Connessione a una rete VPC condivisa
Se la tua organizzazione utilizza un VPC condiviso, puoi connettere Cloud Functions direttamente alla rete VPC condivisa utilizzando l'accesso VPC serverless. Ciò consente a Cloud Functions di accedere alle risorse nella tua rete VPC condiviso, ad esempio istanze VM di Compute Engine, istanze Memorystore e qualsiasi altra risorsa con un indirizzo IP interno.
Se la tua organizzazione non utilizza un VPC condiviso, consulta Connettersi a una rete VPC.
Confronto dei metodi di configurazione
Per il VPC condiviso, i connettori di accesso VPC serverless possono essere configurati in due modi diversi. Puoi configurare connettori in ciascun progetto di servizio che dispone di risorse Cloud Functions che richiedono l'accesso alla rete oppure puoi configurare connettori condivisi nel progetto host. Ogni metodo offre vantaggi.
Progetti di servizio
Vantaggi della creazione di connettori nei progetti di servizio:
- Isolamento: ogni connettore ha una larghezza di banda dedicata e non è interessato dall'utilizzo della larghezza di banda dei connettori in altri progetti di servizio. Questa opzione è ideale se hai un servizio che presenta picchi di traffico o se devi assicurarti che ogni progetto di servizio non sia interessato dall'uso dei connettori di altri progetti di servizio.
- Storni di addebito: gli addebiti sostenuti dai connettori sono associati al progetto di servizio contenente il connettore. Ciò consente uno storno di addebito più semplice.
- Sicurezza: ti consente di seguire il "principio del privilegio minimo". È necessario concedere ai connettori l'accesso alle risorse della rete VPC condiviso che devono raggiungere. Creando un connettore nel progetto di servizio, puoi limitare gli elementi a cui i servizi del progetto possono accedere utilizzando le regole firewall.
- Indipendenza del team: riduce la dipendenza dall'amministratore del progetto host.
I team possono creare e gestire i connettori associati al progetto di servizio. Un utente con il ruolo Amministratore sicurezza di Compute Engine o un ruolo Identity and Access Management (IAM) personalizzato con l'autorizzazione
compute.firewalls.createabilitata per il progetto host deve comunque gestire le regole firewall per il connettore.
Per impostare i connettori nei progetti di servizio, consulta Configurare i connettori nei progetti di servizio.
Progetto host
Vantaggi della creazione di connettori nel progetto host:
- Gestione centralizzata della rete: è in linea con il modello VPC condiviso di centralizzazione delle risorse di configurazione di rete nel progetto host.
- Spazio di indirizzi IP:conserva una quantità maggiore di spazio di indirizzi IP. I connettori richiedono un indirizzo IP per ogni istanza; di conseguenza, avere meno connettori (e un numero inferiore di istanze in ogni connettore) utilizza meno indirizzi IP. È l'opzione ideale se temi di esaurire gli indirizzi IP.
- Manutenzione: riduce la manutenzione, poiché ogni connettore che crei può essere utilizzato da più progetti di servizio. Questa opzione è utile se ti preoccupano i costi di manutenzione.
- Costo per il tempo di inattività: può ridurre il tempo di inattività del connettore e i costi associati. I connettori comportano costi anche se non gestiscono il traffico (vedi i pricing). La presenza di meno connettori può ridurre la quantità di risorse che paghi quando non gestisci il traffico, a seconda del tipo di connettore e del numero di istanze. Ciò è spesso conveniente se il tuo caso d'uso prevede un numero elevato di servizi e i servizi vengono utilizzati raramente.
Per configurare i connettori nel progetto host, consulta Configurare i connettori nel progetto host.