Nota: Python 2.7 ha raggiunto fine del supporto il 31 gennaio 2024. Le applicazioni Python 2.7 esistenti continueranno a essere eseguite e a ricevere traffico. Tuttavia, App Engine potrebbe bloccare il rideployment delle applicazioni che utilizzano i runtime al termine del periodo di assistenza. Ti consigliamo di eseguire la migrazione alla versione più recente di Python supportata.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configura i connettori nel progetto host del VPC condiviso

Se la tua organizzazione utilizza il VPC condiviso, puoi configurare un connettore di accesso VPC serverless nel progetto di servizio o nel progetto host. Questa guida mostra come configurare un connettore nel progetto host.

Se devi configurare un connettore in un progetto di servizio, consulta Configurare i connettori nei progetti di servizio. Per conoscere i vantaggi di ciascun metodo, consulta Connessione a una VPC condiviso condivisa

Prima di iniziare

Verifica i ruoli di Identity and Access Management (IAM) per l'account che stai attualmente utilizzando. L'account attivo deve avere i seguenti ruoli sul progetto host:
Seleziona il progetto host nell'ambiente che preferisci.

Console

Vai alla dashboard della console Google Cloud.

Vai alla dashboard della console Google Cloud
Nella barra dei menu nella parte superiore della dashboard, fai clic sul menu a discesa del progetto e seleziona il progetto host.

gcloud

Imposta il progetto predefinito in gcloud CLI sul progetto host esegui questo comando nel tuo terminale:

gcloud config set project HOST_PROJECT_ID

Sostituisci quanto segue:

HOST_PROJECT_ID: l'ID del progetto host VPC condiviso

Crea un connettore di accesso VPC serverless

Per inviare richieste alla tua rete VPC e ricevere risposte corrispondenti, devi creare un accesso VPC serverless di rete. Puoi creare un connettore utilizzando la console Google Cloud, Google Cloud CLI o Terraform:

Console

Abilita l'API Serverless VPC Access per il tuo progetto.

Abilita API
Vai alla pagina di riepilogo Accesso VPC serverless.

Vai all'accesso VPC serverless
Fai clic su Crea connettore.
Nel campo Nome, inserisci un nome per il connettore. Il nome deve segui le istruzioni di Compute Engine convenzione di denominazione e avere meno di 21 caratteri. I trattini (-) vengono conteggiati come due caratteri.
Nel campo Regione, seleziona una regione per il connettore. Deve corrispondere alla regione del servizio serverless.

Se il servizio si trova nella regione us-central o europe-west, utilizza us-central1 o europe-west1.
Nel campo Rete, seleziona la rete VPC a cui collegare il connettore.
Fai clic sul menu a discesa Subnet:

Seleziona una subnet /28 inutilizzata.
- Le subnet devono essere utilizzate esclusivamente dal connettore. Non possono essere utilizzati da altre risorse come VM, Private Service Connect o bilanciatori del carico.
- Per verificare che la subnet non sia utilizzata per Private Service Connect o il bilanciamento del carico Cloud, controlla che la subnet purpose sia PRIVATE eseguendo il seguente comando in gcloud CLI:
```
gcloud compute networks subnets describe SUBNET_NAME
```
  Sostituisci SUBNET_NAME con il nome della tua subnet.
(Facoltativo) Per impostare le opzioni di scalabilità per un maggiore controllo Sul connettore, fai clic su Mostra impostazioni di scalabilità per visualizzare in un modulo di testo.
1. Imposta il numero minimo e massimo di istanze per il connettore oppure utilizza i valori predefiniti, ovvero 2 (min) e 10 (max). Il connettore esegue lo scale out fino al numero massimo specificato con l'aumento del traffico, ma non esegue lo scale in quando il traffico diminuisce. Devi utilizzare valori compresi tra 2 e 10 e il valore MIN deve essere inferiore al valore MAX.
2. Nel menu a discesa Tipo di istanza, scegli il tipo di macchina da utilizzare per o utilizza il valore predefinito e2-micro. Osserva la barra laterale dei costi a destra quando scegli il tipo di istanza, che mostra la larghezza di banda e stime dei costi.
Fai clic su Crea.
Un segno di spunta verde verrà visualizzato accanto al nome del connettore quando pronto per l'uso.

gcloud

Aggiorna i componenti di gcloud alla versione più recente:
```
gcloud components update
```
Abilita l'API Serverless VPC Access per il tuo progetto:
```
gcloud services enable vpcaccess.googleapis.com
```
Crea un connettore di accesso VPC serverless:
```
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
--region=REGION \
--subnet=SUBNET \
--subnet-project=HOST_PROJECT_ID \
# Optional: specify minimum and maximum instance values between 2 and 10, default is 2 min, 10 max.
--min-instances=MIN \
--max-instances=MAX \
# Optional: specify machine type, default is e2-micro
--machine-type=MACHINE_TYPE
```
Sostituisci quanto segue:
- CONNECTOR_NAME: un nome per il connettore. Il nome devono rispettare le Compute Engine convenzione di denominazione e avere meno di 21 caratteri. I trattini (-) vengono conteggiati come due caratteri.
- REGION: una regione per il connettore. Deve corrispondere alla regione del servizio serverless. Se il tuo servizio si trova nella regione us-central o europe-west, usa us-central1 oppure europe-west1.
- SUBNET: il nome di una subnet /28 inutilizzata.
  - Le subnet devono essere utilizzate esclusivamente dal connettore. Non possono essere utilizzati da altre risorse come VM, Private Service Connect o bilanciatori del carico.
  - Per verificare che la subnet non sia utilizzata per Private Service Connect o il bilanciamento del carico Cloud, controlla che la subnet purpose sia PRIVATE eseguendo il seguente comando in gcloud CLI:
```
gcloud compute networks subnets describe SUBNET_NAME
```
    Sostituisci quanto segue:
    - SUBNET_NAME: il nome della subnet
- HOST_PROJECT_ID: l'ID del progetto host
- MIN: il numero minimo di istanze da utilizzare per il connettore. Utilizza un numero intero compreso tra 2 e 9. Il valore predefinito è 2. Per informazioni sulla scalabilità dei connettori, consulta Throughput e scalabilità.
- MAX: il numero massimo di istanze da utilizzare per il connettore. Utilizza un numero intero compreso tra 3 e 10. Il valore predefinito è 10. Se il traffico lo richiede, il connettore esegue lo scale out fino a [MAX] istanze, ma non lo scale out. Per ulteriori informazioni sulla scalabilità dei connettori, consulta Velocità effettiva e scalabilità.
- MACHINE_TYPE: f1-micro, e2-micro o e2-standard-4. Per informazioni sulla velocità effettiva del connettore, inclusi il tipo di macchina e la scalabilità, consulta Velocità effettiva e scalabilità.
Per maggiori dettagli e argomenti facoltativi, consulta le informazioni di riferimento su gcloud.
Prima di utilizzarlo, verifica che il connettore sia nello stato READY:
```
gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \
--region=REGION
```
Sostituisci quanto segue:
- CONNECTOR_NAME: il nome del connettore, ovvero il nome specificato nel passaggio precedente
- REGION: la regione del connettore, ovvero la regione specificata nel passaggio precedente
L'output deve contenere la riga state: READY.

Terraform

Puoi utilizzare una risorsa Terraform per abilitare l'API vpcaccess.googleapis.com.

resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

Puoi utilizzare i moduli Terraform per creare una rete VPC e una subnet, quindi di rete.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  version    = "~> 9.0"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

Fornire l'accesso al connettore

Fornisci l'accesso al connettore concedendo all'Utente accesso VPC serverless ruolo IAM del progetto host all'entità che esegue il deployment dal servizio App Engine.

Console

Apri la pagina IAM.

Vai a IAM
Fai clic sul menu a discesa del progetto e seleziona il progetto host.
Fai clic su Aggiungi.
Nel campo Nuove entità, aggiungi l'entità che esegue il deployment del servizio App Engine.
Nel campo Ruolo, seleziona Utente accesso VPC serverless.
Fai clic su Salva.

gcloud

Esegui il seguente comando nel terminale:

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/vpcaccess.user

Sostituisci quanto segue:

HOST_PROJECT_ID: l'ID del progetto host VPC condiviso
PRINCIPAL: il principale che esegue il deployment del servizio App Engine. Scopri di più sul flag --member.

Rendere il connettore rilevabile

Per vedere il connettore, le entità devono avere determinati ruoli di visualizzazione sia sull'host tra progetti e progetto di servizio. Per fare in modo che il connettore venga visualizzato quando i principali visualizzano i connettori disponibili nella console Google Cloud o dal terminale, aggiungi i ruoli IAM per i principali che eseguono il deployment dei servizi App Engine.

Concedi ruoli IAM nel progetto host

Nel progetto host, concedi alle entità che eseguono il deployment dei servizi App Engine il ruolo Visualizzatore Accesso VPC serverless (vpcaccess.viewer).

Console

Apri la pagina IAM.

Vai a IAM
Fai clic sul menu a discesa del progetto e seleziona il progetto host.
Fai clic su Aggiungi.
Nel campo Nuove entità, inserisci l'indirizzo email dell'entità che deve essere in grado di vedere il connettore dal progetto di servizio. Puoi inserisci più indirizzi email in questo campo.
Nel campo Ruolo, seleziona Visualizzatore accesso VPC serverless.
Fai clic su Salva.

gcloud

Esegui il seguente comando nel terminale:

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/vpcaccess.viewer

Sostituisci quanto segue:

HOST_PROJECT_ID: l'ID del Progetto host VPC condiviso
PRINCIPAL: il principale che esegue il deployment dei servizi App Engine. Scopri di più sulle Flag --member.

Concedi ruoli IAM nel progetto di servizio

Nel progetto di servizio, concedi alle entità che eseguono il deployment dei servizi App Engine il ruolo Visualizzatore rete Compute (compute.networkViewer).

Console

Apri la pagina IAM.

Vai a IAM
Fai clic sul menu a discesa del progetto e seleziona il progetto di servizio.
Fai clic su Aggiungi.
Nel campo Nuove entità, inserisci l'indirizzo email dell'entità che deve essere in grado di vedere il connettore dal progetto di servizio. In questo campo puoi inserire più indirizzi email.
Nel campo Ruolo, seleziona Visualizzatore rete Compute.
Fai clic su Salva.

gcloud

Esegui il seguente comando nel terminale:

gcloud projects add-iam-policy-binding SERVICE_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/compute.networkViewer

Sostituisci quanto segue:

SERVICE_PROJECT_ID: l'ID del progetto di servizio
PRINCIPAL: l'entità che esegue il deployment dai servizi App Engine. Scopri di più sulle Flag --member.

Configurare il servizio per utilizzare un connettore

Per ogni servizio App Engine che richiede l'accesso al tuo VPC condiviso, devi specificare il connettore per il servizio. La i passaggi seguenti mostrano come configurare il servizio per l'utilizzo di un connettore.

Disattiva l'impostazione predefinita di recupero dell'URL e interrompi qualsiasi utilizzo esplicito della biblioteca urlfetch. L'accesso VPC serverless non è compatibile con il servizio di recupero dell'URL.
Aggiungi vpc_access_connector al file app.yaml del tuo servizio:
```
vpc_access_connector:
name: projects/HOST_PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
```
Sostituisci quanto segue:
- HOST_PROJECT_ID: l'ID del progetto host VPC condiviso
- REGION: la regione del connettore
- CONNECTOR_NAME: il nome del connettore
Esegui il deployment del servizio:
```
gcloud app deploy
```

Dopo il deployment, il servizio è in grado di inviare richieste alla rete VPC condivisa e di ricevere le risposte corrispondenti.

Passaggi successivi

Monitora le attività di amministrazione con gli audit log di accesso VPC serverless.
Proteggi le risorse e i dati creando un perimetro di servizio con Controlli di servizio VPC.
Scopri di più su Identity and Access Management (IAM) ai ruoli associati all'accesso VPC serverless. Consulta la sezione Ruoli di accesso VPC serverless nella documentazione IAM per un elenco delle autorizzazioni associate a ciascun ruolo.
Scopri come connettersi a Memorystore dell'ambiente standard di App Engine.