VPC ネットワークへの接続

このページでは、サーバーレス VPC アクセスを使用して、Cloud Functions を VPC ネットワークに直接接続し、Compute Engine VM インスタンス、Memorystore インスタンス、内部 IP アドレスを持つその他のリソースへのアクセスを可能にする方法について説明します。

始める前に

プロジェクトに VPC ネットワークがない場合は作成します。
共有 VPC を使用する場合は、共有 VPC ネットワークへの接続をご覧ください。

サーバーレス VPC アクセスコネクタを作成する

公共のインターネットを使用せずに VPC ネットワークにリクエストを送信して対応するレスポンスを受信するには、サーバーレス VPC アクセスコネクタを使用する必要があります。

コネクタは、Google Cloud コンソール、Google Cloud CLI、または Terraform を使用して作成できます。

コンソール

プロジェクトで Serverless VPC Access API が有効になっていることを確認します。

API を有効にする
サーバーレス VPC アクセスの概要ページに移動します。

サーバーレス VPC アクセスに移動
[コネクタを作成] をクリックします。
[名前] フィールドに、コネクタの名前を入力します。これは Compute Engine の命名規則に従う必要がありますが、ハイフン（-）は 2 文字とカウントし、21 文字未満にする必要があります。
[リージョン] フィールドで、コネクタのリージョンを選択します。これは、サーバーレスサービスのリージョンと一致する必要があります。

サービスが us-central または europe-west リージョンにある場合は、us-central1 または europe-west1 を使用します。
[ネットワーク] フィールドで、コネクタを接続する VPC ネットワークを選択します。
[サブネットワーク] プルダウンメニューをクリックします。
- 独自のサブネットを必要とする共有 VPC を使用している場合は、未使用の /28 サブネットを選択します。
  - サブネットはコネクタ専用にする必要があります。VM、Private Service Connect、内部 HTTP(S) ロードバランシングなどの他のリソースでは使用できません。
  - サブネットが Private Service Connect や内部 HTTP(S) ロードバランシングに使用されていないことを確認するには、gcloud CLI で次のコマンドを実行して、サブネット purpose が PRIVATE であることを確認します。
```
gcloud compute networks subnets describe SUBNET_NAME
```
    次のように置き換えます。
    - SUBNET_NAME: サブネットの名前
- 共有 VPC を使用していない場合、サブネットを明示的に作成するのではなく、コネクタでサブネットを作成するようにしたい場合は、プルダウンから [カスタム IP 範囲] を選択して、予約されていない CIDR /28 内部 IP 範囲の最初のアドレスを [IP 範囲] フィールドに入力します。この IP 範囲は、VPC ネットワーク内の既存の IP アドレス予約と重複してはいけません。たとえば、10.8.0.0（/28）はほとんどの新しいプロジェクトで機能します。
  注: 現在予約されている IP 範囲は、Google Cloud コンソールで確認できます。
（省略可）コネクタを詳細に制御するためのスケーリングオプションを設定するには、[スケーリング設定を表示] をクリックしてスケーリングフォームを表示します。
1. コネクタのインスタンスの最小数と最大数を設定するか、デフォルト値（最小 2、最大 10）を使用します。コネクタは、トラフィックの使用量に応じて指定された最大値にスケールアウトしますが、トラフィックが減少してもスケールインしません。 2～10 の範囲の値を使用する必要があります。
2. [インスタンスタイプ] プルダウンメニューで、コネクタに使用するマシンタイプを選択するか、デフォルトの e2-micro を使用します。インスタンスタイプを選択すると、右側にコストサイドバーが表示され、帯域幅とコストの見積もりが表示されます。
[作成] をクリックします。
コネクタの使用準備が整うと、コネクタ名の横に緑色のチェックマークが表示されます。

gcloud

gcloud コンポーネントを最新バージョンに更新します。
```
gcloud components update
```
プロジェクトで Serverless VPC Access API が有効になっていることを確認します。
```
gcloud services enable vpcaccess.googleapis.com
```
独自のサブネットを必要とする共有 VPC を使用している場合は、次のコマンドでコネクタを作成します。
```
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
--region REGION \
--subnet SUBNET \
# If you are not using Shared VPC, omit the following line.
--subnet-project HOST_PROJECT_ID \
# Optional: specify minimum and maximum instance values between 2 and
10, default is 2 min, 10 max.
--min-instances MIN \
--max-instances MAX \
# Optional: specify machine type, default is e2-micro
--machine-type MACHINE_TYPE
```
次のように置き換えます。
- CONNECTOR_NAME: コネクタの名前。これは Compute Engine の命名規則に従う必要がありますが、ハイフン（-）は 2 文字とカウントして、21 文字未満にする必要があります。
- REGION: コネクタのリージョン。これは、サーバーレスサービスのリージョンと一致する必要があります。サービスが us-central または europe-west リージョンにある場合は、us-central1 または europe-west1 を使用します。
- SUBNET: 未使用の /28 サブネットの名前。
  - サブネットはコネクタ専用にする必要があります。VM、Private Service Connect、内部 HTTP(S) ロードバランシングなどの他のリソースでは使用できません。
  - サブネットが Private Service Connect や内部 HTTP(S) ロードバランシングに使用されていないことを確認するには、gcloud CLI で次のコマンドを実行して、サブネット purpose が PRIVATE であることを確認します。
```
gcloud compute networks subnets describe SUBNET_NAME
```
    次のように置き換えます。
    - SUBNET_NAME: サブネットの名前
- HOST_PROJECT_ID: ホストプロジェクトの ID。共有 VPC を使用する場合にのみ指定します。
- MIN: コネクタに使用するインスタンスの最小数。2～9 の整数を使用してください。デフォルトは 2 です。コネクタのスケーリングの詳細については、スループットとスケーリングをご覧ください。
- MAX: コネクタに使用するインスタンスの最大数。3～10 の整数を使用してください。デフォルトは 10 です。トラフィックで必要な場合、コネクタは [MAX] インスタンスにスケールアウトしますが、再スケーリングは行われません。コネクタのスケーリングの詳細については、スループットとスケーリングをご覧ください。
- MACHINE_TYPE: f1-micro、e2-micro、または e2-standard-4。マシンタイプやスケーリングなど、コネクタのスループットの詳細については、スループットとスケーリングをご覧ください。
より詳しい情報とオプションの引数については、gcloud のリファレンスをご覧ください。
共有 VPC を使用していない場合、サブネットを使用せずにカスタム IP 範囲を指定するには、次のコマンドでコネクタを作成します。
```
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
--network VPC_NETWORK \
--region REGION \
--range IP_RANGE
```
次のように置き換えます。
- CONNECTOR_NAME: コネクタの名前。これは Compute Engine の命名規則に従う必要がありますが、ハイフン（-）を 2 文字とカウントして、21 文字未満にする必要があります。
- VPC_NETWORK: コネクタを接続する VPC ネットワーク
- REGION: コネクタのリージョン。これは、サーバーレスサービスのリージョンと一致する必要があります。サービスが us-central または europe-west リージョンにある場合は、us-central1 または europe-west1 を使用します。
- IP_RANGE: 予約されていない内部 IP ネットワーク。未割り振りスペースの /28 が必要です。指定された値は、CIDR 表記（10.8.0.0/28）で示されたネットワークです。この IP 範囲は、VPC ネットワーク内の既存の IP アドレス予約と重複してはいけません。たとえば、10.8.0.0/28 はほとんどの新しいプロジェクトで機能します。
注: 現在予約されている IP 範囲は、Google Cloud コンソールで確認できます。
スループット制御などの詳細とオプションの引数については、gcloud のリファレンスをご覧ください。
使用する前に、コネクタが READY 状態になっていることを確認します。
```
gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \
--region REGION
```
次のように置き換えます。
- CONNECTOR_NAME: コネクタの名前。これは、前のステップで指定した名前です。
- REGION: コネクタのリージョン。これは、前の手順で指定したリージョンです。
出力には、state: READY という行が含まれます。

Terraform

Terraform リソースを使用して、vpcaccess.googleapis.com API を有効にできます。

examples/submodule_vpc_serverless_connector/main.tf

　　　　　　GitHub で表示　　

resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

Terraform モジュールを使用して VPC ネットワークとサブネットを作成し、コネクタを作成できます。

examples/submodule_vpc_serverless_connector/main.tf

　　　　　　GitHub で表示　　

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 3.3.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

コネクタを使用するように関数を構成する

サーバーレス VPC アクセスコネクタを作成したら、VPC ネットワークに接続する関数を構成する必要があります。Google Cloud Console または Google Cloud CLI からコネクタを使用する関数を構成できます。

コンソール

Google Cloud コンソールで Cloud Functions の概要ページに移動します。

Cloud Functions に移動
[関数を作成] をクリックします。または、既存の関数をクリックしてその詳細ページに移動し、[編集] をクリックします。
[ランタイム、ビルド、接続の設定] をクリックして、詳細設定を開きます。
[接続] タブの [下り（外向き）設定] で、[VPC コネクタ] フィールドにコネクタの名前を入力するか、フィールドを空白にしてサービスを VPC ネットワークから切断します。

gcloud

gcloud functions deploy コマンドを使用して関数をデプロイし、--vpc-connector フラグを指定します。

gcloud functions deploy FUNCTION_NAME \
--vpc-connector CONNECTOR_NAME \
FLAGS...

ここで

FUNCTION_NAME は、関数の名前です。
CONNECTOR_NAME は、コネクタの名前です。
FLAGS... は、関数のデプロイ時に渡す他のフラグです。

--clear-vpc-connector フラグを使用して、VPC ネットワークから関数の接続を解除します。

gcloud functions deploy FUNCTION_NAME \
--clear-vpc-connector \
FLAGS...

コネクタ経由で転送されるリクエストを制御する方法については、下り（外向き）設定をご覧ください。

VPC リソースへのアクセスを制限する

ファイアウォールルールを使用して、コネクタによる VPC ネットワークへのアクセスを制限できます。

サービスプロジェクトでコネクタを使用して共有 VPC ネットワークに接続する場合、ファイアウォールルールは自動的に作成されません。ホストプロジェクトのネットワーク管理者ロールを持つユーザーが、ホストプロジェクトの構成時にファイアウォールルールを設定します。

スタンドアロン VPC ネットワーク、またはコネクタがホストプロジェクトにある共有 VPC ネットワークに接続すると、優先度 1000 の暗黙のファイアウォールルールが VPC ネットワークに自動的に作成されます。これにより、コネクタのサブネットまたはカスタム IP 範囲から VPC ネットワーク内のすべての宛先への上り（内向き）が許可されます。暗黙的なファイアウォールルールは Google Cloud コンソールに表示はされませんが、関連するコネクタが存在する限り Google Cloud コンソールに存在します。コネクタが VPC ネットワーク内のすべての宛先に到達できないようにするには、コネクタのアクセスを制限します。

宛先リソースに上り（内向き）ルールを作成するか、VPC コネクタで下り（外向き）ルールを作成することで、コネクタのアクセスを制限できます。

上り（内向き）ルールを使用してアクセスを制限する

ネットワークタグまたは CIDR 範囲を選択して、VPC ネットワークへの受信トラフィックを制御します。

ネットワークタグ

次の手順は、コネクタのネットワークタグに基づいて、VPC ネットワークへのアクセスを制限する上り（内向き）ルールを作成する方法を示しています。

ファイアウォールルールを挿入するために必要な権限を付与されていることを確認してください。次のいずれかの Identity and Access Management（IAM）ロールを付与されている必要があります。
- Compute セキュリティ管理者のロール
- compute.firewalls.create 権限が有効にされているカスタム IAM ロール
VPC ネットワーク間のコネクタのトラフィックを拒否します。

コネクタのネットワークタグからの上り（内向き）を拒否するには、VPC ネットワークで優先度 1000 未満の上り（内向き）ファイアウォールルールを作成します。これによって、デフォルトでサーバーレス VPC アクセスが VPC ネットワークに作成する暗黙的なファイアウォールルールがオーバーライドされます。
```
gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--rules=PROTOCOL \
--source-tags=VPC_CONNECTOR_NETWORK_TAG \
--direction=INGRESS \
--network=VPC_NETWORK \
--priority=PRIORITY
```
次のように置き換えます。
- RULE_NAME: 新しいファイアウォールルールの名前。例: deny-vpc-connector。
- PROTOCOL: VPC コネクタから許可するプロトコル。ah、all、esp、icmp、ipip、sctp、tcp、udp、または IP プロトコル番号（0～255）の 1 つ以上を指定する必要があります。たとえば、tcp:80,icmp はポート 80 と ICMP トラフィックを介した TCP トラフィックを許可します。詳細については、allow フラグのドキュメントをご覧ください。
- VPC_CONNECTOR_NETWORK_TAG: すべてのコネクタ（今後作成されるコネクタを含む）のアクセス権を制限する場合はユニバーサルコネクタネットワークタグ。または、特定のコネクタのアクセス権を制限する場合は一意のネットワークタグ。
  - ユニバーサルネットワークタグ: vpc-connector
  - 一意のネットワークタグ: vpc-connector-REGION-CONNECTOR_NAME
    
    次のように置き換えます。
    - REGION: 制限するコネクタのリージョン
    - CONNECTOR_NAME: 制限するコネクタの名前
  コネクタネットワークタグの詳細については、ネットワークタグをご覧ください。
- VPC_NETWORK: VPC ネットワークの名前
- PRIORITY: 1～999 の整数（両端の値を含む）。例: 990
コネクタトラフィックを受信する必要があるリソースに対するコネクタのトラフィックを許可します。

allow フラグと target-tags フラグを使用して、VPC コネクタでアクセスする VPC ネットワーク内のリソースに対して上り（内向き）ファイアウォールルールを作成します。このルールの優先度は、前の手順で作成したルールの優先度よりも低い値に設定します。
```
gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOL \
--source-tags=VPC_CONNECTOR_NETWORK_TAG \
--direction=INGRESS \
--network=VPC_NETWORK \
--target-tags=RESOURCE_TAG \
--priority=PRIORITY
```
次のように置き換えます。
- RULE_NAME: 新しいファイアウォールルールの名前。例: allow-vpc-connector-for-select-resources。
- PROTOCOL: VPC コネクタから許可するプロトコル。ah、all、esp、icmp、ipip、sctp、tcp、udp、または IP プロトコル番号（0～255）の 1 つ以上を指定する必要があります。たとえば、tcp:80,icmp はポート 80 と ICMP トラフィックを介した TCP トラフィックを許可します。詳細については、allow フラグのドキュメントをご覧ください。
- VPC_CONNECTOR_NETWORK_TAG: すべてのコネクタ（今後作成されるコネクタを含む）のアクセス権を制限する場合はユニバーサルコネクタネットワークタグ。または、特定のコネクタのアクセス権を制限する場合は一意のネットワークタグ。これは、前のステップで指定したネットワークタグと一致する必要があります。
  - ユニバーサルネットワークタグ: vpc-connector
  - 一意のネットワークタグ: vpc-connector-REGION-CONNECTOR_NAME
    
    次のように置き換えます。
    - REGION: 制限するコネクタのリージョン
    - CONNECTOR_NAME: 制限するコネクタの名前
  コネクタネットワークタグの詳細については、ネットワークタグをご覧ください。
- VPC_NETWORK: VPC ネットワークの名前
- RESOURCE_TAG: VPC コネクタがアクセスする VPC リソースのネットワークタグ。
- PRIORITY: 前のステップで設定した優先度よりも小さい整数。たとえば、前のステップで作成したルールの優先度を 990 に設定した場合は、980 を試してください。

ファイアウォールルールの作成に必須のフラグとオプションフラグの詳細については、gcloud compute firewall-rules create のドキュメントをご覧ください。

CIDR 範囲

次の手順は、コネクタの CIDR 範囲に基づいて、VPC ネットワークへのアクセスを制限する上り（内向き）ルールを作成する方法を示しています。

ファイアウォールルールを挿入するために必要な権限を付与されていることを確認してください。次のいずれかの Identity and Access Management（IAM）ロールを付与されている必要があります。
- Compute セキュリティ管理者のロール
- compute.firewalls.create 権限が有効にされているカスタム IAM ロール
VPC ネットワーク間のコネクタのトラフィックを拒否します。

コネクタの CIDR 範囲からの上り（内向き）を拒否するには、VPC ネットワークで優先度 1000 未満の上り（内向き）ファイアウォールルールを作成します。これによって、デフォルトでサーバーレス VPC アクセスが VPC ネットワークに作成する暗黙的なファイアウォールルールがオーバーライドされます。
```
gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--rules=<_1, PROTOCOL> \
--source-ranges=VPC_CONNECTOR_CIDR_RANGE \
--direction=INGRESS \
--network=VPC_NETWORK \
--priority=PRIORITY
```
次のように置き換えます。
- RULE_NAME: 新しいファイアウォールルールの名前。例: deny-vpc-connector
- VPC_CONNECTOR_CIDR_RANGE: アクセスを制限するコネクタの CIDR 範囲
- VPC_NETWORK: VPC ネットワークの名前
- PRIORITY: 1～999 の整数。例: 990
コネクタトラフィックを受信する必要があるリソースに対するコネクタのトラフィックを許可します。

allow フラグと target-tags フラグを使用して、VPC コネクタでアクセスする VPC ネットワーク内のリソースに対して上り（内向き）ファイアウォールルールを作成します。このルールの優先度は、前の手順で作成したルールの優先度よりも低い値に設定します。
```
gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOL \
--source-ranges=VPC_CONNECTOR_CIDR_RANGE \
--direction=INGRESS \
--network=VPC_NETWORK \
--target-tags=RESOURCE_TAG \
--priority=PRIORITY
```
次のように置き換えます。
- RULE_NAME: 新しいファイアウォールルールの名前。例: allow-vpc-connector-for-select-resources。
- PROTOCOL: VPC コネクタから許可するプロトコル。ah、all、esp、icmp、ipip、sctp、tcp、udp、または IP プロトコル番号（0～255）の 1 つ以上を指定する必要があります。たとえば、tcp:80,icmp はポート 80 と ICMP トラフィックを介した TCP トラフィックを許可します。詳細については、allow フラグのドキュメントをご覧ください。
- VPC_CONNECTOR_CIDR_RANGE: アクセスを制限するコネクタの CIDR 範囲
- VPC_NETWORK: VPC ネットワークの名前
- RESOURCE_TAG: VPC コネクタがアクセスする VPC リソースのネットワークタグ。
- PRIORITY: 前のステップで設定した優先度よりも小さい整数。たとえば、前のステップで作成したルールの優先度を 990 に設定した場合は、980 を試してください。

ファイアウォールルールの作成に必要なフラグとオプションフラグの詳細については、gcloud compute firewall-rules create のドキュメントをご覧ください。

下り（外向き）ルールを使用してアクセスを制限する

次の手順は、コネクタのアクセスを制限する下り（外向き）ルールを作成する方法を示しています。

ファイアウォールルールを挿入するために必要な権限を付与されていることを確認してください。次のいずれかの Identity and Access Management（IAM）ロールを付与されている必要があります。
- Compute セキュリティ管理者のロール
- compute.firewalls.create 権限が有効にされているカスタム IAM ロール
コネクタからの下り（外向き）トラフィックを拒否します。

サーバーレス VPC アクセスコネクタに下り（外向き）ファイアウォールルールを作成し、送信トラフィックの送信を防ぎます。
```
gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--rules=PROTOCOL \
--direction=EGRESS \
--target-tags=VPC_CONNECTOR_NETWORK_TAG \
--network=VPC_NETWORK \
--priority=PRIORITY
```
次のように置き換えます。
- RULE_NAME: 新しいファイアウォールルールの名前。例: deny-vpc-connector。
- PROTOCOL: VPC コネクタから許可するプロトコル。ah、all、esp、icmp、ipip、sctp、tcp、udp、または IP プロトコル番号（0～255）の 1 つ以上を指定する必要があります。たとえば、tcp:80,icmp はポート 80 と ICMP トラフィックを介した TCP トラフィックを許可します。詳細については、allow フラグのドキュメントをご覧ください。
- VPC_CONNECTOR_NETWORK_TAG: 既存のすべての VPC コネクタと今後作成される VPC コネクタにルールを適用する場合は、ユニバーサル VPC コネクタのネットワークタグを使用します。または、特定のコネクタを制御する場合は、一意の VPC コネクタのネットワークタグを使用します。
- VPC_NETWORK: VPC ネットワークの名前
- PRIORITY: 1～999 の整数。例: 990
コネクタがアクセスするように設定した CIDR 範囲内に宛先が存在する場合に、下り（外向き）トラフィックを許可します。

allow フラグと destination-ranges フラグを使用して、特定の宛先範囲でコネクタからの下り（外向き）トラフィックを許可するファイアウォールルールを作成します。宛先範囲には、コネクタにアクセスを許可する VPC ネットワーク内のリソースの CIDR 範囲を設定します。このルールの優先度は、前の手順で作成したルールの優先度よりも低い値に設定します。
```
gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOL \
--destination-ranges=RESOURCE_CIDR_RANGE \
--direction=EGRESS \
--network=VPC_NETWORK \
--target-tags=VPC_CONNECTOR_NETWORK_TAG \
--priority=PRIORITY
```
次のように置き換えます。
- RULE_NAME: 新しいファイアウォールルールの名前。例: allow-vpc-connector-for-select-resources。
- PROTOCOL: VPC コネクタから許可するプロトコル。ah、all、esp、icmp、ipip、sctp、tcp、udp、または IP プロトコル番号（0～255）の 1 つ以上を指定する必要があります。たとえば、tcp:80,icmp はポート 80 と ICMP トラフィックを介した TCP トラフィックを許可します。詳細については、allow フラグのドキュメントをご覧ください。
- RESOURCE_CIDR_RANGE: アクセスを制限するコネクタの CIDR 範囲
- VPC_NETWORK: VPC ネットワークの名前
- VPC_CONNECTOR_NETWORK_TAG: 既存のすべての VPC コネクタと今後作成される VPC コネクタにルールを適用する場合は、ユニバーサル VPC コネクタのネットワークタグを使用します。または、特定のコネクタを制御する場合は、一意の VPC コネクタのネットワークタグを使用します。前のステップで一意のネットワークタグを使用した場合は、一意のネットワークタグを使用します。
- PRIORITY: 前のステップで設定した優先度よりも小さい整数。たとえば、前のステップで作成したルールの優先度を 990 に設定した場合は、980 を試してください。

コネクタを管理する

VPC ネットワークから関数を切断する

Google Cloud Console または Google Cloud CLI を使用して、VPC ネットワークから関数を切断できます。

コンソール

Google Cloud コンソールで Cloud Functions の概要ページに移動します。

Cloud Functions に移動
既存の関数をクリックして詳細ページに移動し、[編集] をクリックします。
[ランタイム、ビルド、接続の設定] をクリックして、詳細設定を開きます。
[接続] タブの [下り（外向き）設定] で、[VPC コネクタ] フィールドにコネクタの名前を入力するか、フィールドを空白にしてサービスを VPC ネットワークから切断します。

gcloud

--clear-vpc-connector フラグを使用して、VPC ネットワークから関数を切断します。

gcloud functions deploy FUNCTION_NAME \
--clear-vpc-connector \
FLAGS...

ここで

FUNCTION_NAME は、関数の名前です。
CONNECTOR_NAME は、コネクタの名前です。
FLAGS... は、関数のデプロイ時に渡す他のフラグです。

トラフィックがなく、接続解除されている場合でも、コネクタの料金は引き続き発生します。詳細については、料金をご覧ください。不要になったコネクタは削除して、請求が発生しないようにしてください。

コネクタを削除する

コネクタを削除する前に、接続中のサービスがないことを確認してください。

共有 VPC ホストプロジェクトでコネクタを設定した共有 VPC ユーザーの場合は、gcloud compute networks vpc-access connectors describe コマンドを使用して、特定のコネクタを使用するサービスが存在するプロジェクトを一覧表示できます。

コネクタを削除するには、Google Cloud コンソールまたは Google Cloud CLI を使用します。

コンソール

Google Cloud コンソールで、サーバーレス VPC アクセスの概要ページに移動します。

サーバーレス VPC アクセスに移動
削除するコネクタを選択します。
[削除] をクリックします。

gcloud

コネクタを削除するには、次の gcloud コマンドを使用します。

gcloud compute networks vpc-access connectors delete CONNECTOR_NAME --region=REGION

次のように置き換えます。

CONNECTOR_NAME は、削除するコネクタの名前に置き換えます。
REGION は、コネクタが配置されているリージョンに置き換えます。

トラブルシューティング

サービスアカウント権限

Cloud プロジェクトでオペレーションを実行するために、サーバーレス VPC アクセスはサーバーレス VPC アクセスサービスエージェントのサービスアカウントを使用します。このサービスアカウントのメールアドレスは、次の形式になります。

service-PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com

このサービスアカウントには、デフォルトでサーバーレス VPC アクセスサービスエージェントのロール（roles/vpcaccess.serviceAgent）が設定されています。このアカウントの権限を変更すると、サーバーレス VPC アクセスのオペレーションが失敗する可能性があります。

エラー

コネクタの作成でエラーが発生した場合は、次の方法をお試しください。

VPC ネットワーク内で予約されている既存の IP アドレスと重複しない RFC 1918 の内部 IP 範囲を指定します。
プロジェクトから ID serverless-vpc-access-images で Compute Engine VM イメージを使用できるように、プロジェクトに権限を付与します。これに合わせて組織ポリシーを更新する方法については、イメージアクセスの制限の設定をご覧ください。

コネクタを指定しても、VPC ネットワーク内のリソースにアクセスできない場合は、次のようにします。

コネクタの IP 範囲からの上り（内向き）を拒否する、優先度が 1000 よりも小さいファイアウォールルールが、VPC ネットワーク上にないことを確認します。

次のステップ

Cloud Functions から Memorystore に接続する。
Cloud Functions のネットワーク設定を構成する。
サーバーレス VPC アクセスの監査ロギングを使用して管理アクティビティをモニタリングする。
VPC Service Controls を使用してサービス境界を作成して、リソースとデータを保護する。
サーバーレス VPC アクセスに関連付けられている Identity and Access Management（IAM）のロールについて学習する。各ロールに関連付けられている権限の一覧については、IAM のドキュメントのサーバーレス VPC アクセスのロールをご覧ください。

VPC ネットワークへの接続

始める前に

サーバーレス VPC アクセス コネクタを作成する

コンソール

gcloud

Terraform

コネクタを使用するように関数を構成する

コンソール

gcloud

VPC リソースへのアクセスを制限する

上り（内向き）ルールを使用してアクセスを制限する

ネットワーク タグ

CIDR 範囲

下り（外向き）ルールを使用してアクセスを制限する

コネクタを管理する

VPC ネットワークから関数を切断する

コンソール

gcloud

コネクタを削除する

コンソール

gcloud

トラブルシューティング

サービス アカウント権限

エラー

次のステップ

サーバーレス VPC アクセスコネクタを作成する

ネットワークタグ

サービスアカウント権限