Como se conectar a uma rede VPC

Saiba usar o acesso VPC sem servidor para conectar seus serviços do App Engine no ambiente padrão diretamente à sua rede VPC, permitindo acesso a instâncias de VM do Compute Engine, instâncias do Memorystore e outros recursos com um endereço IP interno.

Antes de começar

• Se você ainda não tiver uma rede VPC no projeto, crie uma.

• Se você usar a VPC compartilhada, consulte Como se conectar a uma rede VPC compartilhada.

• No Console do Google Cloud, verifique se a API de acesso VPC sem servidor está ativada no projeto.

  Ativar API

Criar um conector de acesso VPC sem servidor

Para enviar solicitações à sua rede VPC e receber as respostas correspondentes sem usar a Internet pública, use um conector de acesso VPC sem servidor.

Se o conector estiver localizado no mesmo projeto que a VPC é possível criar um conector usando uma sub-rede existente um conector e uma nova sub-rede.

Se o conector estiver localizado em um projeto de serviço e usar uma VPC compartilhada rede, o conector e a rede VPC associada estão no projetos diferentes. Quando um conector e a respectiva rede VPC estão no projetos diferentes, o administrador da rede VPC compartilhada precisa criar sub-rede do conector na rede VPC compartilhada antes de criar a e é necessário criar o conector usando uma sub-rede existente.

Para saber mais sobre os requisitos da sub-rede, consulte sub-rede do conector. requisitos.

Para saber mais sobre a capacidade de processamento do conector, incluindo o tipo de máquina e o escalonamento, consulte Capacidade de processamento e escalonamento.

É possível criar um conector usando o console do Google Cloud, a Google Cloud CLI ou o Terraform.

resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  version    = "~> 9.0"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

Como configurar o serviço para usar um conector

Depois de criar um conector de acesso VPC sem servidor, configure cada serviço do aplicativo do App Engine que você quer conectar à rede VPC.

Para especificar um conector para um serviço no aplicativo, siga estas etapas:

1. Adicione o campo vpc_access_connector ao arquivo app.yaml do serviço:

   vpc_access_connector:
    name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
   

   PROJECT_ID é o ID do projeto do Google Cloud, REGION é a região em que o conector está e CONNECTOR_NAME é o nome do conector.

2. Implante o serviço:

   gcloud app deploy
   

Depois de reimplantado, o serviço pode enviar solicitações para endereços IP internos a fim de acessar recursos na rede VPC.

Acesso a recursos da VPC

Regras de firewall necessárias para conectores em projetos de serviço

Se você criar um conector em uma rede VPC independente ou no projeto host de uma rede VPC compartilhada, o Google Cloud criará as regras de firewall necessárias para a operação do conector. Para mais informações, consulte Regras de firewall para conectores em redes VPC independentes ou projetos de host da VPC compartilhada.

No entanto, se você criar um conector em um projeto de serviço e o conector segmentar uma rede VPC compartilhada no projeto host, será necessário adicionar regras de firewall para permitir o tráfego necessário para a operação do conector nos seguintes intervalos:

• Intervalo de IP da infraestrutura sem servidor: 35.199.224.0/19
• Intervalos de IP da sondagem de verificação de integridade: 35.191.0.0/16, 35.191.192.0/18 e 130.211.0.0/22

Esses intervalos são usados pela infraestrutura do Google, que serve como base para o Cloud Run, as funções do Cloud Run e o ambiente padrão do App Engine. Todas as solicitações desses endereços IP são originadas na infraestrutura do Google para garantir que cada recurso sem servidor se comunique apenas com o conector ao qual está conectado.

Você também precisa permitir o tráfego da sub-rede do conector para os recursos na sua rede VPC.

Para executar essas etapas, você precisa ter um dos seguintes papéis no projeto host:

• Papel de proprietário(roles/owner)
• Papel Administrador de segurança do Compute (roles/compute.securityAdmin)
• Papel personalizado de gerenciamento de identidade e acesso (IAM, na sigla em inglês) com a permissão compute.firewalls.create ativada

Para uma configuração simples, aplique as regras para permitir que os recursos sem servidor em qualquer projeto de serviço conectado à rede VPC compartilhada enviem solicitações para qualquer recurso da rede.

Para aplicar essas regras, execute os seguintes comandos no projeto host:

1. Crie regras de firewall que permitam que as solicitações da infraestrutura sem servidor e das sondagens de verificação de integridade do Google alcancem todos os conectores na rede. Nesses comandos, as portas UDP e TCP são usadas como proxies e para verificações de integridade HTTP, respectivamente. Não altere as portas especificadas.

   gcloud compute firewall-rules create serverless-to-vpc-connector \
       --allow tcp:667,udp:665-666,icmp \
       --source-ranges=35.199.224.0/19 \
       --direction=INGRESS \
       --target-tags vpc-connector \
       --network=VPC_NETWORK

   gcloud compute firewall-rules create vpc-connector-to-serverless \
       --allow tcp:667,udp:665-666,icmp \
       --destination-ranges=35.199.224.0/19 \
       --direction=EGRESS \
       --target-tags vpc-connector \
       --network=VPC_NETWORK

   gcloud compute firewall-rules create vpc-connector-health-checks \
       --allow tcp:667 \
       --source-ranges=35.191.0.0/16,35.191.192.0/18,130.211.0.0/22 \
       --direction=INGRESS \
       --target-tags vpc-connector \
       --network=VPC_NETWORK

   Substitua VPC_NETWORK pelo nome da rede VPC a que você quer anexar o conector.

2. Crie uma regra de firewall de entrada na sua rede VPC para permitir solicitações de conectores que segmentam essa rede:

   gcloud compute firewall-rules create vpc-connector-requests \
       --allow tcp,udp,icmp \
       --direction=INGRESS \
       --source-tags vpc-connector \
       --network=VPC_NETWORK

   Essa regra concede ao conector acesso a todos os recursos da rede. Para limitar os recursos que seu ambiente sem servidor pode alcançar usando "acesso VPC sem servidor", consulte Restringir o acesso da VM do conector aos recursos de rede VPC.

Criar regras de firewall para conectores específicos

Seguir o procedimento descrito em Regras de firewall obrigatórias para conectores em projetos de serviço resulta em regras de firewall que se aplicam a todos os conectores, tanto os atuais quanto os criados no futuro. Se você não quiser fazer isso, mas quiser criar regras somente para conectores específicos, poderá definir o escopo das regras para que elas se apliquem apenas a esses conectores.

Para limitar o escopo das regras a conectores específicos, use um destes mecanismos:

• Tags de rede: cada conector tem duas tags de rede: vpc-connector e vpc-connector-REGION-CONNECTOR_NAME. Use o último formato para limitar o escopo das suas regras de firewall a um conector específico.
• Intervalos de IP: use esse método apenas para regras de saída, porque ele não funciona para regras de entrada. É possível usar o intervalo de IP da sub-rede do conector para limitar o escopo das regras de firewall a um único conector de VPC.

Restringir recursos de rede VPC de acesso à VM do conector

É possível restringir o acesso do conector a recursos na rede VPC de destino usando regras de firewall da VPC ou regras em políticas de firewall. Você pode realizar essas restrições usando uma das seguintes estratégias:

• Crie regras de entrada com destinos que representem os recursos a que você quer limitar o acesso da VM do conector e com origens que representem as VMs do conector.
• Crie regras de saída que tenham destinos que representem as VMs do conector e que os destinos representem os recursos a que você quer limitar o acesso da VM do conector.

Os exemplos a seguir ilustram cada estratégia.

Restringir o acesso usando regras de entrada

Escolha tags de rede ou intervalos CIDR para controlar o tráfego de entrada para a rede VPC.

Restringir o acesso usando regras de saída

As etapas a seguir mostram como criar regras de saída para restringir o acesso ao conector.

1. Verifique se você tem as permissões necessárias para inserir regras de firewall. Você precisa ter um dos seguintes papéis do Identity and Access Management (IAM):

   • Papel Administrador de segurança do Compute
   • Papel de IAM personalizado com a permissão compute.firewalls.create ativada

2. Negue o tráfego de saída do conector.

   Crie uma regra de firewall de saída no conector de acesso VPC sem servidor para impedir que ele envie tráfego de saída, exceto para respostas estabelecidas, para qualquer destino.

   gcloud compute firewall-rules create RULE_NAME \
   --action=DENY \
   --rules=PROTOCOL \
   --direction=EGRESS \
   --target-tags=VPC_CONNECTOR_NETWORK_TAG \
   --network=VPC_NETWORK \
   --priority=PRIORITY

   Substitua:

   • RULE_NAME: o nome da nova regra de firewall. Por exemplo, deny-vpc-connector.

   • PROTOCOL: um ou mais protocolos que você quer permitir no conector de VPC. Os protocolos compatíveis são tcp ou udp. Por exemplo, tcp:80,udp permite o tráfego TCP pela porta 80 e pelo UDP. Para mais informações, consulte a documentação da flag de allow.

     Para fins de segurança e validação, também é possível configurar regras de negação para bloquear o tráfego para os seguintes protocolos sem suporte: ah, all, esp, icmp, ipip e sctp.

   • VPC_CONNECTOR_NETWORK_TAG: a tag de rede do conector VPC universal se você quiser que a regra se aplique a todos os conectores VPC existentes e a quaisquer conectores VPC no futuro. Ou a tag de rede do conector de VPC exclusiva, se você quiser controlar um conector específico.

   • VPC_NETWORK: o nome da rede VPC.

   • PRIORITY: um número inteiro entre 0 e 65535. Por exemplo, 0 define a prioridade mais alta.

3. Permitir tráfego de saída quando o destino estiver no intervalo CIDR que você quer que o conector acesse.

   Use as sinalizações allow e destination-ranges para criar uma regra de firewall que permita o tráfego de saída do conector para um intervalo de destino específico. Defina o intervalo de destino para o intervalo CIDR do recurso na rede VPC que você quer que o conector possa acessar. Defina a prioridade dessa regra como um valor menor do que a prioridade da regra criada na etapa anterior.

   gcloud compute firewall-rules create RULE_NAME \
   --allow=PROTOCOL \
   --destination-ranges=RESOURCE_CIDR_RANGE \
   --direction=EGRESS \
   --network=VPC_NETWORK \
   --target-tags=VPC_CONNECTOR_NETWORK_TAG \
   --priority=PRIORITY

   Substitua:

   • RULE_NAME: o nome da nova regra de firewall. Por exemplo, allow-vpc-connector-for-select-resources.

   • PROTOCOL: um ou mais protocolos que você quer permitir no conector de VPC. Os protocolos compatíveis são tcp ou udp. Por exemplo, tcp:80,udp permite o tráfego TCP pela porta 80 e pelo UDP. Para mais informações, consulte a documentação da flag de allow.

   • RESOURCE_CIDR_RANGE: o intervalo CIDR do conector em que seu acesso está restrito

   • VPC_NETWORK: o nome da rede VPC.

   • VPC_CONNECTOR_NETWORK_TAG: a tag de rede do conector VPC universal se você quiser que a regra se aplique a todos os conectores VPC existentes e a quaisquer conectores VPC no futuro. Ou a tag de rede do conector de VPC exclusiva, se você quiser controlar um conector específico. Se você tiver usado a tag de rede exclusiva na etapa anterior, use essa tag.

   • PRIORITY: um número inteiro menor que a prioridade que você definiu na etapa anterior. Por exemplo, se você definir a prioridade da regra criada na etapa anterior como 990, tente 980.

Para mais informações sobre as sinalizações obrigatórias e opcionais para criar regras de firewall, consulte a documentação de gcloud compute firewall-rules create.

Gerenciar o conector

Como controlar o tráfego de saída de um serviço

Por padrão, somente solicitações para endereços IP internos e nomes DNS internos são roteadas por meio de um conector de acesso VPC sem servidor. É possível especificar a configuração de saída para o serviço no arquivo app.yaml.

As configurações de saída não são compatíveis com o serviço de busca de URL. O uso da biblioteca urlfetch ignora as configurações de saída, e as solicitações não serão roteadas por um conector de acesso VPC sem servidor.

Para configurar o comportamento de saída do serviço do App Engine:

1. Adicione o atributo egress_setting ao campo vpc_access_connector do arquivo app.yaml do serviço:

   vpc_access_connector:
     name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
     egress_setting: EGRESS_SETTING

   Substitua:

   • PROJECT_ID pelo ID do projeto do Google Cloud
   • REGION pela região em que o conector está;
   • CONNECTOR_NAME pelo nome do conector;
   • EGRESS_SETTING por um destes procedimentos:
     • private-ranges-only Padrão. Somente solicitações para intervalos de endereços IP RFC 1918 e RFC 6598 ou nomes de DNS internos são roteadas para a rede VPC. Todas as outras solicitações são roteadas diretamente para a Internet.
     • all-traffic Todas as solicitações de saída do serviço são encaminhadas para a rede VPC. As solicitações estão sujeitas às regras de firewall, DNS e roteamento da rede VPC. O roteamento de todas as solicitações de saída para a rede VPC aumenta a quantidade de saída processada pelo conector de acesso VPC sem servidor e pode gerar cobranças.

2. Implante o serviço:

   gcloud app deploy
   

Desconectar um serviço de uma rede VPC

Para desconectar um serviço de uma rede VPC, remova o campo vpc_access_connector do arquivo app.yaml e reimplante o serviço.

Os conectores continuam gerando cobranças, mesmo se estiverem sem tráfego e desconectados. Para mais detalhes, consulte preços. Se você não precisar mais do conector, exclua-o para evitar o faturamento contínuo.

Atualizar um conector

É possível atualizar e monitorar os seguintes atributos do conector usando o console do Google Cloud, a CLI do Google Cloud ou a API:

• Tipo de máquina (instância)
• Número mínimo e máximo de instâncias
• Capacidade de processamento recente, número de instâncias e uso da CPU

Atualizar tipo de máquina

Diminuir o número mínimo e máximo de instâncias

Para diminuir o número de instâncias mínima e máxima, faça o seguinte:

1. Crie um novo conector com os valores da sua preferência.
2. Atualize o serviço ou a função para usar o novo conector.
3. Exclua o conector antigo ao mover o tráfego.

Consulte Criar conector de acesso VPC sem servidor para mais informações.

Aumentar o número mínimo e máximo de instâncias

Encontrar os valores atuais dos atributos

Para encontrar os valores de atributo atuais do conector, execute o seguinte no terminal:

gcloud compute networks vpc-access connectors describe CONNECTOR_NAME --region=REGION --project=PROJECT

• CONNECTOR_NAME: o nome do conector
• REGION: o nome da região do conector
• PROJECT: o nome do seu projeto do Google Cloud

Monitorar o uso do conector

O monitoramento ao longo do tempo ajuda a determinar quando ajustar as configurações de um conector. Por exemplo, se o uso da CPU aumentar, tente aumentar o número máximo de instâncias para conseguir resultados melhores. Ou, se você estiver maximizando a capacidade de processamento, pense em trocar para um tipo de máquina maior.

Para exibir gráficos da capacidade de processamento, do número de instâncias e das métricas de uso da CPU do conector ao longo do tempo usando o console do Google Cloud:

1. Acesse a página de visão geral do acesso VPC sem servidor.

   Página do console sobre o acesso VPC sem servidor

2. Clique no nome do conector que você quer monitorar.

3. Selecione o número de dias que você quer mostrar entre 1 e 90 dias.

4. No gráfico de Capacidade de processamento, passe o cursor sobre o gráfico para ver a capacidade de processamento recente do conector.

5. No gráfico Número de instâncias, passe o cursor sobre ele para ver o número de instâncias usadas recentemente pelo conector.

6. No gráfico Uso da CPU, passe o cursor sobre ele para ver o uso recente da CPU do conector. O gráfico exibe o uso da CPU distribuído entre as instâncias para o 50º, 95º e 99º percentis.

Excluir um conector

Antes de excluir um conector, verifique se nenhum serviço ou job ainda está conectado a ele.

Para usuários de VPC compartilhada que configuram conectores no projeto host da VPC compartilhada, use o comando gcloud compute networks vpc-access connectors describe para listar os projetos em que há serviços ou jobs que usam um determinado conector.

Para excluir um conector, use o console do Google Cloud ou a Google Cloud CLI:

Gerenciar restrições personalizadas para projetos

Esta seção descreve como criar restrições personalizadas para conectores de acesso VPC sem servidor e aplicá-las no nível do projeto. Para informações sobre políticas personalizadas da organização, consulte Como criar e gerenciar políticas personalizadas da organização.

A política da organização do Google Cloud oferece controle centralizado e programático sobre os recursos da sua organização. Como administrador de políticas da organização, é possível definir uma política da organização, que é um conjunto de limites chamado restrições que se aplicam aos recursos do Google Cloud e aos descendentes desses recursos na Hierarquia de recursos do Google Cloud. É possível aplicar políticas da organização no nível da organização, da pasta ou para envolvidos no projeto.

A política da organização fornece restrições predefinidas para vários serviços do Google Cloud. No entanto, se você quiser um controle mais granular e personalizável sobre os campos específicos restritos nas suas políticas da organização, crie também políticas da organização personalizadas.

Vantagens

O acesso VPC sem servidor permite gravar qualquer número de restrições personalizadas usando a maioria dos campos configurados pelo usuário na API Serverless VPC Access. Por exemplo, é possível criar uma restrição personalizada especificando quais sub-redes um conector de acesso VPC sem servidor pode usar.

Depois de aplicadas, as solicitações que violam uma política que impõe uma restrição personalizada mostram uma mensagem de erro na CLI gcloud e nos registros do acesso VPC sem servidor. A mensagem de erro contém o ID e a descrição da restrição personalizada violada.

Herança de políticas

Por padrão, as políticas da organização são herdadas pelos descendentes dos recursos em que a política é aplicada. Por exemplo, se você aplicar uma política em uma pasta, o Google Cloud aplicará a política a todos os projetos da pasta. Para saber mais sobre esse comportamento e como alterá-lo, consulte Regras de avaliação de hierarquia.

Limitações

Não é possível especificar o tipo de máquina, as instâncias mínimas ou máximas.

Antes de começar

Certifique-se de conhecer o ID da organização.

Funções exigidas

Para receber as permissões necessárias a fim de gerenciar as políticas da organização, peça ao administrador para conceder a você o papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin) no recurso da organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Criar uma restrição personalizada

Uma restrição personalizada é definida em um arquivo YAML pelos recursos, métodos, condições e ações compatíveis com o serviço em que você está aplicando a política da organização. As condições das restrições personalizadas são definidas usando a Common Expression Language (CEL). Para mais informações sobre como criar condições em restrições personalizadas usando a CEL, consulte a seção CEL de Como criar e gerenciar restrições personalizadas.

Para criar um arquivo YAML para uma restrição personalizada do acesso VPC sem servidor, consulte este exemplo:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- vpcaccess.googleapis.com/Connector
methodTypes:
- CREATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Substitua:

• ORGANIZATION_ID: o ID da organização, como 123456789.

• CONSTRAINT_NAME: o nome da sua nova restrição personalizada. Uma restrição personalizada precisa começar com custom. e só pode incluir letras maiúsculas, minúsculas ou números, por exemplo, custom.defaultNetworkConstraint. O tamanho máximo desse campo é de 70 caracteres, sem contar o prefixo.

• CONDITION: uma condição de CEL gravada em uma representação de um recurso de serviço compatível. Esse campo tem um comprimento máximo de 1000 caracteres. Por exemplo, "resource.network == default".

• ACTION: a ação a ser realizada se o condition for atendido. Pode ser ALLOW ou DENY.

• DISPLAY_NAME: um nome legível para a restrição. Esse campo tem um comprimento máximo de 200 caracteres.

• DESCRIPTION: uma descrição legível da restrição a ser exibida como uma mensagem de erro quando a política for violada, por exemplo, "Require network to not be set to default.". Esse campo tem um comprimento máximo de 2.000 caracteres.

Para mais informações sobre como criar uma restrição personalizada, consulte Como definir restrições personalizadas.

Configurar uma restrição personalizada

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Aplicar uma restrição personalizada

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

    gcloud org-policies set-policy POLICY_PATH
    

Testar a restrição personalizada

Para testar o exemplo que restringe as configurações de entrada, implante um conector no projeto com a rede definida como default:

gcloud compute networks vpc-access connectors create org-policy-test \
    --project=PROJECT_ID \
    --region=REGION_ID \
    --network=default

A saída é esta:

Operation denied by custom org policies: ["customConstraints/custom.defaultNetworkConstraint": "Require network to not be set to default."]

Exemplos de políticas personalizadas da organização para casos de uso comuns

A tabela a seguir mostra exemplos de restrições personalizadas que podem ser úteis com os conectores de acesso VPC sem servidor:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowlistNetworks
    resourceTypes:
    - vpcaccess.googleapis.com/Connector
    methodTypes:
    - CREATE
    condition: "resource.network == 'allowlisted-network'"
    actionType: ALLOW
    displayName: allowlistNetworks
    description: Require connectors to use a specific network.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictSubnetForProject
    resourceTypes:
    - vpcaccess.googleapis.com/Connector
    methodTypes:
    - CREATE
    condition: "resource.subnet.name == 'allocated-subnet'"
    actionType: ALLOW
    displayName: restrictSubnetForProject
    description: This project is only allowed to use the subnet "allocated-subnet".

Solução de problemas

Permissões da conta de serviço

Para realizar operações no projeto do Google Cloud, o acesso VPC sem servidor usa a conta de serviço do agente de serviço do acesso VPC sem servidor. O endereço de e-mail dessa conta de serviço tem o seguinte formato:

service-PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com

Por padrão, essa conta de serviço tem o papel Agente de serviço de acesso VPC sem servidor (roles/vpcaccess.serviceAgent). As operações de acesso VPC sem servidor podem falhar se você alterar as permissões dessa conta.

Desempenho ruim da rede ou alta utilização da CPU em modo inativo

O uso de um único conector para milhares de instâncias pode causar degradação de desempenho e aumento da utilização da CPU ociosa. Para corrigir isso, divida seus serviços entre vários conectores.

Erros

A conta de serviço precisa de um erro no papel do agente de serviço

Se você usar o Restringir o uso do serviço de recursos restrição da política da organização para bloquear o Cloud Deployment Manager (deploymentmanager.googleapis.com), você poderá ver a seguinte mensagem de erro:

Serverless VPC Access service account (service-<PROJECT_NUMBER>@gcp-sa-vpcaccess.iam.gserviceaccount.com) needs Serverless VPC Access Service Agent role in the project.

Defina a política da organização para remover o Deployment Manager da lista de bloqueio ou adicioná-lo à lista de permissões.

Erro de criação do conector

Se a criação de um conector resultar em erro, tente o seguinte:

• Especifique um intervalo de IP interno RFC 1918 que não se sobreponha a nenhuma reserva de endereço IP existente na rede VPC.
• Conceda permissão ao projeto para usar imagens de VM do Compute Engine do projeto com o ID serverless-vpc-access-images. Para mais informações sobre como atualizar a política da organização adequadamente, consulte Definir restrições de acesso a imagens.

Não é possível acessar os recursos

Se você especificou um conector, mas ainda assim não consegue acessar os recursos na rede VPC, verifique se não há regras de firewall na rede VPC com prioridade inferior a 1.000 que recusem a entrada do intervalo de endereços IP do seu conector.

Se você configurar um conector em um projeto de serviço de VPC compartilhada, verifique se as regras de firewall permitem a entrada da infraestrutura sem servidor no conector.

Erro de conexão recusada

Se você receber erros connection refused ou connection timeout que degradam o desempenho da rede, as conexões podem aumentar sem limite de invocações de aplicativo sem servidor. Para limitar o número máximo de conexões usadas por instância, use uma biblioteca de cliente compatível com pools de conexões. Para exemplos detalhados de como usar pools de conexão, consulte Gerenciar conexões de banco de dados.

Erro de recurso não encontrado

Ao excluir uma rede VPC ou uma regra de firewall, talvez seja exibida uma mensagem semelhante a esta: The resource "aet-uscentral1-subnet--1-egrfw" was not found.

Para informações sobre esse erro e a respectiva solução, consulte Erro de recurso não encontrado na documentação das regras de firewall da VPC.

Próximas etapas

• Monitore a atividade do administrador com o registro de auditoria de acesso VPC sem servidor.
• Proteja recursos e dados criando um perímetro de serviço com o VPC Service Controls.
• Saiba mais sobre os papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês) associados ao acesso VPC sem servidor. Consulte Papéis de acesso VPC sem servidor na documentação do IAM para uma lista de permissões associadas a cada papel.
• Saiba como se conectar ao Memorystore a partir do ambiente padrão do App Engine.