Como se conectar a uma rede VPC compartilhada

Se a organização usar a VPC compartilhada, será possível conectar os serviços do ambiente padrão do App Engine diretamente à rede VPC compartilhada usando o acesso VPC sem servidor. Isso permite que um serviço de ambiente padrão acesse recursos na sua rede VPC compartilhada, como instâncias de VM do Compute Engine, instâncias do Memorystore e qualquer outro recurso com um endereço IP interno.

Conectores de acesso VPC sem servidor têm uma taxa mensal. Para mais informações, consulte Preços de acesso VPC sem servidor.

Se a organização não usa a VPC compartilhada, consulte Conectar-se a uma rede VPC.

Comparação dos métodos de configuração

Para a VPC compartilhada, os conectores de acesso VPC sem servidor podem ser configurados de duas maneiras diferentes. É possível configurar conectores em cada projeto de serviço que tenha recursos de ambiente padrão que precisem de acesso à sua rede. Outra opção é configurar conectores compartilhados no projeto host. Há vantagens em cada método.

Projetos de serviço

Vantagens da criação de conectores nos projetos de serviço:

  • Isolamento: cada conector tem largura de banda dedicada e não é afetado pelo uso da largura de banda de conectores em outros projetos de serviço. Isso é bom quando você tem um serviço com picos de tráfego ou se precisa garantir que cada projeto de serviço não seja afetado pelo uso do conector por outros projetos de serviço.
  • Estornos: as cobranças realizadas pelos conectores são associadas ao projeto de serviço que contém o conector. Isso facilita os estornos.
  • Segurança: permite seguir o "princípio do menor privilégio". Os conectores precisam receber acesso aos recursos da sua rede VPC compartilhada que precisam acessar. Ao criar um conector no projeto de serviço, é possível limitar o que os serviços no projeto podem acessar usando regras de firewall.
  • Independência da equipe: reduz a dependência no administrador do projeto host. As equipes podem criar e gerenciar os conectores associados ao projeto de serviço. Um usuário com o papel Administrador de segurança do Compute Engine ou um papel personalizado de Gerenciamento de identidade e acesso (IAM) com a permissão compute.firewalls.create ativada para o projeto host ainda precisa gerenciar regras de firewall para o conector.

Para configurar conectores em projetos de serviço, consulte Configurar conectores em projetos de serviço.

Projeto host

Vantagens da criação de conectores no projeto host:

  • Gerenciamento de rede centralizado: está alinhado ao modelo de VPC compartilhada de centralizar recursos de configuração de rede no projeto host.
  • Espaço de endereço IP:preserva mais espaço de endereço IP. Os conectores exigem um endereço IP para cada instância. Portanto, ter menos conectores (e menos instâncias em cada conector) usa menos endereços IP. Isso é bom quando você tem dúvidas sobre ficar sem endereços IP.
  • Manutenção: reduz a manutenção porque cada conector criado pode ser usado por vários projetos de serviço. Isso é bom se você estiver preocupado com a sobrecarga de manutenção.
  • Custo por tempo ocioso: pode reduzir a quantidade de tempo ocioso do conector e do custo associado. Os conectores geram custos mesmo quando não estão veiculando tráfego (consulte preços). Ter menos conectores pode reduzir a quantidade de recursos que você paga quando não veicula tráfego, dependendo do tipo de conector e do número de instâncias. Isso costuma ser econômico se o caso de uso envolver um grande número de serviços e os serviços forem usados com pouca frequência.

Para configurar conectores no projeto host, consulte Configurar conectores no projeto host.