Configure conetores no projeto anfitrião da VPC partilhada

Se a sua organização usar a VPC partilhada, pode configurar conetores do Acesso a VPC sem servidor no projeto de serviço ou no projeto anfitrião. Este guia mostra como configurar um conector no projeto anfitrião.

Se precisar de configurar um conector num projeto de serviço, consulte o artigo Configurar conectores em projetos de serviço. Para saber mais acerca das vantagens de cada método, consulte o artigo Estabelecer ligação a uma rede VPC partilhada.

Antes de começar

  1. Verifique as funções de gestão de identidade e de acesso (IAM) da conta que está a usar atualmente. A conta ativa tem de ter as seguintes funções no projeto anfitrião:

  2. Selecione o projeto anfitrião no seu ambiente preferido.

Consola

  1. Abra o Google Cloud painel de controlo da consola.

    Aceda ao Google Cloud painel de controlo da consola

  2. Na barra de menu na parte superior do painel de controlo, clique no menu pendente do projeto e selecione o projeto anfitrião.

gcloud

Defina o projeto predefinido na CLI gcloud para o projeto anfitrião executando o seguinte no terminal: 

gcloud config set project HOST_PROJECT_ID

Substitua o seguinte:

  • HOST_PROJECT_ID: o ID do projeto anfitrião da VPC partilhada

Crie um conetor do Acesso a VPC sem servidor

Para enviar pedidos à sua rede VPC e receber as respostas correspondentes, tem de criar um conetor do Acesso a VPC sem servidor. Pode criar um conector através da Google Cloud consola, da Google Cloud CLI ou do Terraform:

Consola

  1. Ative a API Serverless VPC Access para o seu projeto.

    Ative a API

  2. Aceda à página de vista geral do Acesso a VPC sem servidor.

    Aceda ao Acesso a VPC sem servidor

  3. Clique em Criar conetor.

  4. No campo Nome, introduza um nome para o conetor. O nome tem de seguir a convenção de nomenclatura do Compute Engine e ter menos de 21 carateres. Os hífens (-) contam como dois carateres.

  5. No campo Região, selecione uma região para o conetor. Tem de corresponder à região do seu serviço sem servidor.

    Se o seu serviço estiver na região us-central ou europe-west, use us-central1 ou europe-west1.

  6. No campo Rede, selecione a rede VPC à qual quer anexar o conetor.

  7. Clique no menu pendente Sub-rede:

    Selecione uma sub-rede /28 não usada.

    • As sub-redes têm de ser usadas exclusivamente pelo conetor. Não podem ser usados por outros recursos, como VMs, Private Service Connect ou equilibradores de carga.
    • Para confirmar que a sua sub-rede não é usada para o Private Service Connect nem o Cloud Load Balancing, verifique se a sub-rede purpose está PRIVATE executando o seguinte comando na CLI gcloud: 
      gcloud compute networks subnets describe SUBNET_NAME
      Substitua SUBNET_NAME pelo nome da sua sub-rede.

  8. (Opcional) Para definir opções de dimensionamento para um controlo adicional do conector, clique em Mostrar definições de dimensionamento para apresentar o formulário de dimensionamento.

    1. Defina o número mínimo e máximo de instâncias para o seu conetor, ou use os valores predefinidos, que são 2 (mínimo) e 10 (máximo). O conector é expandido até ao máximo especificado à medida que o tráfego aumenta, mas o conector não é reduzido quando o tráfego diminui. Tem de usar valores entre 2 e 10, e o valor MIN tem de ser inferior ao valor MAX.
    2. No menu pendente Tipo de instância, escolha o tipo de máquina a usar para o conetor ou use o valor predefinido e2-micro. Repare na barra lateral de custos à direita quando escolhe o tipo de instância, que apresenta estimativas de largura de banda e custos.

  9. Clique em Criar.

  10. É apresentada uma marca de verificação verde junto ao nome do conector quando este estiver pronto a ser usado.

gcloud

  1. Atualize os componentes do gcloud para a versão mais recente:

    gcloud components update

  2. Ative a API Serverless VPC Access para o seu projeto:

    gcloud services enable vpcaccess.googleapis.com

  3. Crie um conetor do Acesso a VPC sem servidor:

    gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
--region=REGION \
--subnet=SUBNET \
--subnet-project=HOST_PROJECT_ID \
# Optional: specify minimum and maximum instance values between 2 and 10, default is 2 min, 10 max.
--min-instances=MIN \
--max-instances=MAX \
# Optional: specify machine type, default is e2-micro
--machine-type=MACHINE_TYPE

    Substitua o seguinte:

    • CONNECTOR_NAME: um nome para o conector. O nome tem de seguir a convenção de nomenclatura do Compute Engine e ter menos de 21 carateres. Os hífens (-) contam como dois carateres.
    • REGION: uma região para o conector; esta tem de corresponder à região do seu serviço sem servidor. Se o seu serviço estiver na região us-central ou europe-west, use us-central1 ou europe-west1.
    • SUBNET: o nome de uma sub-rede /28 não usada.
      • As sub-redes têm de ser usadas exclusivamente pelo conetor. Não podem ser usados por outros recursos, como VMs, Private Service Connect ou equilibradores de carga.
      • Para confirmar que a sua sub-rede não é usada para o Private Service Connect nem o Cloud Load Balancing, verifique se a sub-rede purpose está PRIVATE executando o seguinte comando na CLI gcloud: 
        gcloud compute networks subnets describe SUBNET_NAME
        Substitua o seguinte:
        • SUBNET_NAME: o nome da sua sub-rede
    • HOST_PROJECT_ID: o ID do projeto anfitrião
    • MIN: o número mínimo de instâncias a usar para o conector. Use um número inteiro entre 2 e 9. A predefinição é 2. Para saber mais sobre o dimensionamento do conetor, consulte o artigo Débito e dimensionamento.
    • MAX: o número máximo de instâncias a usar para o conector. Use um número inteiro entre 3 e 10. A predefinição é 10. Se o tráfego o exigir, o conetor é dimensionado horizontalmente para [MAX] instâncias, mas não é dimensionado verticalmente. Para saber mais sobre o dimensionamento do conetor, consulte o artigo Débito e dimensionamento.
    • MACHINE_TYPE: f1-micro, e2-micro ou e2-standard-4. Para saber mais sobre o débito do conetor, incluindo o tipo de máquina e o dimensionamento, consulte o artigo Débito e dimensionamento.

    Para ver mais detalhes e argumentos opcionais, consulte a referência gcloud.

  4. Verifique se o conetor está no estado READY antes de o usar:

    gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \
--region=REGION

    Substitua o seguinte:

    • CONNECTOR_NAME: o nome do seu conetor; este é o nome que especificou no passo anterior
    • REGION: a região do seu conector; esta é a região que especificou no passo anterior

    A saída deve conter a linha state: READY.

Terraform

Pode usar um recurso do Terraform para ativar a API vpcaccess.googleapis.com.

resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

Pode usar módulos do Terraform para criar uma rede VPC e uma sub-rede e, em seguida, criar o conetor.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 12.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  version    = "~> 12.0"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

Ative as funções do Cloud Run para o projeto de serviço

Ative a API Cloud Run Functions para o projeto de serviço. Isto é necessário para adicionar funções da IAM nos passos seguintes e para o projeto de serviço usar funções do Cloud Run.

Consola

  1. Abra a página da API Cloud Run Functions.

    API Cloud Run Functions

  2. Na barra de menu na parte superior do painel de controlo, clique no menu pendente do projeto e selecione o projeto de serviço.

  3. Clique em Ativar.

gcloud

Execute o seguinte no terminal:

gcloud services enable cloudfunctions.googleapis.com --project=SERVICE_PROJECT_ID

Substitua o seguinte:

  • SERVICE_PROJECT_ID: o ID do projeto de serviço

Conceda acesso ao conetor

Conceda acesso ao conetor atribuindo a função do IAM Agente de serviço das funções do Cloud Run Utilizador do Acesso a VPC sem servidor ao projeto de serviço no projeto anfitrião.

Consola

  1. Abra a página IAM.

    Aceda ao IAM

  2. Clique no menu pendente do projeto e selecione o projeto anfitrião.

  3. Clique em Conceder acesso.

  4. No campo Novos membros, introduza o endereço de email do agente de serviço das funções do Cloud Run para o projeto de serviço: 

    service-SERVICE_PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com

    Substitua o seguinte:

    • SERVICE_PROJECT_NUMBER: o número do projeto associado ao projeto de serviço. Isto é diferente do ID do projeto. Pode encontrar o número do projeto na página Definições do projeto do projeto de serviço naGoogle Cloud consola.

  5. No campo Função, selecione Utilizador do Acesso a VPC sem servidor.

  6. Clique em Guardar.

gcloud

  1. Execute o seguinte comando no terminal:

    gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com \
--role=roles/vpcaccess.user

    Substitua o seguinte:

    • HOST_PROJECT_ID: o ID do projeto anfitrião da VPC partilhada

    • SERVICE_PROJECT_NUMBER: o número do projeto associado ao projeto de serviço. Isto é diferente do ID do projeto. Pode encontrar o número do projeto executando o seguinte comando:

      gcloud projects describe SERVICE_PROJECT_ID

Torne o conetor detetável

Na política IAM do projeto anfitrião, tem de conceder as seguintes duas funções predefinidas aos diretores que implementam serviços do Cloud Run:

Em alternativa, pode usar funções personalizadas ou outras funções predefinidas que incluam todas as autorizações da função Visualizador do Acesso a VPC sem servidor (vpcaccess.viewer).

Consola

  1. Abra a página IAM.

    Aceda ao IAM

  2. Clique no menu pendente do projeto e selecione o projeto anfitrião.

  3. Clique em Conceder acesso.

  4. No campo Novos membros, introduza o endereço de email do principal que deve poder ver o conector a partir do projeto de serviço. Pode introduzir vários emails neste campo.

  5. No campo Função, selecione ambas as seguintes funções:

    • Visualizador do Acesso a VPC sem servidor
    • Visualizador da rede de computação

  6. Clique em Guardar.

gcloud

Execute os seguintes comandos no terminal:

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/vpcaccess.viewer

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/compute.networkViewer

Substitua o seguinte:

  • HOST_PROJECT_ID: o ID do projeto anfitrião da VPC partilhada
  • PRINCIPAL: o principal que implementa serviços do Cloud Run. Saiba mais sobre a --member flag.

Configure a função para usar o conetor

Para cada função que requer acesso à sua VPC partilhada, tem de especificar o conector para a função. Os passos seguintes mostram como configurar a sua função para usar um conector.

Consola

  1. Abra a página de vista geral das funções do Cloud Run.

    Aceder às funções do Cloud Run

  2. Clique no menu pendente do projeto e selecione o projeto de serviço.

  3. Clique em Criar função. Em alternativa, clique numa função existente para aceder à respetiva página de detalhes e clique em Editar.

  4. Expanda as definições avançadas clicando em Tempo de execução, compilação….

  5. No separador Ligações, em Definições de saída, selecione o conetor no campo Conetor de VPC.

gcloud

  1. Defina a CLI gcloud para usar o projeto que contém a função: 

    gcloud config set project PROJECT_ID
     Substitua o seguinte:

    • PROJECT_ID: o ID do projeto que contém a função que requer acesso à sua VPC partilhada. Se a função estiver no projeto anfitrião, este é o ID do projeto anfitrião. Se a função estiver num projeto de serviço, este é o ID do projeto de serviço.

  2. Use a flag --vpc-connector e implemente a sua função:

    gcloud functions deploy FUNCTION_NAME --vpc-connector=CONNECTOR_NAME

Substitua o seguinte:

  • FUNCTION_NAME: o nome da sua função
  • CONNECTOR_NAME: o nome do seu conetor. Use o nome totalmente qualificado quando fizer a implementação a partir de um projeto de serviço de VPC partilhada (em oposição ao projeto anfitrião). Por exemplo: 
    projects/HOST_PROJECT_ID/locations/CONNECTOR_REGION/connectors/CONNECTOR_NAME
     onde HOST_PROJECT_ID é o ID do projeto de alojamento, CONNECTOR_REGION é a região do seu conetor e CONNECTOR_NAME é o nome que deu ao seu conetor.

Para ter mais controlo sobre os pedidos encaminhados através do conector, consulte as definições de saída.

Passos seguintes