si el conector usa el valor predeterminado max-instances de 10, el valor más alto posible de este campo es 9. Para buscar el valor de max-instances, consulta Busca los valores de los atributos actuales.
  • MAX_INSTANCES:

    • El valor más pequeño posible para este campo es el valor actual de max_instances. Para buscar el valor actual, consulta Busca los valores de los atributos actuales.
    • El valor más alto posible para este campo es 10.

    Si solo deseas aumentar la cantidad mínima de instancias, pero no la máxima, debes especificar la cantidad máxima de instancias. Por el contrario, si solo deseas actualizar la cantidad máxima de instancias, pero no la mínima, debes especificar la cantidad mínima de instancias. Para mantener la cantidad mínima o máxima de instancias en el valor actual, especifica su valor actual. Para buscar el valor actual, consulta Busca los valores de los atributos actuales.

Busca los valores de los atributos actuales

Para buscar los valores de los atributos actuales de tu conector, ejecuta lo siguiente en tu terminal:

gcloud compute networks vpc-access connectors describe CONNECTOR_NAME --region=REGION --project=PROJECT
Reemplaza lo siguiente:

  • CONNECTOR_NAME: el nombre del conector
  • REGION: el nombre de la región del conector
  • PROJECT: el nombre de tu proyecto de Google Cloud

Supervisa el uso del conector

La supervisión del uso en el tiempo puede ayudarte a determinar cuándo ajustar la configuración de un conector. Por ejemplo, si el uso de CPU aumenta, puedes intentar aumentar la cantidad máxima de instancias para obtener mejores resultados. O si alcanzas el máximo de la capacidad de procesamiento, puedes decidir cambiar a un tipo de máquina más grande.

Para mostrar gráficos de la capacidad de procesamiento del conector, la cantidad de instancias y las métricas de uso de CPU con el tiempo a través de la consola de Google Cloud, haz lo siguiente:

  1. Dirígete a la página de descripción general de Acceso a VPC sin servidores.

    Ir a Acceso a VPC sin servidores

  2. Haz clic en el nombre del conector que quieres supervisar.

  3. Selecciona la cantidad de días que deseas mostrar entre 1 y 90 días.

  4. En el gráfico Capacidad de procesamiento, coloca el cursor sobre el gráfico para ver la capacidad de procesamiento reciente del conector.

  5. En el gráfico Cantidad de instancias, coloca el cursor sobre el gráfico para ver la cantidad de instancias que el conector usó recientemente.

  6. En el gráfico Uso de CPU, coloca el cursor sobre el gráfico para ver el uso de CPU reciente del conector. En el gráfico, se muestra el uso de CPU distribuido entre las instancias para los percentiles 50, 95 y 99.

Borra un conector

Antes de borrar un conector, asegúrate de que ningún servicio o trabajo siga conectado a él.

Para los usuarios de VPC compartida que configuraron conectores en el proyecto host de la VPC compartida (ya no se recomienda), puedes usar el comando gcloud compute networks vpc-access connectors describe para enumerar los proyectos, que son servicios o trabajos que usan un conector determinado.

Para borrar un conector, usa la consola de Google Cloud o la CLI de Google Cloud:

Console

  1. Ve a la página de descripción general de Acceso a VPC sin servidores en la consola de Google Cloud:

    Ir a Acceso a VPC sin servidores

  2. Selecciona el conector que quieres borrar.

  3. Haz clic en Borrar.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Usa el siguiente comando de gcloud para borrar un conector:

    gcloud compute networks vpc-access connectors delete CONNECTOR_NAME --region=REGION
    

    Reemplaza lo siguiente:

    • CONNECTOR_NAME es el nombre del conector que quieres borrar.
    • REGION es la región donde se encuentra el conector.

Soluciona problemas

Permisos de las cuentas de servicio

Para realizar operaciones en el proyecto de Google Cloud, el servicio de Acceso a VPC sin servidores usa la cuenta de servicio del agente de servicio de Acceso a VPC sin servidores. La dirección de correo electrónico de esta cuenta de servicio tiene el siguiente formato:

service-PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com

De forma predeterminada, esta cuenta de servicio tiene la función de agente de servicio de Acceso a VPC sin servidores (roles/vpcaccess.serviceAgent). Las operaciones del Acceso a VPC sin servidores pueden fallar si cambias los permisos de esta cuenta.

Errores

Error de que la cuenta de servicio necesita el rol de agente de servicio

Si usas la restricción de la política de la organización Restringir el uso de servicios del recurso para bloquear Cloud Deployment Manager (deploymentmanager.googleapis.com), es posible que veas el siguiente mensaje de error:

Serverless VPC Access service account (service-<PROJECT_NUMBER>@gcp-sa-vpcaccess.iam.gserviceaccount.com) needs Serverless VPC Access Service Agent role in the project.

Configura la política de la organización para quitar Deployment Manager de la lista de bloqueo o agregarla a la lista de entidades permitidas.

Error de creación del conector

Si la creación de un conector produce un error, prueba lo siguiente:

  • Especifica un rango de IP internas de RFC 1918 que no se superponga con ninguna reserva de dirección IP existente en la red de VPC.
  • Otorga al proyecto permiso para usar las imágenes de VM de Compute Engine del proyecto con el ID serverless-vpc-access-images. Para obtener más información sobre cómo actualizar las políticas de la organización según corresponda, consulta Configura restricciones de acceso a imágenes.

No se puede acceder a los recursos

Si especificaste un conector, pero aún no puedes acceder a los recursos de la red de VPC, asegúrate de que no haya reglas de firewall en la red de VPC que tengan una prioridad inferior a 1,000 que rechacen la entrada desde el rango de direcciones IP del conector.

Si configuras un conector en un proyecto de servicio de VPC compartida, asegúrate de que las reglas de firewall permitan la entrada de la infraestructura sin servidores al conector.

Error de conexión rechazada

Si recibes errores connection refused o connection timeout que degradan el rendimiento de la red, es posible que las conexiones crezcan sin límite en las invocaciones de la aplicación sin servidores. Para limitar la cantidad máxima de conexiones de cada instancia, usa una biblioteca cliente que admita grupos de conexiones. Para obtener ejemplos detallados sobre cómo usar los grupos de conexiones, consulta Administra conexiones de bases de datos.

Error de recurso no encontrado

Cuando borres una red de VPC o una regla de firewall, es posible que veas un mensaje similar al siguiente: The resource "aet-uscentral1-subnet--1-egrfw" was not found.

Para obtener información sobre este error y su solución, consulta Error de recurso no encontrado en la documentación de reglas de firewall de VPC.

Próximos pasos