Conexión a una red de VPC compartida

Si tu organización usa una VPC compartida, puedes conectar los servicios del entorno estándar de App Engine directamente a tu red de VPC compartida mediante el Acceso a VPC sin servidores. Esto permite que un servicio del entorno estándar acceda a los recursos de tu red de VPC compartida, como las instancias de VM de Compute Engine, las instancias de Memorystore y cualquier otro recurso con una dirección IP interna.

Los conectores del Acceso a VPC sin servidores tienen un cargo mensual. Para obtener más información, consulta Precios del Acceso a VPC sin servidores.

Si tu organización no usa una VPC compartida, consulta Conéctate a una red de VPC.

Comparación de los métodos de configuración

Para la VPC compartida, los conectores del Acceso a VPC sin servidores se pueden configurar de dos maneras diferentes. Puedes configurar conectores en cada proyecto de servicio que tenga recursos de entorno estándar que necesiten acceso a tu red o puedes configurar conectores compartidos en el proyecto host. Cada método tiene ventajas.

Proyectos de servicio

Ventajas de crear conectores en los proyectos de servicio:

  • Aislamiento: Cada conector tiene un ancho de banda dedicado y no se ve afectado por el uso del ancho de banda de los conectores en otros proyectos de servicio. Esto es bueno si tienes un servicio que experimenta aumentos repentinos de tráfico o si necesitas asegurarte de que cada proyecto de servicio no se vea afectado por el uso de conectores de otros proyectos de servicio.
  • Devoluciones de cargos: Los cargos que generan los conectores están asociados al proyecto de servicio que contiene el conector. Esto facilita las devoluciones de cargos.
  • Seguridad: Te permite seguir el “principio de privilegio mínimo”. Los conectores deben tener acceso a los recursos en tu red de VPC compartida a los que deben llegar. Si creas un conector en el proyecto de servicio, puedes limitar a qué pueden acceder los servicios del proyecto mediante reglas de firewall.
  • Independencia del equipo: Reduce la dependencia del administrador del proyecto host. Los equipos pueden crear y administrar los conectores asociados a su proyecto de servicio. Un usuario con la función Administrador de seguridad de Compute Engine o una función personalizada de Identity and Access Management (IAM) con el permiso compute.firewalls.create habilitado para el proyecto host de todos modos debe administrar las reglas de firewall para el conector.

Para configurar conectores en proyectos de servicio, consulta Configura conectores en proyectos de servicio.

Proyecto host

Ventajas de crear conectores en el proyecto host:

  • Administración de red centralizada: se alinea con el modelo de VPC compartida de centralización de los recursos de configuración de red en el proyecto host.
  • Espacio de direcciones IP: Conserva más espacio de direcciones IP. Los conectores requieren una dirección IP para cada instancia, por lo que cuando se tienen menos conectores (y menos instancias en cada conector) se usan menos direcciones IP. Esto es bueno si te preocupa quedarse sin direcciones IP.
  • Mantenimiento: Reduce el mantenimiento, ya que varios proyectos de servicio pueden usar cada conector que creas. Esto es bueno si te preocupa la sobrecarga de mantenimiento.
  • Costo por tiempo de inactividad: Puede reducir la cantidad de tiempo de inactividad del conector y el costo asociado. Los conectores generan costos incluso cuando no entregan tráfico (consulta Precios). Tener menos conectores puede reducir la cantidad de recursos que pagas cuando no entrega tráfico, según el tipo de conector y la cantidad de instancias. Esto suele ser rentable si tu caso de uso implica una gran cantidad de servicios y estos se usan con poca frecuencia.

Para configurar conectores en el proyecto host, consulta Configura conectores en el proyecto host.