Conectar-se a uma rede VPC
Nesta página, mostramos como usar o acesso VPC sem servidor para conectar o Cloud Functions diretamente à rede VPC, permitindo o acesso a instâncias de VM do Compute Engine, instâncias do Memorystore e qualquer outro recurso com um endereço IP interno.
Antes de começar
Se você ainda não tiver uma rede VPC no projeto, crie uma.
Se você usa a VPC compartilhada, forneça acesso ao conector e consulte Como se conectar a uma rede VPC compartilhada.
No Console do Google Cloud, verifique se a API de acesso VPC sem servidor está ativada no projeto.
Criar um conector de acesso VPC sem servidor
Para enviar solicitações à sua rede VPC e receber as respostas correspondentes sem usar a Internet pública, use um conector de acesso VPC sem servidor.
É possível criar um conector usando o console do Google Cloud, a Google Cloud CLI ou o Terraform.
Console
Acesse a página de visão geral do acesso VPC sem servidor.
Clique em Criar conector.
No campo Nome, insira um nome para o conector. Esse nome precisa estar de acordo com a convenção de nomenclatura do Compute Engine, com a restrição adicional de que precisa ter menos de 21 caracteres e os hífens (-) contam como dois caracteres.
No campo Região, selecione uma região para o conector. Ela precisa corresponder à região do serviço sem servidor.
Se o serviço ou job estiver na região
us-central
oueurope-west
, useus-central1
oueurope-west1
.No campo Rede, selecione uma rede VPC para o conector.
Para criar um conector em um projeto de serviço que use uma rede VPC compartilhada em um projeto host, um administrador de rede da rede VPC compartilhada deve criar manualmente a sub-rede do conector antes da criação do conector. Para mais informações, consulte requisitos de sub-rede do conector.
No campo Sub-rede:
Para selecionar uma sub-rede existente para uso do conector, selecione-a no campo Sub-rede.
Para que o Google Cloud crie automaticamente uma nova sub-rede para o conector, selecione Intervalo de IP personalizado no campo Sub-rede. No campo Intervalo de IP, insira o primeiro endereço em um intervalo de IP interno CIDR
/28
não reservado. Esse intervalo de endereço IP não pode se sobrepor a nenhuma reserva de endereço IP atual na rede VPC.Os nomes das sub-redes criadas automaticamente começam com o prefixo "aet-".
Opcional: se você quiser configurar opções de escalonamento para ter mais controle sobre o conector, clique em Mostrar configurações de escalonamento para exibir o formulário de escalonamento:
- Defina os números mínimo e máximo de instâncias para seu conector
ou use os padrões, que são 2 (mínimo) e 10 (máximo). O
conector é escalonado de acordo com o máximo especificado se o uso do tráfego exigir, mas
o conector não reduz o escalonamento quando o tráfego diminui.
É preciso usar valores entre
2
e10
. - No menu suspenso Tipo de instância, escolha o tipo de máquina a ser usado para o conector ou use o
padrão
e2-micro
. Observe a barra lateral de custo à direita ao escolher o tipo de instância, que exibe a largura de banda e as estimativas de custo.
- Defina os números mínimo e máximo de instâncias para seu conector
ou use os padrões, que são 2 (mínimo) e 10 (máximo). O
conector é escalonado de acordo com o máximo especificado se o uso do tráfego exigir, mas
o conector não reduz o escalonamento quando o tráfego diminui.
É preciso usar valores entre
Clique em Criar.
Uma marca de seleção verde aparecerá ao lado do nome do conector quando ele estiver pronto para uso.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Atualize os componentes
gcloud
para a versão mais recente:gcloud components update
Certifique-se de que a API de acesso VPC sem servidor esteja ativada para seu projeto:
gcloud services enable vpcaccess.googleapis.com
Se você estiver usando a VPC compartilhada, o que exige que você use sua própria sub-rede, crie um conector com o comando a seguir:
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \ --region REGION \ --subnet SUBNET \ # If you are not using Shared VPC, omit the following line. --subnet-project HOST_PROJECT_ID \ # Optional: specify minimum and maximum instance values between 2 and 10, default is 2 min, 10 max. --min-instances MIN \ --max-instances MAX \ # Optional: specify machine type, default is e2-micro --machine-type MACHINE_TYPE
Substitua:
CONNECTOR_NAME
: um nome para o conector. Ele precisa estar de acordo com a convenção de nomenclatura do Compute Engine, com a restrição adicional de que precisa ter menos de 21 caracteres e hífens (-) contando como dois caracteres.REGION
: uma região do conector. Ela precisa corresponder à região do serviço ou job sem servidor. Se o serviço ou job estiver na regiãous-central
oueurope-west
, useus-central1
oueurope-west1
.SUBNET
: o nome de uma sub-rede/28
não utilizada.- Para criar um conector em um projeto de serviço que use uma rede VPC compartilhada em um projeto host, um administrador de rede da rede VPC compartilhada deve criar manualmente a sub-rede do conector antes da criação do conector. Para mais informações, consulte requisitos de sub-rede do conector.
- As sub-redes precisam ser usadas exclusivamente pelo conector. Elas não podem ser usadas por outros recursos, como VMs, Private Service Connect ou balanceadores de carga.
- Para confirmar se a sub-rede não está sendo usada para
o Private Service Connect ou o Cloud Load Balancing, verifique
se o
purpose
da rede éPRIVATE
executando o seguinte comando na CLI gcloud:gcloud compute networks subnets describe SUBNET
Substitua:- SUBNET: o nome da sub-rede.
- Saiba mais sobre como trabalhar com sub-redes.
HOST_PROJECT_ID
: o ID do projeto host. Forneça-o somente se você estiver usando uma VPC compartilhada.MIN
: é o número mínimo de instâncias a serem usadas no conector. Use um número inteiro entre2
e9
. O padrão é2
. Para saber mais sobre o escalonamento do conector, consulte Capacidade de processamento e escalonamento.MAX
: o número máximo de instâncias a serem usadas no conector. Use um número inteiro entre3
e10
. O padrão é10
. Se o tráfego exigir, o conector será escalonado horizontalmente para instâncias[MAX]
, mas a escala não será reduzida. Para saber mais sobre o escalonamento do conector, consulte Capacidade de processamento e escalonamento.MACHINE_TYPE
:f1-micro
,e2-micro
, oue2-standard-4
. Para saber mais sobre a capacidade de processamento do conector, incluindo o tipo de máquina e o escalonamento, consulte Capacidade de processamento e escalonamento.
Para mais detalhes e argumentos opcionais, consulte a página de referência da
gcloud
.Se você não estiver usando a VPC compartilhada e quiser fornecer um intervalo de IP personalizado em vez de usar uma sub-rede, crie um conector com o comando:
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \ --network VPC_NETWORK \ --region REGION \ --range IP_RANGE
Substitua:
CONNECTOR_NAME
: um nome para o conector. Ele precisa estar de acordo com a convenção de nomenclatura do Compute Engine, com a restrição adicional de que precisa ter menos de 21 caracteres e hífens (-
) contando como dois caracteres.VPC_NETWORK
: a rede VPC a que seu conector será anexado.REGION
: uma região para o conector. Ela precisa corresponder à região do serviço ou job sem servidor. Se o serviço ou job estiver na regiãous-central
oueurope-west
, useus-central1
oueurope-west1
.IP_RANGE
: uma rede IP interno não reservada e um/28
de espaço não alocado são necessários para que o Google Cloud crie automaticamente uma nova sub-rede para o conector. O valor fornecido é a rede em notação CIDR (10.8.0.0/28
). Esse intervalo de IP não pode se sobrepor a nenhuma reserva de endereço IP existente na rede VPC.- Os nomes das sub-redes criadas automaticamente começam com o prefixo "aet-".
Para mais detalhes e argumentos opcionais, como controles de capacidade, consulte a referência do
gcloud
.Verifique se o conector está no estado
READY
antes de usá-lo:gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \ --region REGION
Substitua:
CONNECTOR_NAME
: o nome do conector. Este é o nome que você especificou na etapa anterior.REGION
: a região do conector. Esta é a região especificada na etapa anterior.
A saída precisa conter a linha
state: READY
.
Terraform
É possível usar um recurso do Terraform
para ativar a API vpcaccess.googleapis.com
.
É possível usar módulos do Terraform para criar uma rede VPC e uma sub-rede e, em seguida, criar o conector.
Configurar a função para se conectar a uma rede VPC
É necessário configurar cada função para usar um conector de acesso VPC sem servidor e se conectar à rede VPC para enviar tráfego de saída. É possível configurar uma função para usar um conector no Console do Google Cloud ou na CLI do Google Cloud:
Console
Clique em Criar função se você estiver configurando uma nova função. Se você estiver configurando uma função existente, clique nela e em Editar.
Se você estiver configurando uma nova função, preencha a página inicial de configurações da função como quiser e clique em Ambiente de execução, build... para expandir a página de configuração da função.
Clique na guia Conexões e, em Configurações de saída, escolha uma das seguintes opções no menu Rede VPC:
- Para desconectar a função de uma rede VPC, selecione Nenhuma.
- Para usar um conector existente, selecione-o na lista suspensa ou selecione Personalizado para usar um conector atual que não esteja na lista suspensa.
- Para criar um novo conector, selecione Adicionar novo conector de VPC. (Visualização)
Consulte os detalhes em Criar um conector de acesso VPC sem servidor.
Clique em Next.
gcloud
Use o comando gcloud functions deploy
para implantar a função e especificar a sinalização --vpc-connector
:
gcloud functions deploy FUNCTION_NAME \ --vpc-connector CONNECTOR_NAME \ FLAGS...
em que:
FUNCTION_NAME
é o nome da função.CONNECTOR_NAME
é o nome do conector.FLAGS...
refere-se a outras sinalizações que são transmitidas durante a implantação da função.
Use a sinalização --clear-vpc-connector
para desconectar a função de uma rede VPC:
gcloud functions deploy FUNCTION_NAME \ --clear-vpc-connector \ FLAGS...
Para ter mais controle sobre quais solicitações são roteadas pelo conector, consulte Configurações de saída.
Acesso a recursos da VPC
Permitir a entrada da infraestrutura sem servidor para o conector
As VMs do conector precisam ser capazes de receber pacotes do intervalo de endereços IP externos
do Google Cloud 35.199.224.0/19
. Esse intervalo é usado pela infraestrutura
sem servidor do Google para garantir que os serviços do Cloud Run,
do Cloud Functions e do App Engine possam enviar pacotes para o conector.
O acesso VPC sem servidor cria uma regra de firewall de permissão de entrada que
se aplica às VMs do conector, permitindo pacotes de 35.199.224.0/19
quando o
conector está no mesmo projeto que a rede VPC
de destino. O conector e a respectiva rede VPC de destino estão no mesmo
projeto quando o conector tem como destino uma rede VPC independente
ou quando ele tem como destino uma rede VPC compartilhada e
está no projeto host.
Se você criar um conector em um projeto de serviço de VPC compartilhada, um administrador
de segurança ou proprietário do projeto de host da VPC compartilhada precisará criar uma
regra de firewall de permissão de entrada aplicável às VMs do conector, permitindo pacotes
de 35.199.224.0/19
. Confira o seguinte exemplo de regra de firewall de
permissão de entrada:
gcloud compute firewall-rules create RULE_NAME \ --action=ALLOW \ --rules=TCP \ --source-ranges=35.199.224.0/19 \ --target-tags=VPC_CONNECTOR_NETWORK_TAG \ --direction=INGRESS \ --network=VPC_NETWORK \ --priority=PRIORITY \ --project=PROJECT_ID
Substitua:
- RULE_NAME: o nome da nova regra de firewall. Por exemplo,
allow-vpc-connector-ingress
. - VPC_CONNECTOR_NETWORK_TAG: a tag de rede do conector universal
vpc-connector
pode ser usada para fazer a regra se aplicar a todos os conectores na rede VPC. Se preferir, use uma tag de rede específica para o conector. A tag de rede específica tem o seguinte formato:vpc-connector-
REGION-
CONNECTOR_NAME, em que REGION é a região do Google Cloud do conector e CONNECTOR_NAME é o nome dela. - VPC_NETWORK: o nome da rede VPC que o conector segmenta.
- PRIORITY: um número inteiro entre 0 e 65535. Por exemplo, 0 define a prioridade mais alta.
- PROJECT_ID: o ID do projeto que contém a rede VPC que o conector segmenta.
Restringir recursos de rede VPC de acesso à VM do conector
É possível restringir o acesso do conector a recursos na rede VPC de destino usando regras de firewall da VPC ou regras em políticas de firewall. Você pode realizar essas restrições usando uma das seguintes estratégias:
- Crie regras de entrada com destinos que representem os recursos a que você quer limitar o acesso da VM do conector e com origens que representem as VMs do conector.
- Crie regras de saída que tenham destinos que representem as VMs do conector e que os destinos representem os recursos a que você quer limitar o acesso da VM do conector.
Os exemplos a seguir ilustram cada estratégia.
Restringir o acesso usando regras de entrada
Escolha tags de rede ou intervalos CIDR para controlar o tráfego de entrada para a rede VPC:
Tags de rede
Nas etapas a seguir, mostramos como criar regras de entrada que restringem o acesso de um conector à sua rede VPC com base nas tags de rede do conector.
Verifique se você tem as permissões necessárias para inserir regras de firewall. Você precisa ter um dos seguintes papéis de gerenciamento de identidade e acesso (IAM):
- Papel Administrador de segurança do Compute
- Papel de IAM personalizado com a permissão
compute.firewalls.create
ativada
Nega o tráfego do conector na sua rede VPC.
Crie uma regra de firewall de entrada com prioridade menor que 1.000 na sua rede VPC para negar a entrada da tag de rede do conector. Isso substitui a regra de firewall implícita que o acesso VPC sem servidor cria na rede VPC por padrão.
gcloud compute firewall-rules create RULE_NAME \ --action=DENY \ --rules=PROTOCOL \ --source-tags=VPC_CONNECTOR_NETWORK_TAG \ --direction=INGRESS \ --network=VPC_NETWORK \ --priority=PRIORITY
Substitua:
RULE_NAME: o nome da nova regra de firewall. Por exemplo,
deny-vpc-connector
.PROTOCOL: um ou mais protocolos que você quer permitir no conector de VPC. Os protocolos compatíveis são
tcp
ouudp
. Por exemplo,tcp:80,udp
permite o tráfego TCP pela porta 80 e pelo UDP. Para mais informações, consulte a documentação da flag deallow
.Para fins de segurança e validação, também é possível configurar regras de negação para bloquear o tráfego para os seguintes protocolos sem suporte:
ah
,all
,esp
,icmp
,ipip
esctp
.VPC_CONNECTOR_NETWORK_TAG: a tag de rede universal do conector se você quiser restringir o acesso a todos os conectores (incluindo todos os conectores feitos no futuro), ou a tag de rede única se quiser restringir o acesso a um conector específico.
- Tag de rede universal:
vpc-connector
Tag de rede única:
vpc-connector-REGION-CONNECTOR_NAME
Substitua:
- REGION: a região do conector que você quer restringir
- CONNECTOR_NAME: o nome do conector que você quer restringir
Para saber mais sobre as tags de rede do conector, consulte Tags de rede.
- Tag de rede universal:
VPC_NETWORK: o nome da rede VPC.
PRIORITY: um número inteiro entre 0 e 65535. Por exemplo, 0 define a prioridade mais alta.
Permitir tráfego do conector para o recurso que precisa receber tráfego do conector.
Use as sinalizações
allow
etarget-tags
para criar uma regra de firewall de entrada que segmente o recurso na rede VPC que você quer que o conector VPC acesse. Defina a prioridade para essa regra como um valor menor que a prioridade da regra criada na etapa anterior.gcloud compute firewall-rules create RULE_NAME \ --allow=PROTOCOL \ --source-tags=VPC_CONNECTOR_NETWORK_TAG \ --direction=INGRESS \ --network=VPC_NETWORK \ --target-tags=RESOURCE_TAG \ --priority=PRIORITY
Substitua:
RULE_NAME: o nome da nova regra de firewall. Por exemplo,
allow-vpc-connector-for-select-resources
.PROTOCOL: um ou mais protocolos que você quer permitir no conector de VPC. Os protocolos compatíveis são
tcp
ouudp
. Por exemplo,tcp:80,udp
permite o tráfego TCP pela porta 80 e pelo UDP. Para mais informações, consulte a documentação da flag deallow
.VPC_CONNECTOR_NETWORK_TAG: a tag de rede universal do conector se você quiser restringir o acesso a todos os conectores (incluindo todos os conectores feitos no futuro), ou a tag de rede única se quiser restringir o acesso a um conector específico. Isso precisa corresponder à tag de rede que você especificou na etapa anterior.
- Tag de rede universal:
vpc-connector
Tag de rede única:
vpc-connector-REGION-CONNECTOR_NAME
Substitua:
- REGION: a região do conector que você quer restringir
- CONNECTOR_NAME: o nome do conector que você quer restringir
Para saber mais sobre as tags de rede do conector, consulte Tags de rede.
- Tag de rede universal:
VPC_NETWORK: o nome da rede VPC.
RESOURCE_TAG: a tag de rede do recurso da VPC que você quer que o conector da VPC acesse.
PRIORITY: um número inteiro menor que a prioridade que você definiu na etapa anterior. Por exemplo, se você definir a prioridade da regra criada na etapa anterior como 990, tente 980.
Para mais informações sobre as sinalizações obrigatórias e opcionais para criar
regras de firewall, consulte a
documentação de gcloud compute firewall-rules create
.
Intervalo CIDR
Nas etapas a seguir, mostramos como criar regras de entrada que restringem o acesso de um conector à sua rede VPC com base no intervalo CIDR do conector.
Verifique se você tem as permissões necessárias para inserir regras de firewall. Você precisa ter um dos seguintes papéis de gerenciamento de identidade e acesso (IAM):
- Papel Administrador de segurança do Compute
- Papel de IAM personalizado com a permissão
compute.firewalls.create
ativada
Nega o tráfego do conector na sua rede VPC.
Crie uma regra de firewall de entrada com prioridade menor que 1.000 na sua rede VPC para negar a entrada do intervalo CIDR do conector. Isso substitui a regra de firewall implícita que o acesso VPC sem servidor cria na rede VPC por padrão.
gcloud compute firewall-rules create RULE_NAME \ --action=DENY \ --rules=PROTOCOL \ --source-ranges=VPC_CONNECTOR_CIDR_RANGE \ --direction=INGRESS \ --network=VPC_NETWORK \ --priority=PRIORITY
Substitua:
RULE_NAME: o nome da nova regra de firewall. Por exemplo,
deny-vpc-connector
.PROTOCOL: um ou mais protocolos que você quer permitir no conector de VPC. Os protocolos compatíveis são
tcp
ouudp
. Por exemplo,tcp:80,udp
permite o tráfego TCP pela porta 80 e pelo UDP. Para mais informações, consulte a documentação da flag deallow
.Para fins de segurança e validação, também é possível configurar regras de negação para bloquear o tráfego para os seguintes protocolos sem suporte:
ah
,all
,esp
,icmp
,ipip
esctp
.VPC_CONNECTOR_CIDR_RANGE: o intervalo CIDR do conector em que seu acesso está restrito
VPC_NETWORK: o nome da rede VPC.
PRIORITY: um número inteiro entre 0 e 65535. Por exemplo, 0 define a prioridade mais alta.
Permitir tráfego do conector para o recurso que precisa receber tráfego do conector.
Use as sinalizações
allow
etarget-tags
para criar uma regra de firewall de entrada que segmente o recurso na rede VPC que você quer que o conector VPC acesse. Defina a prioridade para essa regra como um valor menor que a prioridade da regra criada na etapa anterior.gcloud compute firewall-rules create RULE_NAME \ --allow=PROTOCOL \ --source-ranges=VPC_CONNECTOR_CIDR_RANGE \ --direction=INGRESS \ --network=VPC_NETWORK \ --target-tags=RESOURCE_TAG \ --priority=PRIORITY
Substitua:
RULE_NAME: o nome da nova regra de firewall. Por exemplo,
allow-vpc-connector-for-select-resources
.PROTOCOL: um ou mais protocolos que você quer permitir no conector de VPC. Os protocolos compatíveis são
tcp
ouudp
. Por exemplo,tcp:80,udp
permite o tráfego TCP pela porta 80 e pelo UDP. Para mais informações, consulte a documentação da flag deallow
.VPC_CONNECTOR_CIDR_RANGE: o intervalo CIDR do conector em que seu acesso está restrito
VPC_NETWORK: o nome da rede VPC.
RESOURCE_TAG: a tag de rede do recurso da VPC que você quer que o conector da VPC acesse.
PRIORITY: um número inteiro menor que a prioridade que você definiu na etapa anterior. Por exemplo, se você definir a prioridade da regra criada na etapa anterior como 990, tente 980.
Para mais informações sobre as sinalizações obrigatórias e opcionais para criar
regras de firewall, consulte a
documentação de gcloud compute firewall-rules create
.
Restringir o acesso usando regras de saída
As etapas a seguir mostram como criar regras de saída para restringir o acesso ao conector.
Verifique se você tem as permissões necessárias para inserir regras de firewall. Você precisa ter um dos seguintes papéis do Identity and Access Management (IAM):
- Papel Administrador de segurança do Compute
- Papel de IAM personalizado com a permissão
compute.firewalls.create
ativada
Negue o tráfego de saída do conector.
Crie uma regra de firewall de saída no conector de acesso VPC sem servidor para impedir que ele envie tráfego de saída, exceto para respostas estabelecidas, para qualquer destino.
gcloud compute firewall-rules create RULE_NAME \ --action=DENY \ --rules=PROTOCOL \ --direction=EGRESS \ --target-tags=VPC_CONNECTOR_NETWORK_TAG \ --network=VPC_NETWORK \ --priority=PRIORITY
Substitua:
RULE_NAME: o nome da nova regra de firewall. Por exemplo,
deny-vpc-connector
.PROTOCOL: um ou mais protocolos que você quer permitir no conector de VPC. Os protocolos compatíveis são
tcp
ouudp
. Por exemplo,tcp:80,udp
permite o tráfego TCP pela porta 80 e pelo UDP. Para mais informações, consulte a documentação da flag deallow
.Para fins de segurança e validação, também é possível configurar regras de negação para bloquear o tráfego para os seguintes protocolos sem suporte:
ah
,all
,esp
,icmp
,ipip
esctp
.VPC_CONNECTOR_NETWORK_TAG: a tag de rede do conector VPC universal se você quiser que a regra se aplique a todos os conectores VPC existentes e a quaisquer conectores VPC no futuro. Ou a tag de rede do conector de VPC exclusiva, se você quiser controlar um conector específico.
VPC_NETWORK: o nome da rede VPC.
PRIORITY: um número inteiro entre 0 e 65535. Por exemplo, 0 define a prioridade mais alta.
Permitir tráfego de saída quando o destino estiver no intervalo CIDR que você quer que o conector acesse.
Use as sinalizações
allow
edestination-ranges
para criar uma regra de firewall que permita o tráfego de saída do conector para um intervalo de destino específico. Defina o intervalo de destino para o intervalo CIDR do recurso na rede VPC que você quer que o conector possa acessar. Defina a prioridade dessa regra como um valor menor do que a prioridade da regra criada na etapa anterior.gcloud compute firewall-rules create RULE_NAME \ --allow=PROTOCOL \ --destination-ranges=RESOURCE_CIDR_RANGE \ --direction=EGRESS \ --network=VPC_NETWORK \ --target-tags=VPC_CONNECTOR_NETWORK_TAG \ --priority=PRIORITY
Substitua:
RULE_NAME: o nome da nova regra de firewall. Por exemplo,
allow-vpc-connector-for-select-resources
.PROTOCOL: um ou mais protocolos que você quer permitir no conector de VPC. Os protocolos compatíveis são
tcp
ouudp
. Por exemplo,tcp:80,udp
permite o tráfego TCP pela porta 80 e pelo UDP. Para mais informações, consulte a documentação da flag deallow
.RESOURCE_CIDR_RANGE: o intervalo CIDR do conector em que seu acesso está restrito
VPC_NETWORK: o nome da rede VPC.
VPC_CONNECTOR_NETWORK_TAG: a tag de rede do conector VPC universal se você quiser que a regra se aplique a todos os conectores VPC existentes e a quaisquer conectores VPC no futuro. Ou a tag de rede do conector de VPC exclusiva, se você quiser controlar um conector específico. Se você tiver usado a tag de rede exclusiva na etapa anterior, use essa tag.
PRIORITY: um número inteiro menor que a prioridade que você definiu na etapa anterior. Por exemplo, se você definir a prioridade da regra criada na etapa anterior como 990, tente 980.
Para mais informações sobre as sinalizações obrigatórias e opcionais para criar
regras de firewall, consulte a
documentação de gcloud compute firewall-rules create
.
Gerenciar seu conector
Desconectar uma função de uma rede VPC
É possível desconectar uma função da rede VPC usando o Console do Google Cloud ou a CLI do Google Cloud:
Console
Acesse a página de visão geral do Cloud Functions no console do Google Cloud:
Como alternativa, clique em uma função atual para acessar a página de informações dela e clique em Editar.
Expanda as configurações avançadas clicando em Ambiente de execução, build....
Na guia Conexões, em "Configurações de saída", digite o nome do conector no campo Conector VPC ou limpe o campo para desconectar o serviço de uma rede VPC.
gcloud
Use a sinalização --clear-vpc-connector
para desconectar a função de sua rede VPC:
gcloud functions deploy FUNCTION_NAME \ --clear-vpc-connector \ FLAGS...
em que:
FUNCTION_NAME
é o nome da função.CONNECTOR_NAME
é o nome do conector.FLAGS...
refere-se a outras sinalizações que são transmitidas durante a implantação da função.
Os conectores continuam gerando cobranças, mesmo se estiverem sem tráfego e desconectados. Para mais detalhes, consulte preços. Se você não precisar mais do conector, exclua-o para evitar o faturamento contínuo.
Atualizar um conector
É possível atualizar e monitorar os seguintes atributos do conector usando o console do Google Cloud, a CLI do Google Cloud ou a API:
- Tipo de máquina (instância)
- Número mínimo e máximo de instâncias
- Capacidade de processamento recente, número de instâncias e uso da CPU
Atualizar tipo de máquina
Console
Acesse a página de visão geral do acesso VPC sem servidor.
Selecione o conector que você quer editar e clique em Editar.
Na lista Tipo de instância, selecione o tipo de máquina (instância) de sua preferência. Para saber mais sobre os tipos de máquinas disponíveis, consulte a documentação sobre capacidade de processamento e escalonamento.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para atualizar o tipo de máquina do conector, execute o seguinte comando no seu terminal:
gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --machine-type=MACHINE_TYPE
Substitua o seguinte:CONNECTOR_NAME
: o nome do conectorREGION
: o nome da região do conectorMACHINE_TYPE
: o tipo de máquina de sua preferência. Para saber mais sobre os tipos de máquinas disponíveis, consulte a documentação em Capacidade e escalonamento.
Diminuir o número mínimo e máximo de instâncias
Para diminuir o número de instâncias mínima e máxima, faça o seguinte:
- Crie um novo conector com os valores da sua preferência.
- Atualize o serviço ou a função para usar o novo conector.
- Exclua o conector antigo ao mover o tráfego.
Consulte Criar conector de acesso VPC sem servidor para mais informações.
Aumentar o número mínimo e máximo de instâncias
Console
Acesse a página de visão geral do acesso VPC sem servidor.
Selecione o conector que você quer editar e clique em Editar.
No campo Instâncias mínimas, selecione o número mínimo de instâncias que você quer.
O menor valor possível para esse campo é o valor atual. O maior valor possível desse campo é o valor atual no campo Máximo de instâncias menos 1. Por exemplo, se o valor no campo Máximo de instâncias for 8, o maior valor possível para o campo Mínimo de instâncias será 7.
No campo Máximo de instâncias, selecione o número máximo de instâncias que você quer.
O menor valor possível para esse campo é o valor atual. O maior valor possível para esse campo é 10.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para aumentar o número mínimo ou máximo de instâncias do conector, execute o seguinte comando no seu terminal:
gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --min-instances=MIN_INSTANCES --max-instances=MAX_INSTANCES
Substitua o seguinte:
CONNECTOR_NAME
: o nome do conectorREGION
: o nome da região do conectorMIN_INSTANCES
: o número mínimo de instâncias que você preferir.- O menor valor possível para esse campo é o valor atual de
min_instances
. Para encontrar o valor atual, consulte Encontrar os valores de atributo atuais. - O maior valor possível para esse campo é o valor atual de
max_instances
menos 1, porquemin_instances
precisa ser menor quemax_instances
. Por exemplo, semax_instances
for 8, o maior valor possível para esse campo será 7. Se o conector usar o valor padrãomax-instances
de 10, o maior valor possível desse campo será 9. Para encontrar o valor demax-instances
, consulte Encontrar os valores atuais do atributo.
- O menor valor possível para esse campo é o valor atual de
MAX_INSTANCES
:- O menor valor possível para esse campo é o valor atual de
max_instances
. Para encontrar o valor atual, consulte Encontrar os valores de atributo atuais. - O maior valor possível para esse campo é 10.
Se você quiser aumentar o número mínimo de instâncias, mas não o máximo, ainda precisará especificar o número máximo de instâncias. Por outro lado, se você quiser atualizar apenas o número máximo de instâncias, mas não o mínimo, ainda precisará especificar a quantidade mínima de instâncias. Para manter o número mínimo ou máximo de instâncias no valor atual, especifique o valor atual. Para encontrar o valor atual, consulte Encontrar os valores do atributo atual.
- O menor valor possível para esse campo é o valor atual de
Encontrar os valores atuais dos atributos
Para encontrar os valores de atributo atuais do seu conector, execute o seguinte no terminal:
gcloud compute networks vpc-access connectors describe CONNECTOR_NAME --region=REGION --project=PROJECTSubstitua o seguinte:
CONNECTOR_NAME
: o nome do conectorREGION
: o nome da região do conectorPROJECT
: o nome do seu projeto do Google Cloud
Monitorar o uso do conector
O monitoramento ao longo do tempo ajuda a determinar quando ajustar as configurações de um conector. Por exemplo, se o uso da CPU aumentar, tente aumentar o número máximo de instâncias para conseguir resultados melhores. Ou, se você estiver maximizando a capacidade de processamento, pense em trocar para um tipo de máquina maior.
Para exibir gráficos da capacidade de processamento, do número de instâncias e das métricas de uso da CPU do conector ao longo do tempo usando o console do Google Cloud:
Acesse a página de visão geral do acesso VPC sem servidor.
Clique no nome do conector que você quer monitorar.
Selecione o número de dias que você quer mostrar entre 1 e 90 dias.
No gráfico de Capacidade de processamento, passe o cursor sobre o gráfico para ver a capacidade de processamento recente do conector.
No gráfico Número de instâncias, passe o cursor sobre ele para ver o número de instâncias usadas recentemente pelo conector.
No gráfico Uso da CPU, passe o cursor sobre ele para ver o uso recente da CPU do conector. O gráfico exibe o uso da CPU distribuído entre as instâncias para o 50º, 95º e 99º percentis.
Excluir um conector
Antes de excluir um conector, verifique se nenhum serviço ou job ainda está conectado a ele.
Para usuários de VPC compartilhada que configuram conectores no projeto host
da VPC compartilhada, use o comando
gcloud compute networks vpc-access connectors describe
para listar os projetos em que há serviços ou jobs que usam um determinado
conector.
Para excluir um conector, use o console do Google Cloud ou a Google Cloud CLI:
Console
Acesse a página de visão geral do acesso VPC sem servidor no console do Google Cloud:
Selecione o conector que você quer excluir.
Clique em Excluir.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Use o seguinte comando
gcloud
para excluir um conector:gcloud compute networks vpc-access connectors delete CONNECTOR_NAME --region=REGION
Substitua:
- CONNECTOR_NAME pelo nome do conector que você quer excluir;
- REGION pela região onde o conector está localizado.
Solução de problemas
Permissões da conta de serviço
Para realizar operações no projeto do Google Cloud, o acesso VPC sem servidor usa a conta de serviço do agente de serviço do acesso VPC sem servidor. O endereço de e-mail dessa conta de serviço tem o seguinte formato:
service-PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com
Por padrão, essa conta de serviço tem o papel Agente de serviço de acesso VPC sem servidor (roles/vpcaccess.serviceAgent
). As operações de acesso VPC sem servidor podem falhar se você alterar as permissões dessa conta.
Erros
A conta de serviço precisa de um erro no papel do agente de serviço
Se você usar o Restringir o uso do serviço de recursos
restrição da política da organização
para bloquear o Cloud Deployment Manager (deploymentmanager.googleapis.com
), você poderá ver a seguinte mensagem de erro:
Serverless VPC Access service account (service-<PROJECT_NUMBER>@gcp-sa-vpcaccess.iam.gserviceaccount.com) needs Serverless VPC Access Service Agent role in the project.
Defina a política da organização para remover o Deployment Manager da lista de bloqueio ou adicioná-lo à lista de permissões.
Erro de criação do conector
Se a criação de um conector resultar em erro, tente o seguinte:
- Especifique um intervalo de IP interno RFC 1918 que não se sobreponha a nenhuma reserva de endereço IP existente na rede VPC.
- Conceda permissão ao projeto para usar imagens de VM do Compute Engine do
projeto com o ID
serverless-vpc-access-images
. Para mais informações sobre como atualizar a política da organização adequadamente, consulte Definir restrições de acesso a imagens.
Não é possível acessar os recursos
Se você especificou um conector, mas ainda assim não consegue acessar os recursos na rede VPC, verifique se não há regras de firewall na rede VPC com prioridade inferior a 1.000 que recusem a entrada do intervalo de endereços IP do seu conector.
Se você configurar um conector em um projeto de serviço de VPC compartilhada, verifique se as regras de firewall permitem a entrada da infraestrutura sem servidor no conector.
Erro de conexão recusada
Se você receber erros connection refused
que degradam o desempenho da rede,
as conexões podem aumentar sem limite de invocações de
aplicativo
sem servidor. Para limitar o número máximo de conexões usadas por
instância, use uma biblioteca de cliente compatível com pools de conexões. Para exemplos detalhados
de como usar pools de conexão, consulte
Gerenciar conexões de banco de dados.
Erro de recurso não encontrado
Ao excluir uma rede VPC ou uma regra de firewall, talvez seja exibida uma mensagem semelhante a esta: The resource
"aet-uscentral1-subnet--1-egrfw" was not found.
Para informações sobre esse erro e a respectiva solução, consulte Erro de recurso não encontrado na documentação das regras de firewall da VPC.
Permissão necessária de vpcaccess.connectors.use ausente para conta de serviço...
Primeiro, verifique se o papel roles/vpcaccess.user
está atribuído à conta de serviço.
Se você ainda tiver problemas de permissão com o conector de VPC, verifique se ele é realmente uma VPC compartilhada. Nesse caso, uma configuração adicional é necessária no projeto host.
Próximas etapas
- Conectar-se ao Memorystore do Cloud Functions.
- Defina as configurações de rede para o Cloud Functions.
- Monitore a atividade do administrador com o registro de auditoria de acesso VPC sem servidor.
- Proteja recursos e dados criando um perímetro de serviço com o VPC Service Controls.
- Saiba mais sobre os papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês) associados ao acesso VPC sem servidor. Consulte Papéis de acesso VPC sem servidor na documentação do IAM para uma lista de permissões associadas a cada papel.