Nesta página, mostramos como usar o acesso VPC sem servidor para conectar o aplicativo de ambiente padrão do App Engine diretamente à rede VPC, permitindo acesso às instâncias de VM do Compute Engine, às instâncias do Memorystore e a outros recursos com um endereço IP interno.
Antes de começar
Se você usar a VPC compartilhada, consulte Como se conectar a uma rede VPC compartilhada.
Criar um conector de acesso VPC sem servidor
Para enviar solicitações à rede VPC e receber as respostas correspondentes sem usar a Internet pública, você precisa usar um conector de acesso VPC sem servidor.
É possível criar um conector usando o console do Google Cloud, a Google Cloud CLI ou o Terraform:
Console
Certifique-se de que a API de acesso VPC sem servidor esteja ativada para o projeto.
Vá para a página de visão geral do acesso VPC sem servidor.
Clique em Criar conector.
No campo Nome, insira um nome para o conector. Ele precisa estar de acordo com a convenção de nomenclatura do Compute Engine, com a restrição adicional de que precisa ter menos de 21 caracteres e hífens (-) contam como dois caracteres.
No campo Região, selecione uma região para o conector. Ela precisa corresponder à região do serviço sem servidor.
Se o serviço estiver na região
us-central
oueurope-west
, useus-central1
oueurope-west1
.No campo Rede, selecione uma rede VPC para o conector.
Clique no menu suspenso Sub-rede:
Se você estiver usando sua própria sub-rede (necessária para a VPC compartilhada), selecione uma sub-rede
/28
não utilizada.- As sub-redes precisam ser usadas exclusivamente pelo conector. Elas não podem ser usadas por outros recursos, como VMs, o Private Service Connect ou o balanceamento de carga HTTP(S) interno.
- Para confirmar se a sub-rede não está sendo usada para
o Private Service Connect ou o balanceamento de carga HTTP(S) interno, verifique
se o
purpose
da rede éPRIVATE
executando o seguinte comando na CLI gcloud:gcloud compute networks subnets describe SUBNET_NAME
Substitua:- SUBNET_NAME: o nome da sub-rede
Se você não estiver usando a VPC compartilhada e preferir que o conector crie uma sub-rede em vez de criar uma explicitamente, selecione Intervalo de IP personalizado no menu suspenso. Em seguida, no campo Intervalo de IP, insira o primeiro endereço em um intervalo de IP CIDR
/28
interno não reservado. Ele não pode sobrepor nenhuma reserva de endereço IP atual na rede VPC. Por exemplo,10.8.0.0
(/28
) funcionará na maioria dos novos projetos.
Opcional: se você quiser configurar opções de escalonamento para ter mais controle sobre o conector, clique em Mostrar configurações de escalonamento para exibir o formulário de escalonamento:
- Defina os números mínimo e máximo de instâncias para seu conector
ou use os padrões, que são 2 (mínimo) e 10 (máximo). O
conector é escalonado de acordo com o máximo especificado se o uso do tráfego exigir, mas
o conector não reduz o escalonamento quando o tráfego diminui. É
preciso usar valores entre
2
e10
. - No menu suspenso Tipo de instância, escolha o tipo de máquina a ser usado para o conector ou use o
padrão
e2-micro
. Observe a barra lateral de custo à direita ao escolher o tipo de instância, que exibe a largura de banda e as estimativas de custo.
- Defina os números mínimo e máximo de instâncias para seu conector
ou use os padrões, que são 2 (mínimo) e 10 (máximo). O
conector é escalonado de acordo com o máximo especificado se o uso do tráfego exigir, mas
o conector não reduz o escalonamento quando o tráfego diminui. É
preciso usar valores entre
Clique em Criar.
Uma marca de seleção verde aparecerá ao lado do nome do conector quando ele estiver pronto para uso.
gcloud
Atualize os componentes
gcloud
para a versão mais recente:gcloud components update
Certifique-se de que a API de acesso VPC sem servidor esteja ativada para seu projeto:
gcloud services enable vpcaccess.googleapis.com
Se você estiver usando sua própria sub-rede (necessária para a VPC compartilhada), crie um conector com o comando:
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \ --region REGION \ --subnet SUBNET \ # If you are not using Shared VPC, omit the following line. --subnet-project HOST_PROJECT_ID \ # Optional: specify minimum and maximum instance values between 2 and 10, default is 2 min, 10 max. --min-instances MIN \ --max-instances MAX \ # Optional: specify machine type, default is e2-micro --machine-type MACHINE_TYPE
Substitua:
CONNECTOR_NAME
: um nome para o conector. Ele precisa estar de acordo com a convenção de nomenclatura do Compute Engine, com a restrição adicional de que precisa ter menos de 21 caracteres e hífens (-) contam como dois caracteres.REGION
: uma região para o conector. Ela precisa corresponder à região do serviço sem servidor. Se o serviço estiver na regiãous-central
oueurope-west
, useus-central1
oueurope-west1
.SUBNET
: o nome de uma sub-rede/28
não utilizada.- As sub-redes precisam ser usadas exclusivamente pelo conector. Elas não podem ser usadas por outros recursos, como VMs, o Private Service Connect ou o balanceamento de carga HTTP(S) interno.
- Para confirmar se a sub-rede não está sendo usada para
o Private Service Connect ou o balanceamento de carga HTTP(S) interno, verifique
se o
purpose
da rede éPRIVATE
executando o seguinte comando na CLI gcloud:gcloud compute networks subnets describe SUBNET_NAME
Substitua:- SUBNET_NAME: o nome da sub-rede
HOST_PROJECT_ID
: o ID do projeto host. Forneça-o somente se você estiver usando uma VPC compartilhadaMIN
: é o número mínimo de instâncias a serem usadas no conector. Use um número inteiro entre2
e9
. O padrão é2
. Para saber mais sobre o escalonamento do conector, consulte Capacidade de processamento e escalonamento.MAX
: o número máximo de instâncias a serem usadas para o conector. Use um número inteiro entre3
e10
. O padrão é10
. Se o tráfego exigir, o conector será escalonado horizontalmente para instâncias[MAX]
, mas a escala não será reduzida. Para saber mais sobre o escalonamento do conector, consulte Capacidade de processamento e escalonamento.MACHINE_TYPE
:f1-micro
,e2-micro
oue2-standard-4
. Para saber mais sobre a capacidade de processamento do conector, incluindo o tipo de máquina e o escalonamento, consulte Capacidade de processamento e escalonamento.
Para mais detalhes e argumentos opcionais, consulte a página de referência da
gcloud
.Se você não estiver usando a VPC compartilhada e quiser fornecer um intervalo de IP personalizado em vez de usar uma sub-rede, crie um conector com o comando:
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \ --network VPC_NETWORK \ --region REGION \ --range IP_RANGE
Substitua:
CONNECTOR_NAME
: um nome para o conector. Ele precisa estar de acordo com a convenção de nomenclatura do Compute Engine, com a restrição adicional de que precisa ter menos de 21 caracteres e hífens (-) contam como dois caracteres.VPC_NETWORK
: a rede VPC a que seu conector será anexadoREGION
: uma região para o conector. Ela precisa corresponder à região do serviço sem servidor. Se o serviço estiver na regiãous-central
oueurope-west
, useus-central1
oueurope-west1
.IP_RANGE
: uma rede de IP interno não reservada, e é necessário ter "/28" de espaço não alocado. O valor fornecido é a rede na notação CIDR (10.8.0.0/28). Esse intervalo de IP não pode se sobrepor a nenhuma reserva de endereço IP atual na rede VPC. Por exemplo,10.8.0.0/28
funciona na maioria dos projetos novos.
Para mais detalhes e argumentos opcionais, como controles de capacidade, consulte a referência do
gcloud
.Verifique se o conector está no estado
READY
antes de usá-lo:gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \ --region REGION
Substitua:
CONNECTOR_NAME
: o nome do conector. Este é o nome que você especificou na etapa anteriorREGION
: a região do conector. Esta é a região especificada na etapa anterior
A saída precisa conter a linha
state: READY
.
Terraform
É possível usar um
recurso do Terraform para ativar a API vpcaccess.googleapis.com
.
É possível usar módulos do Terraform para criar uma rede VPC e uma sub-rede e, em seguida, criar o conector.
Como configurar o serviço para usar um conector
Depois de criar um conector de acesso VPC sem servidor, configure cada serviço do aplicativo do App Engine que você quer conectar à rede VPC.
Para especificar um conector para um serviço no aplicativo, siga estas etapas:
Para usar o acesso VPC sem servidor, interrompa o uso do serviço de busca de URL do App Engine. O acesso VPC sem servidor não é compatível com a busca de URL, e as solicitações feitas usando essa busca ignoram as configurações de acesso VPC sem servidor. Em vez disso, faça conexões de saída com soquetes.
Adicione o campo
vpc_access_connector
ao arquivoapp.yaml
do serviço:vpc_access_connector: name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
PROJECT_ID
é o ID do projeto do Cloud,REGION
é a região em que o conector está eCONNECTOR_NAME
é o nome do conector.Implante o serviço:
gcloud app deploy
Depois de reimplantado, o serviço pode enviar solicitações para endereços IP internos a fim de acessar recursos na rede VPC.
Restringir o acesso a recursos da VPC
É possível restringir o acesso do conector à sua rede VPC usando regras de firewall.
Ao se conectar a uma rede VPC compartilhada com conectores nos projetos de serviço, as regras de firewall não são criadas automaticamente. Um usuário com o papel de Administrador de rede no projeto host define regras de firewall ao configurar o projeto host.
Quando você se conecta a uma rede VPC autônoma ou a uma rede VPC compartilhada que tem o conector no projeto host, uma regra de firewall implícita com prioridade 1.000 é criada automaticamente na rede VPC para permitir a entrada pela sub-rede do conector ou intervalo personalizado de IP a todos os destinos na rede VPC. Observação: a regra de firewall implícita não é visível no console do Google Cloud e existe apenas enquanto o conector associado existir. Se você não quiser que o conector alcance todos os destinos na rede VPC, restrinja o acesso dele.
É possível restringir o acesso do conector criando regras de entrada no recurso de destino ou criando regras de saída no conector VPC.
Restringir o acesso usando regras de entrada
Escolha tags de rede ou intervalos CIDR para controlar o tráfego de entrada para a rede VPC:
Tags de rede
Nas etapas a seguir, mostramos como criar regras de entrada que restringem o acesso de um conector à sua rede VPC com base nas tags de rede do conector.
Verifique se você tem as permissões necessárias para inserir regras de firewall. Você precisa ter um dos seguintes papéis de gerenciamento de identidade e acesso (IAM):
- Papel Administrador de segurança do Compute
- Papel de IAM personalizado com a permissão
compute.firewalls.create
ativada
Nega o tráfego do conector na sua rede VPC.
Crie uma regra de firewall de entrada com prioridade menor que 1.000 na sua rede VPC para negar a entrada da tag de rede do conector. Isso substitui a regra de firewall implícita que o acesso VPC sem servidor cria na rede VPC por padrão.
gcloud compute firewall-rules create RULE_NAME \ --action=DENY \ --source-tags=VPC_CONNECTOR_NETWORK_TAG \ --direction=INGRESS \ --network=VPC_NETWORK \ --priority=PRIORITY
Substitua:
- RULE_NAME: o nome da nova regra de firewall. Por exemplo,
deny-vpc-connector
. VPC_CONNECTOR_NETWORK_TAG: a tag de rede universal do conector se você quiser restringir o acesso a todos os conectores (incluindo todos os conectores feitos no futuro), ou a tag de rede única se quiser restringir o acesso a um conector específico.
- Tag de rede universal:
vpc-connector
Tag de rede única:
vpc-connector-REGION-CONNECTOR_NAME
Substitua:
- REGION: a região do conector que você quer restringir
- CONNECTOR_NAME: o nome do conector que você quer restringir
Para saber mais sobre as tags de rede do conector, consulte Tags de rede.
- Tag de rede universal:
VPC_NETWORK: o nome da rede VPC.
PRIORITY: um número inteiro de 1 a 999, inclusive. Por exemplo: 990.
- RULE_NAME: o nome da nova regra de firewall. Por exemplo,
Permitir tráfego do conector para o recurso que precisa receber tráfego do conector.
Use as sinalizações
allow
etarget-tags
para criar uma regra de firewall de entrada que segmente o recurso na rede VPC que você quer que o conector VPC acesse. Defina a prioridade para essa regra como um valor menor que a prioridade da regra criada na etapa anterior.gcloud compute firewall-rules create RULE_NAME \ --allow=PROTOCOLS \ --source-tags=VPC_CONNECTOR_NETWORK_TAG \ --direction=INGRESS \ --network=VPC_NETWORK \ --target-tags=RESOURCE_TAG \ --priority=PRIORITY
Substitua:
- RULE_NAME: o nome da nova regra de firewall. Por exemplo,
allow-vpc-connector-for-select-resources
. - PROTOCOLS: os protocolos que você quer permitir do conector VPC. Podem ser um ou mais dos valores de string
tcp
,udp
,icmp
,esp
,ah
,sctp
ou qualquer número de protocolo IP. Para protocolos baseados em porta (tcp
,udp
esctp
), uma lista de portas de destino ou intervalos de portas a que a regra se aplica pode ser especificada. Para mais informações, consulte a documentação da sinalizaçãoallow
. VPC_CONNECTOR_NETWORK_TAG: a tag de rede universal do conector se você quiser restringir o acesso a todos os conectores (incluindo todos os conectores feitos no futuro), ou a tag de rede única se quiser restringir o acesso a um conector específico. Isso precisa corresponder à tag de rede que você especificou na etapa anterior.
- Tag de rede universal:
vpc-connector
Tag de rede única:
vpc-connector-REGION-CONNECTOR_NAME
Substitua:
- REGION: a região do conector que você quer restringir
- CONNECTOR_NAME: o nome do conector que você quer restringir
Para saber mais sobre as tags de rede do conector, consulte Tags de rede.
- Tag de rede universal:
VPC_NETWORK: o nome da rede VPC.
RESOURCE_TAG: a tag de rede do recurso da VPC que você quer que o conector da VPC acesse.
PRIORITY: um número inteiro menor que a prioridade que você definiu na etapa anterior. Por exemplo, se você definir a prioridade da regra criada na etapa anterior como 990, tente 980.
- RULE_NAME: o nome da nova regra de firewall. Por exemplo,
Para mais informações sobre as sinalizações obrigatórias e opcionais para criar
regras de firewall, consulte a
documentação de gcloud compute firewall-rules create
.
Intervalo CIDR
Nas etapas a seguir, mostramos como criar regras de entrada que restringem o acesso de um conector à sua rede VPC com base no intervalo CIDR do conector.
Verifique se você tem as permissões necessárias para inserir regras de firewall. Você precisa ter um dos seguintes papéis de gerenciamento de identidade e acesso (IAM):
- Papel Administrador de segurança do Compute
- Papel de IAM personalizado com a permissão
compute.firewalls.create
ativada
Nega o tráfego do conector na sua rede VPC.
Crie uma regra de firewall de entrada com prioridade menor que 1.000 na sua rede VPC para negar a entrada do intervalo CIDR do conector. Isso substitui a regra de firewall implícita que o acesso VPC sem servidor cria na rede VPC por padrão.
gcloud compute firewall-rules create RULE_NAME \ --action=DENY \ --source-ranges=VPC_CONNECTOR_CIDR_RANGE \ --direction=INGRESS \ --network=VPC_NETWORK \ --priority=PRIORITY
Substitua:
- RULE_NAME: o nome da nova regra de firewall. Por exemplo,
deny-vpc-connector
. - VPC_CONNECTOR_CIDR_RANGE: o intervalo CIDR do conector em que seu acesso está restrito
- VPC_NETWORK: o nome da rede VPC.
- PRIORITY: um número inteiro de 1 a 999. Por exemplo: 990.
- RULE_NAME: o nome da nova regra de firewall. Por exemplo,
Permitir tráfego do conector para o recurso que precisa receber tráfego do conector.
Use as sinalizações
allow
etarget-tags
para criar uma regra de firewall de entrada que segmente o recurso na rede VPC que você quer que o conector VPC acesse. Defina a prioridade para essa regra como um valor menor que a prioridade da regra criada na etapa anterior.gcloud compute firewall-rules create RULE_NAME \ --allow=PROTOCOLS \ --source-ranges=VPC_CONNECTOR_CIDR_RANGE \ --direction=INGRESS \ --network=VPC_NETWORK \ --target-tags=RESOURCE_TAG \ --priority=PRIORITY
Substitua:
- RULE_NAME: o nome da nova regra de firewall. Por exemplo,
allow-vpc-connector-for-select-resources
. - PROTOCOLS: os protocolos que você quer permitir do conector VPC. Podem ser um ou mais dos valores de string
tcp
,udp
,icmp
,esp
,ah
,sctp
ou qualquer número de protocolo IP. Para protocolos baseados em porta (tcp
,udp
esctp
), uma lista de portas de destino ou intervalos de portas a que a regra se aplica pode ser especificada. Para mais informações, consulte a documentação da sinalizaçãoallow
. - VPC_CONNECTOR_CIDR_RANGE: o intervalo CIDR do conector em que seu acesso está restrito
- VPC_NETWORK: o nome da rede VPC.
- RESOURCE_TAG: a tag de rede do recurso da VPC que você quer que o conector da VPC acesse.
- PRIORITY: um número inteiro menor que a prioridade que você definiu na etapa anterior. Por exemplo, se você definir a prioridade da regra criada na etapa anterior como 990, tente 980.
- RULE_NAME: o nome da nova regra de firewall. Por exemplo,
Para mais informações sobre as sinalizações obrigatórias e opcionais para criar
regras de firewall, consulte a
documentação de gcloud compute firewall-rules create
.
Restringir o acesso usando regras de saída
As etapas a seguir mostram como criar regras de saída para restringir o acesso ao conector.
Verifique se você tem as permissões necessárias para inserir regras de firewall. Você precisa ter um dos seguintes papéis do Identity and Access Management (IAM):
- Papel Administrador de segurança do Compute
- Papel de IAM personalizado com a permissão
compute.firewalls.create
ativada
Negue o tráfego de saída do conector.
Crie uma regra de firewall de saída no conector de acesso VPC sem servidor a fim de impedir o envio de tráfego de saída.
gcloud compute firewall-rules create RULE_NAME \ --action=DENY \ --direction=EGRESS \ --target-tags=VPC_CONNECTOR_NETWORK_TAG \ --network=VPC_NETWORK \ --priority=PRIORITY
Substitua:
- RULE_NAME: o nome da nova regra de firewall. Por exemplo,
deny-vpc-connector
. - VPC_CONNECTOR_NETWORK_TAG: a tag de rede do conector VPC universal se você quiser que a regra se aplique a todos os conectores VPC existentes e a quaisquer conectores VPC no futuro. Ou a tag de rede do conector de VPC exclusiva, se você quiser controlar um conector específico.
- VPC_NETWORK: o nome da rede VPC.
- PRIORITY: um número inteiro de 1 a 999. Por exemplo: 990.
- RULE_NAME: o nome da nova regra de firewall. Por exemplo,
Permitir tráfego de saída quando o destino estiver no intervalo CIDR que você quer que o conector acesse.
Use as sinalizações
allow
edestination-ranges
para criar uma regra de firewall que permita o tráfego de saída do conector para um intervalo de destino específico. Defina o intervalo de destino para o intervalo CIDR do recurso na rede VPC que você quer que o conector possa acessar. Defina a prioridade dessa regra como um valor menor do que a prioridade da regra criada na etapa anterior.gcloud compute firewall-rules create RULE_NAME \ --allow=PROTOCOLS \ --destination-ranges=RESOURCE_CIDR_RANGE \ --direction=EGRESS \ --network=VPC_NETWORK \ --target-tags=VPC_CONNECTOR_NETWORK_TAG \ --priority=PRIORITY
Substitua:
- RULE_NAME: o nome da nova regra de firewall. Por exemplo,
allow-vpc-connector-for-select-resources
. - PROTOCOLS: os protocolos que você quer permitir do conector VPC. Podem ser um ou mais dos valores de string
tcp
,udp
,icmp
,esp
,ah
,sctp
ou qualquer número de protocolo IP. Para protocolos baseados em porta (tcp
,udp
esctp
), uma lista de portas de destino ou intervalos de portas a que a regra se aplica pode ser especificada. Para mais informações, consulte a documentação da sinalizaçãoallow
. - RESOURCE_CIDR_RANGE: o intervalo CIDR do conector em que seu acesso está restrito
- VPC_NETWORK: o nome da rede VPC.
- VPC_CONNECTOR_NETWORK_TAG: a tag de rede do conector VPC universal se você quiser que a regra se aplique a todos os conectores VPC existentes e a quaisquer conectores VPC no futuro. Ou a tag de rede do conector de VPC exclusiva, se você quiser controlar um conector específico. Se você tiver usado a tag de rede exclusiva na etapa anterior, use essa tag.
- PRIORITY: um número inteiro menor que a prioridade que você definiu na etapa anterior. Por exemplo, se você definir a prioridade da regra criada na etapa anterior como 990, tente 980.
- RULE_NAME: o nome da nova regra de firewall. Por exemplo,
Para mais informações sobre as sinalizações obrigatórias e opcionais para criar
regras de firewall, consulte a
documentação de gcloud compute firewall-rules create
.
Gerenciar o conector
Como controlar o tráfego de saída de um serviço
Por padrão, somente solicitações para endereços IP internos e nomes DNS internos são roteadas por meio de um conector de acesso VPC sem servidor. É possível
especificar a configuração de saída para o serviço no arquivo app.yaml
.
As configurações de saída não são compatíveis com o serviço de busca de URL. Se você ainda não
tiver feito isso, desative o padrão de busca de URL
usando soquetes e interrompa qualquer
uso explícito do
pacote urlfetch
.
Para configurar o comportamento de saída do serviço do App Engine:
Adicione o atributo
egress_setting
ao campovpc_access_connector
do arquivoapp.yaml
do serviço:vpc_access_connector: name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME egress_setting: EGRESS_SETTING
Substitua:
PROJECT_ID
pelo ID do projeto do Cloud;REGION
pela região em que o conector está;CONNECTOR_NAME
pelo nome do conector;EGRESS_SETTING
por um destes procedimentos:private-ranges-only
Padrão. Somente solicitações para intervalos de endereços IP RFC 1918 e RFC 6598 ou nomes de DNS internos são roteadas para a rede VPC. Todas as outras solicitações são roteadas diretamente para a Internet.all-traffic
Todas as solicitações de saída do serviço são encaminhadas para a rede VPC. As solicitações estão sujeitas às regras de firewall, DNS e roteamento da rede VPC. O roteamento de todas as solicitações de saída para a rede VPC aumenta a quantidade de saída processada pelo conector de acesso VPC sem servidor e pode gerar cobranças.
Implante o serviço:
gcloud app deploy
Desconectar um serviço de uma rede VPC
Para desconectar um serviço de uma rede VPC, remova o
campo vpc_access_connector
do arquivo app.yaml
e reimplante o serviço.
Os conectores continuam gerando cobranças, mesmo se estiverem sem tráfego e desconectados. Para mais detalhes, consulte preços. Se você não precisar mais do conector, exclua-o para evitar o faturamento contínuo.
Excluir um conector
Antes de excluir um conector, verifique se nenhum serviço ainda está conectado a ele.
Para usuários de VPC compartilhada que configuram conectores no projeto de host
da VPC compartilhada, use o comando
gcloud compute networks vpc-access connectors describe
para listar os projetos em que há serviços que usam um determinado conector.
Para excluir um conector, use o console do Cloud ou a Google Cloud CLI:
Console
Acesse a página de visão geral do acesso VPC sem servidor no console do Cloud:
Selecione o conector que você quer excluir.
Clique em Excluir.
gcloud
Use o seguinte comando gcloud
para excluir um conector:
gcloud compute networks vpc-access connectors delete CONNECTOR_NAME --region=REGION
Substitua:
- CONNECTOR_NAME pelo nome do conector que você quer excluir;
- REGION pela região onde o conector está localizado.
Solução de problemas
Permissões de conta de serviço
Para realizar operações no projeto do Cloud, o acesso VPC sem servidor usa a conta de serviço do Agente de serviço de acesso VPC sem servidor. O endereço de e-mail dessa conta de serviço tem o seguinte formato:
service-PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com
Por padrão, essa conta de serviço tem o papel Agente de serviço de acesso VPC sem servidor (roles/vpcaccess.serviceAgent
). As operações de acesso VPC sem servidor podem falhar se você alterar as permissões dessa conta.
Erros
Se a criação de um conector resultar em erro, tente o seguinte:
- Especifique um intervalo de IP interno RFC 1918 que não se sobreponha a nenhuma reserva de endereço IP existente na rede VPC.
- Conceda permissão ao projeto para usar imagens de VM do Compute Engine do
projeto com o ID
serverless-vpc-access-images
. Consulte Como configurar restrições de acesso a imagens para ver como atualizar a política da organização adequadamente. - Defina a
política da organização
constraints/compute.vmCanIpForward
para permitir que as VMs ativem o encaminhamento de IP.
Se você especificou um conector, mas ainda não consegue acessar os recursos na rede VPC:
- Verifique se não há regras de firewall na sua rede VPC com prioridade antes de 1.000 que negem a entrada do intervalo de IP do seu conector.
Próximas etapas
- Monitore a atividade do administrador com o registro de auditoria de acesso VPC sem servidor.
- Proteja recursos e dados criando um perímetro de serviço com o VPC Service Controls.
- Saiba mais sobre os papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês) associados ao acesso VPC sem servidor. Consulte Papéis de acesso VPC sem servidor na documentação do IAM para uma lista de permissões associadas a cada papel.
- Saiba como se conectar ao Memorystore a partir do ambiente padrão do App Engine.