Si tu organización usa una VPC compartida, puedes conectar los servicios del entorno estándar de App Engine directamente a tu red de VPC compartida mediante el acceso a VPC sin servidor. De esta forma, un servicio del entorno estándar puede acceder a los recursos de tu red de VPC compartida, como las instancias de VM de Compute Engine, las instancias de Memorystore y cualquier otro recurso con una dirección IP interna.
Los conectores de Acceso a VPC sin servidor tienen un coste mensual. Para obtener más información, consulta los precios de Acceso a VPC sin servidor.
Si tu organización no usa la VPC compartida, consulta Conectarse a una red de VPC.
Comparación de métodos de configuración
En el caso de las VPC compartidas, los conectores de Acceso a VPC sin servidor se pueden configurar de dos formas diferentes. Puede configurar conectores en cada proyecto de servicio que tenga recursos del entorno estándar que necesiten acceder a su red o puede configurar conectores compartidos en el proyecto del host. Cada método tiene sus ventajas.
Proyectos de servicio
Ventajas de crear conectores en los proyectos de servicio:
- Aislamiento: cada conector tiene un ancho de banda dedicado y no se ve afectado por el uso del ancho de banda de los conectores de otros proyectos de servicio. Esto es útil si tienes un servicio que experimenta picos de tráfico o si necesitas asegurarte de que el uso de conectores de otros proyectos de servicio no afecte a cada proyecto de servicio.
- Devoluciones de cargo: los cargos incurridos por los conectores se asocian al proyecto de servicio que contiene el conector. Esto facilita las devoluciones de cargo.
- Seguridad: te permite seguir el principio de mínimos accesos. Los conectores deben tener acceso a los recursos de tu red de VPC compartida a los que necesiten acceder. Si creas un conector en el proyecto de servicio, puedes limitar a qué pueden acceder los servicios del proyecto mediante reglas de cortafuegos.
- Independencia de los equipos: se reduce la dependencia del administrador del proyecto del host.
Los equipos pueden crear y gestionar los conectores asociados a su proyecto de servicio. Un usuario con el rol Administrador de seguridad de Compute Engine o un rol Gestión de Identidades y Accesos (IAM) personalizado con el permiso
compute.firewalls.createhabilitado para el proyecto host debe seguir gestionando las reglas de firewall del conector.
Para configurar conectores en proyectos de servicio, consulta Configurar conectores en proyectos de servicio.
Proyecto del host
Ventajas de crear conectores en el proyecto host:
- Gestión de redes centralizada: se alinea con el modelo de VPC compartida, que centraliza los recursos de configuración de red en el proyecto del host.
- Espacio de direcciones IP: conserva más espacio de direcciones IP. Los conectores requieren una dirección IP para cada instancia, por lo que, si tienes menos conectores (y menos instancias en cada conector), se usarán menos direcciones IP. Es una buena opción si te preocupa quedarte sin direcciones IP.
- Mantenimiento: reduce el mantenimiento, ya que cada conector que crees se puede usar en varios proyectos de servicio. Esto es útil si te preocupa la sobrecarga de mantenimiento.
- Coste del tiempo de inactividad: puede reducir la cantidad de tiempo de inactividad del conector y el coste asociado. Los conectores generan costes incluso cuando no están sirviendo tráfico (consulta los precios). Si tienes menos conectores, puede que se reduzca la cantidad de recursos que pagas cuando no se sirve tráfico, en función del tipo de conector y del número de instancias. Esta opción suele ser rentable si tu caso práctico implica un gran número de servicios y estos se usan con poca frecuencia.
Para configurar conectores en el proyecto del host, consulta Configurar conectores en el proyecto del host.