Verbindung zu VPC-Netzwerk herstellen

Auf dieser Seite wird gezeigt, wie Sie mit dem serverlosen VPC-Zugriff Ihre App Engine-Standardumgebung direkt mit Ihrem VPC-Netzwerk verbinden. Damit gewähren Sie Zugriff auf Compute Engine-VM-Instanzen, auf Memorystore-Instanzen und auf alle anderen Ressourcen mit einer internen IP-Adresse.

Hinweis

Wenn Sie eine freigegebene VPC verwenden, finden Sie weitere Informationen unter Verbindung zu einem freigegebenen VPC-Netzwerk herstellen.

Erstellen eines Connectors für Serverless VPC Access

Wenn Sie Anfragen an Ihr VPC-Netzwerk senden und die entsprechenden Antworten ohne das öffentliche Internet erhalten möchten, müssen Sie einen Connector für serverlosen VPC-Zugriff verwenden.

Sie können einen Connector mit der Google Cloud Console, der Google Cloud CLI oder Terraform erstellen:

Console

  1. Die API für serverlosen VPC-Zugriff muss für das Projekt aktiviert sein:

    API aktivieren

  2. Rufen Sie die Übersichtsseite für serverlosen VPC-Zugriff auf:

    Zur Seite „Serverloser VPC-Zugriff“

  3. Klicken Sie auf Connector erstellen.

  4. Geben Sie im Feld Name einen Namen für den Connector ein. Dies muss der Namenskonvention von Compute Engine entsprechen, mit der zusätzlichen Einschränkung, dass es weniger als 21 Zeichen sein müssen, wobei Bindestriche (-) als zwei Zeichen gezählt werden.

  5. Wählen Sie im Feld Region eine Region für den Connector aus. Sie muss mit der Region des serverlosen Dienstes übereinstimmen.

    Wenn sich Ihr Dienst in der Region us-central oder europe-west befindet, verwenden Sie us-central1 oder europe-west1.

  6. Wählen Sie im Feld Netzwerk das VPC-Netzwerk aus, an das der Connector angehängt werden soll.

  7. Klicken Sie auf das Drop-down-Menü Subnetzwerk:

    • Wenn Sie Ihr eigenes Subnetz verwenden (erforderlich für freigegebene VPCs), wählen Sie ein nicht verwendetes /28-Subnetz aus.

      • Subnetze müssen ausschließlich vom Connector verwendet werden. Sie können nicht von anderen Ressourcen wie VMs, Private Service Connect oder internem HTTP(S)-Load-Balancing verwendet werden.
      • Wenn Ihr Subnetz nicht für Private Service Connect oder internes HTTP(S)-Load-Balancing verwendet wird, prüfen Sie, ob das purpose-Subnetz PRIVATE ist. Führen Sie dazu den folgenden Befehl in der gcloud CLI aus:
        gcloud compute networks subnets describe SUBNET_NAME
        Ersetzen Sie:
        • SUBNET_NAME: der Name Ihres Subnetzes

    • Wenn Sie eine freigegebene VPC nicht verwenden und der Connector vorzugsweise ein Subnetz erstellen soll, anstatt explizit ein Subnetz zu erstellen, wählen Sie aus dem Drop-down-Menü die Option Benutzerdefinierter IP-Bereich aus. Geben Sie dann im Feld IP-Bereich die erste Adresse in einem nicht reservierten CIDR-/28-IP-Bereich ein. Dieser IP-Bereich darf sich nicht mit vorhandenen IP-Adressreservierungen im VPC-Netzwerk überschneiden. 10.8.0.0 (/28) funktioniert beispielsweise in den meisten neuen Projekten.

  8. (Optional) Wenn Sie Skalierungsoptionen für zusätzliche Kontrolle über den Connector festlegen möchten, klicken Sie auf Skalierungseinstellungen anzeigen, um das Skalierungsformular anzuzeigen:

    1. Legen Sie die minimale und maximale Anzahl von Instanzen für den Connector fest oder verwenden Sie die Standardwerte von 2 (Min.) und 10 (Max.). Der Connector skaliert horizontal auf den angegebenen Maximalwert, wenn die Traffic-Nutzung es erfordert, der Connector skaliert jedoch nicht zurück, wenn der Traffic abnimmt. Sie müssen Werte zwischen 2 und 10 verwenden.
    2. Wählen Sie im Drop-down-Menü Instanztyp den Maschinentyp aus, der für den Connector verwendet werden soll, oder verwenden Sie den Standardwert e2-micro. Beachten Sie die Seitenleiste zu den Kosten auf der linken Seite, wenn Sie den Instanztyp auswählen, der die Bandbreiten- und Kostenschätzungen anzeigt:

  9. Klicken Sie auf Erstellen.

  10. Neben dem Namen des Connectors wird ein grünes Häkchen angezeigt, sobald er verwendet werden kann.

gcloud

  1. Aktualisieren Sie die Komponenten von gcloud auf die neueste Version:

    gcloud components update

  2. Die Serverless VPC Access API muss für das Projekt aktiviert sein:

    gcloud services enable vpcaccess.googleapis.com

  3. Wenn Sie Ihr eigenes Subnetz verwenden (erforderlich für freigegebene VPCs), erstellen Sie mit dem Befehl einen Connector:

    gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
--region REGION \
--subnet SUBNET \
# If you are not using Shared VPC, omit the following line.
--subnet-project HOST_PROJECT_ID \
# Optional: specify minimum and maximum instance values between 2 and 10, default is 2 min, 10 max.
--min-instances MIN \
--max-instances MAX \
# Optional: specify machine type, default is e2-micro
--machine-type MACHINE_TYPE

    Dabei gilt:

    • CONNECTOR_NAME: Name des Connectors. Dies muss der Namenskonvention von Compute Engine entsprechen, mit der zusätzlichen Einschränkung, dass es weniger als 21 Zeichen sein müssen, wobei Bindestriche (-) als zwei Zeichen gezählt werden.
    • REGION: Region für den Connector. Dies muss der Region Ihres serverlosen Dienstes entsprechen. Wenn sich Ihr Dienst in der Region us-central oder europe-west befindet, verwenden Sie us-central1 oder europe-west1.
    • SUBNET: der Name eines nicht verwendeten /28-Subnetzes.
      • Subnetze müssen ausschließlich vom Connector verwendet werden. Sie können nicht von anderen Ressourcen wie VMs, Private Service Connect oder internem HTTP(S)-Load-Balancing verwendet werden.
      • Wenn Ihr Subnetz nicht für Private Service Connect oder internes HTTP(S)-Load-Balancing verwendet wird, prüfen Sie, ob das purpose-Subnetz PRIVATE ist. Führen Sie dazu den folgenden Befehl in der gcloud CLI aus:
        gcloud compute networks subnets describe SUBNET_NAME
        Ersetzen Sie:
        • SUBNET_NAME: der Name Ihres Subnetzes
    • HOST_PROJECT_ID: Die ID des Hostprojekts; geben Sie diese nur an, wenn Sie eine freigegebene VPC verwenden
    • MIN: Die Mindestanzahl der Instanzen, die für den Connector verwendet werden sollen. Verwenden Sie eine Ganzzahl zwischen 2 und 9. Der Standardwert ist 2. Weitere Informationen zur Skalierung von Connectors finden Sie unter Durchsatz und Skalierung.
    • MAX: Die maximale Anzahl von Instanzen, die für den Connector verwendet werden sollen. Verwenden Sie eine Ganzzahl zwischen 3 und 10. Der Standardwert ist 10. Wenn es der Traffic erfordert, wird der Connector auf [MAX] Instanzen skaliert, nicht jedoch wieder herunterskaliert. Weitere Informationen zur Skalierung von Connectors finden Sie unter Durchsatz und Skalierung.
    • MACHINE_TYPE: f1-micro, e2-micro oder e2-standard-4. Weitere Informationen zum Connector-Durchsatz, einschließlich Maschinentyp und Skalierung, finden Sie unter Durchsatz und Skalierung.

    Weitere Informationen und optionale Argumente finden Sie in der gcloud-Referenz.

  4. Wenn Sie keine freigegebene VPC verwenden und anstelle eines Subnetzes einen benutzerdefinierten IP-Bereich angeben möchten, erstellen Sie mit dem folgenden Befehl einen Connector:

    gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
--network VPC_NETWORK \
--region REGION \
--range IP_RANGE

    Dabei gilt:

    • CONNECTOR_NAME: Name des Connectors. Dies muss der Namenskonvention von Compute Engine entsprechen, mit der zusätzlichen Einschränkung, dass es weniger als 21 Zeichen sein müssen, wobei Bindestriche (-) als zwei Zeichen gezählt werden.
    • VPC_NETWORK: Das VPC-Netzwerk, an das der Connector angehängt wird.
    • REGION: Eine Region für den Connector. Sie muss mit der Region des serverlosen Dienstes übereinstimmen. Wenn sich Ihr Dienst in der Region us-central oder europe-west befindet, verwenden Sie us-central1 oder europe-west1.
    • IP_RANGE: Ein nicht reserviertes internes IP-Netzwerk und es ist nicht zugewiesener Speicherplatz in einem Umfang von „/28“ erforderlich. Der angegebene Wert ist das Netzwerk in CIDR-Schreibweise (10.8.0.0/28). Er darf sich nicht mit vorhandenen IP-Adressreservierungen im VPC-Netzwerk überschneiden. 10.8.0.0/28 funktioniert beispielsweise in den meisten neuen Projekten.

    Weitere Informationen und optionale Argumente wie Durchsatzkontrollen finden Sie in der gcloud-Referenz.

  5. Prüfen Sie vor der Verwendung des Connectors, ob sein Status READY lautet:

    gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \
--region REGION

    Dabei gilt:

    • CONNECTOR_NAME: Der Name Ihres Connectors; dies ist der Name, den Sie im vorherigen Schritt angegeben haben
    • REGION: Region Ihres Connectors; dies ist die Region, die Sie im vorherigen Schritt angegeben haben

    Die Ausgabe sollte die Zeile state: READY enthalten.

Terraform

Sie können eine Terraform-Ressource verwenden, um die vpcaccess.googleapis.com API zu aktivieren.

examples/submodule_vpc_serverless_connector/main.tf 
resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

Sie können Terraform-Module verwenden, um ein VPC-Netzwerk und ein Subnetz zu erstellen. Danach können Sie den Connector erstellen.

examples/submodule_vpc_serverless_connector/main.tf 
module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 3.3.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

Dienst für die Verwendung eines Connectors konfigurieren

Nachdem Sie einen Connector für den serverlosen VPC-Zugriff erstellt haben, müssen Sie jeden Dienst in Ihrer App Engine-Anwendung konfigurieren, den Sie mit Ihrem VPC-Netzwerk verbinden möchten.

So legen Sie einen Connector für einen Dienst Ihrer Anwendung fest:

  1. Wenn Sie den serverlosen VPC-Zugriff verwenden möchten, beenden Sie die Verwendung des URL-Abrufdienstes von App Engine. Der serverlose VPC-Zugriff unterstützt keinen URL-Abruf. Anfragen mit URL-Abruf ignorieren die Einstellungen für den serverlosen VPC-Zugriff. Führen Sie stattdessen ausgehende Verbindungen mit Sockets aus.

  2. Fügen Sie der Datei app.yaml in Ihrem Dienst das Feld vpc_access_connector hinzu:

    vpc_access_connector:
  name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME

    Dabei ist PROJECT_ID die Cloud-Projekt-ID, REGION die Region, in der sich der Connector befindet, und CONNECTOR_NAME der Name Ihres Connectors.

  3. Stellen Sie den Dienst bereit:

    gcloud app deploy

Nachdem der Dienst bereitgestellt wurde, kann er Anfragen an interne IP-Adressen senden, um auf Ressourcen in Ihrem VPC-Netzwerk zuzugreifen.

Zugriff auf VPC-Ressourcen einschränken

Sie können den Zugriff des Connectors auf Ihr VPC-Netzwerk mithilfe von Firewallregeln einschränken.

Wenn Sie in den Dienstprojekten eine Verbindung zu einem freigegebenen VPC-Netzwerk mit Connectors herstellen, werden keine Firewallregeln automatisch erstellt. Ein Nutzer mit der Rolle „Netzwerkadministrator“ im Hostprojekt legt beim Konfigurieren des Hostprojekts Firewallregeln fest.

Wenn Sie eine Verbindung zu einem eigenständigen VPC-Netzwerk oder einem freigegebenen VPC-Netzwerk herstellen, das den Connector im Hostprojekt enthält, wird in Ihrem VPC-Netzwerk automatisch eine implizite Firewallregel mit der Priorität 1.000 erstellt, um eingehenden Traffic vom Subnetz oder vom benutzerdefinierten IP-Bereich des Connectors zu allen Zielen im VPC-Netzwerk zuzulassen. Die implizite Firewallregel ist in der Google Cloud Console nicht sichtbar und nur vorhanden, solange der zugehörige Connector vorhanden ist. Wenn Sie nicht möchten, dass Ihr Connector alle Ziele in Ihrem VPC-Netzwerk erreichen kann, können Sie den Zugriff einschränken.

Sie können den Zugriff durch den Connector einschränken, indem Sie für die Zielressource Regeln für eingehenden Traffic oder für den VPC-Connector Regeln für ausgehenden Traffic erstellen.

Zugriff mit Regeln für eingehenden Traffic einschränken

Wählen Sie entweder Netzwerk-Tags oder CIDR-Bereiche aus, um den eingehenden Traffic zum VPC-Netzwerk zu steuern.

Netzwerktags

In den folgenden Schritten wird gezeigt, wie Sie Regeln für eingehenden Traffic erstellen, die den Zugriff eines Connectors auf Ihr VPC-Netzwerk anhand der Connector-Netzwerk-Tags einschränken.

  1. Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Einfügen von Firewallregeln haben. Sie benötigen eine der folgenden Rollen für Identity and Access Management (IAM):

  2. Lehnen Sie Connector-Traffic im gesamten VPC-Netzwerk ab.

    Erstellen Sie eine Firewallregel für eingehenden Traffic mit einer Priorität von weniger als 1.000 in Ihrem VPC-Netzwerk, um eingehenden Traffic aus dem Connector-Netzwerk-Tag abzulehnen. Dadurch wird die implizite Firewallregel überschrieben, die von serverlosem VPC-Zugriff in Ihrem VPC-Netzwerk standardmäßig erstellt wird.

    gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--source-tags=VPC_CONNECTOR_NETWORK_TAG \
--direction=INGRESS \
--network=VPC_NETWORK \
--priority=PRIORITY

    Dabei gilt:

    • RULE_NAME: Name der neuen Firewallregel. Beispiel: deny-vpc-connector

    • VPC_CONNECTOR_NETWORK_TAG: das universelle Connector-Netzwerk-Tag, wenn Sie den Zugriff für alle Connectors (einschließlich zukünftiger Connectors) einschränken möchten, oder das eindeutige Netzwerk-Tag, wenn Sie den Zugriff für einen bestimmten Connector einschränken möchten.

      • Universelles Netzwerk-Tag: vpc-connector

      • Eindeutiges Netzwerk-Tag: vpc-connector-REGION-CONNECTOR_NAME

        Ersetzen Sie:

        • REGION: Region des Connectors, den Sie einschränken möchten
        • CONNECTOR_NAME: Name des Connectors, den Sie einschränken möchten.

      Weitere Informationen zu Netzwerk-Tags des Connectors finden Sie unter Netzwerk-Tags.

    • VPC_NETWORK: Name des VPC-Netzwerks

    • PRIORITY: Eine Ganzzahl zwischen 1 und 999 (einschließlich). Beispiel: 990.

  3. Erlauben Sie Connector-Traffic für die Ressource, die Connector-Traffic empfangen soll.

    Verwenden Sie die Flags allow und target-tags, um eine Firewallregel für eingehenden Traffic zu erstellen, die auf die Ressource in Ihrem VPC-Netzwerk ausgerichtet ist, auf die der VPC-Connector zugreifen soll. Setzen Sie die Priorität für diese Regel auf einen niedrigeren Wert als die Priorität der Regel, die Sie im vorherigen Schritt erstellt haben.

    gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOLS \
--source-tags=VPC_CONNECTOR_NETWORK_TAG \
--direction=INGRESS \
--network=VPC_NETWORK \
--target-tags=RESOURCE_TAG \
--priority=PRIORITY

    Dabei gilt:

    • RULE_NAME: Name der neuen Firewallregel. Beispiel: allow-vpc-connector-for-select-resources
    • PROTOCOLS: Die Protokolle, die Sie von Ihrem VPC-Connector zulassen möchten. Dies können einer oder mehrere der zwischen Groß- und Kleinschreibung unterscheidenden Zeichenfolgenwerte tcp, udp, icmp, esp, ah, sctp oder eine beliebige IP-Protokollnummer sein. Bei portbasierten Protokollen – tcp, udp und sctp – kann optional eine Liste von Zielports oder Portbereichen angegeben werden, für die die Regel gilt. Weitere Informationen finden Sie in der Dokumentation zum Flag allow.

    • VPC_CONNECTOR_NETWORK_TAG: das universelle Connector-Netzwerk-Tag, wenn Sie den Zugriff für alle Connectors (einschließlich zukünftiger Connectors) einschränken möchten, oder das eindeutige Netzwerk-Tag, wenn Sie den Zugriff für einen bestimmten Connector einschränken möchten. Dieser muss mit dem Netzwerk-Tag übereinstimmen, das Sie im vorherigen Schritt angegeben haben.

      • Universelles Netzwerk-Tag: vpc-connector

      • Eindeutiges Netzwerk-Tag: vpc-connector-REGION-CONNECTOR_NAME

        Ersetzen Sie:

        • REGION: Region des Connectors, den Sie einschränken möchten
        • CONNECTOR_NAME: Name des Connectors, den Sie einschränken möchten.

      Weitere Informationen zu Netzwerk-Tags des Connectors finden Sie unter Netzwerk-Tags.

    • VPC_NETWORK: Name des VPC-Netzwerks

    • RESOURCE_TAG: Netzwerk-Tag für die VPC-Ressource, auf die Ihr VPC-Connector zugreifen soll

    • PRIORITY: Eine Ganzzahl, die kleiner ist als die Priorität, die Sie im vorherigen Schritt festgelegt haben. Wenn Sie beispielsweise die Priorität der Regel, die Sie im vorherigen Schritt erstellt haben, auf 990 gesetzt haben, versuchen Sie es mit 980.

Weitere Informationen zu den erforderlichen und optionalen Flags für das Erstellen von Firewallregeln finden Sie in der Dokumentation zu gcloud compute firewall-rules create.

CIDR-Bereich

In den folgenden Schritten wird gezeigt, wie Sie Regeln für eingehenden Traffic erstellen, die den Zugriff eines Connectors auf Ihr VPC-Netzwerk anhand des CIDR-Bereichs des Connectors beschränken.

  1. Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Einfügen von Firewallregeln haben. Sie benötigen eine der folgenden Rollen für Identity and Access Management (IAM):

  2. Lehnen Sie Connector-Traffic im gesamten VPC-Netzwerk ab.

    Erstellen Sie eine Firewallregel für eingehenden Traffic mit einer Priorität von weniger als 1.000 in Ihrem VPC-Netzwerk, um eingehenden Traffic aus dem CIDR-Bereich des Connectors abzulehnen. Dadurch wird die implizite Firewallregel überschrieben, die von serverlosem VPC-Zugriff in Ihrem VPC-Netzwerk standardmäßig erstellt wird.

    gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--source-ranges=VPC_CONNECTOR_CIDR_RANGE \
--direction=INGRESS \
--network=VPC_NETWORK \
--priority=PRIORITY

    Dabei gilt:

    • RULE_NAME: Name der neuen Firewallregel. Beispiel: deny-vpc-connector
    • VPC_CONNECTOR_CIDR_RANGE: Der CIDR-Bereich für den Connector, dessen Zugriff Sie einschränken.
    • VPC_NETWORK: Name des VPC-Netzwerks
    • PRIORITY: Eine Ganzzahl von 1 bis 999. Beispiel: 990.

  3. Erlauben Sie Connector-Traffic für die Ressource, die Connector-Traffic empfangen soll.

    Verwenden Sie die Flags allow und target-tags, um eine Firewallregel für eingehenden Traffic zu erstellen, die auf die Ressource in Ihrem VPC-Netzwerk ausgerichtet ist, auf die der VPC-Connector zugreifen soll. Setzen Sie die Priorität für diese Regel auf einen niedrigeren Wert als die Priorität der Regel, die Sie im vorherigen Schritt erstellt haben.

    gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOLS \
--source-ranges=VPC_CONNECTOR_CIDR_RANGE \
--direction=INGRESS \
--network=VPC_NETWORK \
--target-tags=RESOURCE_TAG \
--priority=PRIORITY

    Dabei gilt:

    • RULE_NAME: Name der neuen Firewallregel. Beispiel: allow-vpc-connector-for-select-resources
    • PROTOCOLS: Die Protokolle, die Sie von Ihrem VPC-Connector zulassen möchten. Dies können einer oder mehrere der zwischen Groß- und Kleinschreibung unterscheidenden Zeichenfolgenwerte tcp, udp, icmp, esp, ah, sctp oder eine beliebige IP-Protokollnummer sein. Bei portbasierten Protokollen – tcp, udp und sctp – kann optional eine Liste von Zielports oder Portbereichen angegeben werden, für die die Regel gilt. Weitere Informationen finden Sie in der Dokumentation zum Flag allow.
    • VPC_CONNECTOR_CIDR_RANGE: Der CIDR-Bereich für den Connector, dessen Zugriff Sie einschränken
    • VPC_NETWORK: Name des VPC-Netzwerks
    • RESOURCE_TAG: Netzwerk-Tag für die VPC-Ressource, auf die Ihr VPC-Connector zugreifen soll
    • PRIORITY: Eine Ganzzahl, die kleiner ist als die Priorität, die Sie im vorherigen Schritt festgelegt haben. Wenn Sie beispielsweise die Priorität der Regel, die Sie im vorherigen Schritt erstellt haben, auf 990 gesetzt haben, versuchen Sie es mit 980.

Weitere Informationen zu den erforderlichen und optionalen Flags zum Erstellen von Firewallregeln finden Sie in der Dokumentation zu gcloud compute firewall-rules create.

Zugriff mithilfe von Regeln für ausgehenden Traffic beschränken

In den folgenden Schritten wird gezeigt, wie Sie Regeln für ausgehenden Traffic erstellen, um den Zugriff durch Connectors zu beschränken.

  1. Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Einfügen von Firewallregeln haben. Sie benötigen eine der folgenden Rollen von Identity and Access Management (IAM):

  2. Lehnen Sie den ausgehenden Traffic über den Connector ab.

    Erstellen Sie eine Firewallregel für ausgehenden Traffic im Connector für serverlosen VPC-Zugriff, um das Senden von ausgehendem Traffic zu verhindern.

    gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--direction=EGRESS \
--target-tags=VPC_CONNECTOR_NETWORK_TAG \
--network=VPC_NETWORK \
--priority=PRIORITY

    Dabei gilt:

    • RULE_NAME: Name der neuen Firewallregel. Beispiel: deny-vpc-connector
    • VPC_CONNECTOR_NETWORK_TAG: Das universelle VPC-Connector-Netzwerk-Tag, wenn die Regel für alle vorhandenen und zukünftig erstellten VPC-Connectors gelten soll. Wenn Sie einen bestimmten Connector steuern möchten, können Sie das eindeutige Netzwerk-Tag des VPC-Connectors verwenden.
    • VPC_NETWORK: Name des VPC-Netzwerks
    • PRIORITY: Eine Ganzzahl von 1 bis 999. Beispiel: 990.

  3. Lassen Sie ausgehenden Traffic zu, wenn sich das Ziel in dem CIDR-Bereich befindet, auf den der Connector zugreifen soll.

    Verwenden Sie die Flags allow und destination-ranges, um eine Firewallregel zu erstellen, die ausgehenden Traffic von Ihrem Connector für einen bestimmten Zielbereich zulässt. Legen Sie den Zielbereich auf den CIDR-Bereich der Ressource in Ihrem VPC-Netzwerk fest, auf die der Connector zugreifen soll. Setzen Sie die Priorität für diese Regel auf einen niedrigeren Wert als die Priorität der Regel, die Sie im vorherigen Schritt erstellt haben.

    gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOLS \
--destination-ranges=RESOURCE_CIDR_RANGE \
--direction=EGRESS \
--network=VPC_NETWORK \
--target-tags=VPC_CONNECTOR_NETWORK_TAG \
--priority=PRIORITY

    Dabei gilt:

    • RULE_NAME: Name der neuen Firewallregel. Beispiel: allow-vpc-connector-for-select-resources
    • PROTOCOLS: Die Protokolle, die Sie von Ihrem VPC-Connector zulassen möchten. Dies können einer oder mehrere der zwischen Groß- und Kleinschreibung unterscheidenden Zeichenfolgenwerte tcp, udp, icmp, esp, ah, sctp oder eine beliebige IP-Protokollnummer sein. Bei portbasierten Protokollen – tcp, udp und sctp – kann optional eine Liste von Zielports oder Portbereichen angegeben werden, für die die Regel gilt. Weitere Informationen finden Sie in der Dokumentation zum Flag allow.
    • RESOURCE_CIDR_RANGE: Der CIDR-Bereich für den Connector, dessen Zugriff Sie einschränken.
    • VPC_NETWORK: Name des VPC-Netzwerks
    • VPC_CONNECTOR_NETWORK_TAG: Das universelle VPC-Connector-Netzwerk-Tag, wenn die Regel für alle vorhandenen und zukünftig erstellten VPC-Connectors gelten soll. Wenn Sie einen bestimmten Connector steuern möchten, können Sie das eindeutige Netzwerk-Tag des VPC-Connectors verwenden. Wenn Sie im vorherigen Schritt das eindeutige Netzwerk-Tag genutzt haben, verwenden Sie das eindeutige Netzwerk-Tag.
    • PRIORITY: Eine Ganzzahl, die kleiner ist als die Priorität, die Sie im vorherigen Schritt festgelegt haben. Wenn Sie beispielsweise die Priorität der Regel, die Sie im vorherigen Schritt erstellt haben, auf 990 gesetzt haben, versuchen Sie es mit 980.

Weitere Informationen zu den erforderlichen und optionalen Flags für das Erstellen von Firewallregeln finden Sie in der Dokumentation zu gcloud compute firewall-rules create.

Connector verwalten

Ausgehenden Traffic von einem Dienst steuern

Standardmäßig werden nur Anfragen an interne IP-Adressen und interne DNS-Namen über einen Connector für serverlosen VPC-Zugriff weitergeleitet. Sie können die Einstellung für ausgehenden Traffic für Ihren Dienst in der Datei app.yaml angeben.

Einstellungen für ausgehenden Traffic sind nicht mit dem URL-Abrufdienst kompatibel. Falls noch nicht geschehen, deaktivieren Sie die Standardeinstellung für den URL-Abruf und beenden Sie die explizite Verwendung von urlfetch. Library.

So konfigurieren Sie das Verhalten des ausgehenden Traffics Ihres App Engine-Dienstes:

  1. Fügen Sie das Attribut egress_setting dem Feld vpc_access_connector der Datei app.yaml Ihres Dienstes hinzu:

    vpc_access_connector:
  name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
  egress_setting: EGRESS_SETTING

    Ersetzen Sie:

    • PROJECT_ID ist Ihre Cloud-Projekt-ID.
    • REGION durch die Region, in der sich der Connector befindet.
    • CONNECTOR_NAME ist der Name des Connectors.
    • EGRESS_SETTING durch einen der folgenden Werte:
      • private-ranges-only Standardeinstellung. Nur Anfragen an die IP-Adressbereiche RFC 1918 und RFC 6598 oder interne DNS-Namen werden an Ihr VPC-Netzwerk weitergeleitet. Alle anderen Anfragen werden direkt an das Internet weitergeleitet.
      • all-traffic Alle ausgehenden Anfragen von Ihrem Dienst werden an Ihr VPC-Netzwerk weitergeleitet. Anfragen unterliegen dann den Firewall-, DNS- und Routingregeln Ihres VPC-Netzwerks. Beachten Sie, dass die Weiterleitung aller ausgehenden Anfragen an Ihr VPC-Netzwerk den Umfang des ausgehenden Traffics erhöht, der vom Connector für serverlosen VPC-Zugriff verarbeitet wird. Es können Gebühren anfallen.

  2. Stellen Sie den Dienst bereit:

    gcloud app deploy

Dienst von einem VPC-Netzwerk trennen

Zum Trennen eines Dienstes von einem VPC-Netzwerk entfernen Sie den Bereich vpc_access_connector aus der Datei app.yaml und stellen Sie den Dienst noch einmal bereit.

Connectors verursachen auch dann Kosten, wenn sie keinen Traffic haben und nicht verbunden sind. Weitere Informationen finden Sie unter Preise. Wenn Sie den Connector nicht mehr benötigen, können Sie ihn löschen, um weitere Kosten zu vermeiden.

Connector löschen

Stellen Sie vor dem Löschen eines Connectors sicher, dass keine Dienste mehr mit ihm verbunden sind.

Nutzer der freigegebenen VPC, die Connectors im Hostprojekt der freigegebenen VPC einrichten, können den Befehl gcloud compute networks vpc-access connectors describe verwenden, um die Projekte aufzulisten, in denen Dienste einen bestimmten Connector verwenden.

Verwenden Sie zum Löschen eines Connectors die Console oder die Google Cloud CLI:

Console

  1. Rufen Sie in der Console die Übersichtsseite für serverlosen VPC-Zugriff auf:

    Zur Seite „Serverloser VPC-Zugriff“

  2. Wählen Sie den Connector aus, den Sie löschen möchten.

  3. Klicken Sie auf Löschen.

gcloud

Verwenden Sie den folgenden gcloud-Befehl, um einen Connector zu löschen:

gcloud compute networks vpc-access connectors delete CONNECTOR_NAME --region=REGION

Ersetzen Sie Folgendes:

  • CONNECTOR_NAME ist der Name des Connectors, den Sie löschen möchten.
  • REGION ist die Region, in der sich der Connector befindet.

Fehlerbehebung

Dienstkontoberechtigungen

Zum Ausführen von Vorgängen in Ihrem Cloud-Projekt verwendet der Dienst für den serverlosen VPC-Zugriff das Dienstkonto Dienstagent für serverlosen VPC-Zugriff. Die E-Mail-Adresse dieses Dienstkontos hat das folgende Format:

service-PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com

Standardmäßig hat dieses Dienstkonto die Rolle Dienstagent für serverlosen VPC-Zugriff (roles/vpcaccess.serviceAgent). Serverlose VPC-Zugriffsvorgänge können fehlschlagen, wenn Sie die Berechtigungen dieses Kontos ändern.

Fehler

Wenn beim Erstellen eines Connectors ein Fehler auftritt, versuchen Sie Folgendes:

  • Geben Sie einen internen RFC 1918-IP-Bereich an, der sich nicht mit vorhandenen IP-Adressreservierungen im VPC-Netzwerk überschneidet.
  • Erteilen Sie Ihrem Projekt die Berechtigung, Compute Engine-VM-Images aus dem Projekt mit der ID serverless-vpc-access-images zu verwenden. Weitere Informationen zum Aktualisieren Ihrer Organisationsrichtlinien finden Sie unter Einschränkungen für den Image-Zugriff einrichten.

Wenn Sie einen Connector angegeben haben, aber dennoch nicht auf Ressourcen in Ihrem VPC-Netzwerk zugreifen können:

  • Achten Sie darauf, dass Ihr VPC-Netzwerk keine Firewallregeln mit einer Priorität unter 1.000 hat, die eingehenden Traffic aus dem IP-Bereich des Connectors ablehnen.

Nächste Schritte