Cloud Functions è stato rinominato in Cloud Run Functions. Per ulteriori informazioni, consulta il post del blog sulle funzioni Cloud Run.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configura le impostazioni di rete

Le impostazioni di rete delle funzioni di Cloud Run ti consentono di controllare il traffico in entrata nella rete e il traffico in uscita da e verso le singole funzioni. Ad esempio, puoi utilizzare le impostazioni di rete per i seguenti casi d'uso:

Proteggi le tue funzioni implementando controllo dell'accesso basato sulla rete.
Fare in modo che il traffico in uscita di una funzione rispetti le regole del firewall, del DNS e di routing associati alla tua rete VPC.
Associare il traffico in uscita di una funzione a un indirizzo IP statico.

Per ulteriori dettagli sui casi d'uso, consulta Esempi di casi d'uso.

Impostazioni traffico in entrata

Le impostazioni di ingresso controllano se le risorse esterne al progetto Google Cloud o al perimetro di servizio Controlli di servizio VPC possono invocare una funzione.

Per essere soggetta ai criteri di un perimetro dei Controlli di servizio VPC, una risorsa deve appartenere al servizio da limitare. Per le funzioni di Cloud Run, il servizio limitato è l'API Cloud Run Admin.

Configura le impostazioni di traffico in entrata

Per limitare le risorse esterne al progetto o al perimetro, specifica uno dei seguenti valori di impostazione di ingresso:

Consenti tutto il traffico: impostazione predefinita. Tutte le richieste in entrata alla funzione vengono sia da internet sia dalle risorse all'interno dello stesso progetto.
Consenti solo il traffico interno: è consentito solo il traffico proveniente da Cloud Scheduler, Cloud Tasks, Eventarc, monitor sintetici (inclusi i controlli di uptime), Workflows, BigQuery e reti VPC nello stesso progetto o nel perimetro dei controlli di servizio VPC. Tutte le altre richieste vengono rifiutate con un errore 404.

Per le richieste provenienti da un VPC condiviso, tieni presente le seguenti considerazioni:
- Il traffico è considerato interno se la funzione viene dispiattata nel progetto host VPC condiviso.
- Il traffico è considerato interno se l'host VPC condiviso e tutti i progetti di servizio si trovano nello stesso perimetro di Controlli di servizio VPC.
- Il traffico verso una funzione è considerato interno se la funzione è connessa alla stessa rete VPC condiviso.
- Tutto il resto del traffico dalle reti VPC condiviso è negato.
Consenti traffico interno e traffico da Cloud Load Balancing: traffico proveniente da Cloud Scheduler, Cloud Tasks, Eventarc monitor sintetici (inclusi i controlli di uptime), Workflows, BigQuery e reti VPC nello stesso progetto o Controlli di servizio VPC di Compute Engine è consentito. È consentito il traffico da Cloud Load Balancing.

Puoi specificare le impostazioni di traffico in entrata quando esegui il deployment o l'aggiornamento della funzione utilizzando la console Google Cloud, Google Cloud CLI o Terraform:

Console

Apri la pagina Panoramica delle funzioni nella console Google Cloud:

Vai alle funzioni di Cloud Run nella pagina Panoramica
Fai clic su Crea funzione. In alternativa, fai clic su una funzione esistente per andare alla relativa pagina dei dettagli e poi su Modifica.
Espandi le impostazioni avanzate facendo clic su Runtime, build ....
Nella sezione Connections (Connessioni), seleziona un valore per Ingress (Impostazioni Ingress.

gcloud

Utilizza il comando gcloud functions deploy per eseguire il deployment o aggiornare e specifica la funzione --ingress-settings Segnala:

  gcloud functions deploy FUNCTION_NAME 

  --trigger-http 

  --ingress-settings INGRESS_SETTINGS 

  FLAGS...

dove:

FUNCTION_NAME è il nome della funzione.
INGRESS_SETTINGS è uno dei valori supportati per le impostazioni di importazione. I valori possibili sono:
- all
- internal-only
- internal-and-gclb: consente il traffico interno e il traffico inviato a un indirizzo IP pubblico esposto da Cloud Load Balancing. Blocca il traffico inviato a cloudfunctions.net o a qualsiasi dominio personalizzato configurato tramite le funzioni Cloud Run. Impedisce agli utenti di aggirare i controlli di accesso (Cloud Armor, IAP) che hanno configurato tramite Cloud Load Balancing.
FLAGS... fa riferimento ad altri flag passati al comando deploy.

Terraform

Facoltativo. Per aggiornare il campo delle impostazioni di traffico in entrata del file main.tf del tuo Risorsa Terraform, includi l'argomento ingress_settings che hai che vuoi eseguire il deployment o l'aggiornamento. Se apporti modifiche alle impostazioni di importazione, la funzione viene ricreata.

Dal file main.tf, individua la risorsa che vuoi limitare impostazioni di traffico in entrata e aggiornarle con l'impostazione che preferisci, ad esempio:
```
resource "google_cloudfunctions_function" "function" {
  name             = "function"
  location         = "us-central1"
  description      = "Sample function"
  ingress_settings = "INGRESS_SETTINGS"
}
```
dove INGRESS_SETTINGS è uno dei valori supportati per le impostazioni di importazione. I valori possibili sono:
- ALLOW_ALL (predefinito): sono consentite tutte le richieste in entrata alla funzione, da entrambi su internet e le risorse all'interno dello stesso progetto.
- ALLOW_INTERNAL_ONLY: solo traffico proveniente da Cloud Scheduler, Cloud Tasks, Eventarc, Workflows reti VPC nello stesso progetto Perimetro Controlli di servizio VPC è consentito.
- ALLOW_INTERNAL_AND_GCLB: consente sia il traffico interno che il traffico inviate a un IP pubblico esposto da Cloud Load Balancing. Blocca il traffico inviato a cloudfunctions.net o a qualsiasi dominio personalizzato configurato tramite le funzioni Cloud Run. Impedisce agli utenti di eludere qualsiasi controlli dell'accesso (Cloud Armor, IAP) configurati mediante Cloud Load Balancing.

Se utilizzi Google Cloud Armor con Cloud Load Balancing, puoi creare criteri di sicurezza che filtrano le condizioni basate sul traffico, ad esempio l'indirizzo IP, l'intervallo IP, il codice regione o le intestazioni di una richiesta in entrata. Per ulteriori informazioni, vedi Panoramica dei criteri di sicurezza di Google Cloud Armor.

Impostazioni traffico in uscita

Le impostazioni in uscita controllano il routing delle richieste HTTP in uscita da un personalizzata. Per specificare le impostazioni di uscita, devi collegare la funzione a una rete VPC utilizzando un connettore di accesso VPC serverless. Le impostazioni di traffico in uscita controllano quando il traffico viene indirizzato tramite il connettore nella rete VPC.

Limitazioni

L'accesso VPC serverless supporta solo il routing del traffico IPv4. IPv6 il traffico non è supportato, anche se nel VPC sono presenti route IPv6 in ogni rete.
Per maggiore sicurezza, Google Cloud blocca i pacchetti in uscita verso indirizzi IP esterni sulla porta di destinazione TCP 25.
Le funzioni o i servizi utente che richiamano funzioni o servizi protetti da una rete VPC devono instradare queste chiamate tramite un connettore VPC.

Configura le impostazioni di traffico in uscita

Per le impostazioni di uscita, puoi specificare quanto segue:

Instrada solo le richieste a IP privati attraverso il connettore VPC: impostazione predefinita. Il traffico viene instradato attraverso la rete VPC solo se i pacchetti che generano traffico hanno destinazioni corrispondenti alle seguenti:
I pacchetti diretti a qualsiasi altra destinazione vengono instradati dalle funzioni Cloud Run a internet e non tramite una rete VPC.
Instrada tutto il traffico attraverso il connettore VPC: il traffico viene sempre instradato tramite la rete VPC associata al connettore per tutte le destinazioni dei pacchetti. Devi utilizzare questa opzione nelle seguenti circostanze:
- Se devi inviare il traffico a intervalli di subnet VPC con di indirizzi IP esterni utilizzati privatamente. Per ulteriori informazioni sugli intervalli di subnet VPC, consulta Intervalli IPv4 validi nella panoramica delle subnet.
- Se devi inviare traffico a un endpoint Private Service Connect per le API di Google il cui indirizzo è un indirizzo IP esterno utilizzato privatamente. Per ulteriori informazioni sugli endpoint di Private Service Connect per le API di Google, consulta Accedere alle API di Google tramite gli endpoint.
- Se devi inviare il traffico a un altro indirizzo IP esterno utilizzato privatamente destinazione instradabile all'interno del VPC del connettore in ogni rete. Esempi di altre destinazioni che riguardano IP esterni utilizzati privatamente gli indirizzi possono includere intervalli di subnet di peering, intervalli di subnet di peering creato da Intervalli di indirizzi IP allocati per servizi, e quelle accessibili tramite route personalizzate rete VPC.
Se la tua rete VPC include una route predefinita, i pacchetti possono comunque essere instradati a internet dopo essere stati elaborati dal connettore se configuri un gateway Cloud NAT per fornire servizi NAT alla subnet utilizzata dal connettore. Questi pacchetti sono soggetti alle route nella tua rete VPC e le regole firewall che si applicano rete VPC. Puoi utilizzare la configurazione della route e del firewall controllare il traffico in uscita da internet per tutte le richieste in uscita inviate dalla tua funzione attraverso un connettore di accesso VPC serverless.

Nota: la fatturazione dell'accesso VPC serverless è scalabile in proporzione la quantità di traffico che passa attraverso il connettore. Per comprendere le implicazioni relative ai costi, consulta i prezzi di Accesso VPC serverless.

Puoi specificare le impostazioni di uscita quando esegui il deployment o l'aggiornamento della funzione utilizzando la console Google Cloud o Google Cloud CLI.

Console

Apri la pagina Panoramica di Functions nella console Google Cloud:

Vai alle funzioni di Cloud Run nella pagina Panoramica
Fai clic su Crea funzione. In alternativa, fai clic su una funzione esistente per accedere alla relativa pagina dei dettagli e fai clic su Modifica.
Espandi le impostazioni avanzate facendo clic su Runtime, build...
Nella sezione Connessioni, in Impostazioni in uscita, seleziona un connettore di accesso VPC serverless.
Seleziona l'impostazione di traffico in uscita appropriata in base a come intendi indirizzare per il traffico in uscita tramite il connettore.

gcloud

Utilizza il comando gcloud functions deploy per eseguire il deployment o aggiornare e specifica la funzione --egress-settings Segnala:

  gcloud functions deploy FUNCTION_NAME 

  --vpc-connector CONNECTOR_NAME 

  --egress-settings EGRESS_SETTINGS 

  FLAGS...

dove:

FUNCTION_NAME è il nome della funzione.
CONNECTOR_NAME è il nome del Connettore di accesso VPC serverless da utilizzare. Consulta le Documentazione di gcloud per ulteriori informazioni.

Nota: puoi omettere il flag --vpc-connector se stai aggiornando il traffico in uscita su una funzione esistente che ha già un connettore.
EGRESS_SETTINGS è uno dei valori supportati per le impostazioni di uscita: consulta la documentazione di gcloud.
FLAGS... fa riferimento ad altri flag passati al comando deploy.

Esempi di casi d'uso

Gli esempi riportati di seguito mostrano come configurare l'accesso alla rete in diversi scenari comuni.

Creazione di una funzione che non può essere chiamata da client esterni

Puoi proteggere le funzioni HTTP consentendone di essere chiamate solo nello stesso progetto Google Cloud Perimetro di servizio Controlli di servizio VPC.

Esegui il deployment della funzione e consenti solo il traffico interno. Utilizza la console Google Cloud o Google Cloud CLI:
Console
1. Apri la pagina Panoramica di Functions nella console Google Cloud:
  
  Vai alle funzioni di Cloud Run nella pagina Panoramica
2. Fai clic su Crea funzione. In alternativa, fai clic su un modello per accedere alla relativa pagina dei dettagli e fai clic su Modifica.
3. Espandi le impostazioni avanzate facendo clic su Runtime, build...
4. Nella sezione Connessioni, in Impostazioni Ingress, Seleziona Consenti solo traffico interno.
gcloud
Usa il comando gcloud functions deploy:
```
gcloud functions deploy FUNCTION_NAME \
--ingress-settings internal-only \
FLAGS...
```

Dopo aver eseguito il deployment della funzione, le richieste provenienti dall'esterno del progetto Google Cloud vengono bloccate e non possono raggiungere la funzione. Se utilizzi Controlli di servizio VPC, le richieste dall'esterno del perimetro di servizio bloccato. Le istanze VM all'interno del perimetro del progetto o di servizio possono raggiungere la funzione inviando richieste al relativo endpoint HTTPS.

Se vuoi chiamare questa funzione limitata da un'altra funzione, la funzione di chiamata deve instradare il traffico in uscita attraverso la rete VPC.

Utilizzo delle impostazioni di traffico in entrata e in uscita per limitare l'accesso

Puoi incorporare sia l'ingresso sia l'uscita nei tuoi servizi per aggiungere un ulteriore livello di limitazione.

Clona il repository cloud-run-sample e passa alla directory vpc-sample:

git clone https://github.com/GoogleCloudPlatform/cloud-run-samples
cd vpc-sample

Installa le dipendenze Python:
```
pip3 install -r requirements.txt
```
Puoi aprire il file main.py nella directory vpc-sample per vedere la funzione che stai implementando:
```
def hello_world(request):
    return "Hello World!"
```

Esegui il deployment della funzione:

gcloud functions deploy restricted-function 

  --runtime=python38 

  --trigger-http 

  --no-allow-unauthenticated 

  --ingress-settings=internal-only 

  --entry-point=hello_world

Configura un connettore di accesso VPC serverless:
```
gcloud compute networks vpc-access connectors create serverless-connector 

  --region=SERVICE_REGION 

  --range=10.8.0.0/28
```
dove SERVICE_REGION è una regione per il connettore; Questo deve corrispondere alla regione del tuo servizio serverless. Se il tuo servizio si trova nella regione us-central o europe-west, utilizza us-central1 o europe-west1.

Crea la tua immagine container:

gcloud builds submit --tag=gcr.io/PROJECT_ID/restricted-function-caller .

dove PROJECT_ID è l'ID progetto.

Questa operazione crea un'immagine container che richiama get_hello_world quando viene eseguito il deployment dal file main.py:

import os
import urllib

import google.auth.transport.requests
import google.oauth2.id_token


def get_hello_world(request):
    try:
        url = os.environ.get("URL")
        req = urllib.request.Request(url)

        auth_req = google.auth.transport.requests.Request()
        id_token = google.oauth2.id_token.fetch_id_token(auth_req, url)
        req.add_header("Authorization", f"Bearer {id_token}")

        response = urllib.request.urlopen(req)
        return response.read()

    except Exception as e:
        print(e)
        return str(e)

Utilizza il comando gcloud run deploy run-function per eseguire il deployment del container Cloud Run:
```
  gcloud run deploy run-function 

    --image gcr.io/PROJECT_ID/restricted-function-caller 

    --no-allow-unauthenticated 

    --update-env-vars=URL=https://SERVICE_REGION-PROJECT_ID.cloudfunctions.net/restricted-function-caller 

    --vpc-egress=all 

    --vpc-connector=serverless-connector 

    --region=SERVICE_REGION
```
dove:
- PROJECT_ID è l'ID progetto.
- SERVICE_REGION è una regione per il connettore; deve corrispondere alla regione del servizio serverless. Se il tuo servizio si trova nella regione us-central o europe-west, utilizza us-central1 o europe-west1.
Il servizio run-function di Cloud Run è ora impostato per inviare una richiesta GET dal connettore VPC alla funzione limitata di rete.

Routing in uscita della funzione tramite la rete VPC

Le reti VPC in Google Cloud supportano un ampio insieme di configurazioni e funzionalità di rete. Instradando il traffico in uscita dalla funzione alla rete VPC, puoi assicurarti che il traffico in uscita delle funzioni Cloud Run rispetti il firewall, il DNS, il routing e altre regole della rete VPC e puoi utilizzare prodotti come Cloud NAT.

Configura una rete VPC. Configura un modello esistente rete VPC o creane una nuova seguendo la guida all'indirizzo Utilizzo delle reti VPC.
Configura un connettore di accesso VPC serverless. Le funzioni Cloud Run richiedono un connettore di accesso VPC serverless per instradare il traffico nella rete VPC. Crea un connettore e configura le autorizzazioni appropriate seguendo le istruzioni riportate in Connessione a una rete VPC.
Esegui il deployment di una funzione che utilizza il connettore e instrada il traffico in uscita attraverso il connettore. Utilizza la console Google Cloud o lo strumento a riga di comando gcloud:
Console
1. Apri la pagina Panoramica di Functions nella console Google Cloud:
  
  Vai alle funzioni di Cloud Run nella pagina Panoramica
2. Fai clic su Crea funzione. In alternativa, fai clic su un modello per accedere alla relativa pagina dei dettagli e fai clic su Modifica.
3. Espandi le impostazioni avanzate facendo clic su Runtime, build ....
4. Nella sezione Connessioni, in Impostazioni di uscita, seleziona il connettore di accesso VPC serverless e Instrada tutto il traffico attraverso il connettore VPC.
gcloud
Utilizza il comando gcloud functions deploy:
```
gcloud functions deploy FUNCTION_NAME \
--vpc-connector CONNECTOR_NAME \
--egress-settings all \
FLAGS...
```

Dopo aver eseguito il deployment della funzione, tutto il traffico proveniente dalla funzione viene instradato tramite la rete VPC e rispetta le regole impostate sulla rete VPC. Tieni presente che la tua funzione non può accedere alla rete internet pubblica, a meno che configurare Cloud NAT. Inoltre, tieni presente Cloud NAT per mappare tutti gli intervalli IP primari e secondari per le subnet al gateway NAT, per includere la subnet del connettore il mapping.

Associazione del traffico in uscita della funzione a un indirizzo IP statico

In alcuni casi, potresti voler associare il traffico proveniente dalla tua funzione a un indirizzo IP statico. Ad esempio, è utile se stai chiamando un servizio esterno che consente richieste solo da indirizzi IP specificati esplicitamente.

Instrada il traffico in uscita della funzione attraverso la rete VPC. Vedi la sezione precedente, Traffico della funzione di routing in uscita attraverso la rete VPC.
Configura Cloud NAT e specifica un indirizzo IP statico. Segui le guide su Specifica gli intervalli di subnet per NAT e Specifica gli indirizzi IP per NAT per configurare Cloud NAT per la subnet associata al database della funzione Connettore di accesso VPC serverless. Cloud NAT deve mappare tutti gli intervalli IP principali e secondari per tutte le subnet al gateway NAT per includere la subnet del connettore nella mappatura.

Bilanciamento del carico su più regioni

Puoi eseguire il deployment di una funzione in regioni diverse e consentire che la richiesta venga inviati alla regione integro più vicino. Per farlo, devi configurare un gruppo di endpoint di rete (NEG) serverless per la funzione e collegarlo a un bilanciatore del carico, come descritto in Configurare un bilanciatore del carico HTTP(S) con NEG serverless.