Connectors im freigegebenen VPC-Hostprojekt konfigurieren

Wenn Ihre Organisation eine freigegebene VPC verwendet, können Sie Connectors für den serverlosen VPC-Zugriff entweder im Dienstprojekt oder im Hostprojekt einrichten. In dieser Anleitung wird beschrieben, wie ein Connector im Hostprojekt eingerichtet wird.

Informationen zum Einrichten eines Connectors in einem Dienstprojekt finden Sie unter Connectors in Dienstprojekten konfigurieren. Weitere Informationen zu den Vorteilen der einzelnen Methoden finden Sie unter Verbindung zu einem freigegebenen VPC-Netzwerk herstellen.

Hinweis

  1. Prüfen Sie die IAM-Rollen (Identity and Access Management) für das Konto, das Sie derzeit verwenden. Das aktive Konto muss die folgenden Rollen für das Hostprojekt haben:

  2. Wählen Sie das Hostprojekt in Ihrer bevorzugten Umgebung aus.

Console

  1. Öffnen Sie das Dashboard der Google Cloud Console.

    Zum Google Cloud Console-Dashboard

  2. Klicken Sie in der Menüleiste oben im Dashboard auf das Projekt-Drop-down-Menü und wählen Sie das Hostprojekt aus.

gcloud

Legen Sie das Standardprojekt in der gcloud CLI auf das Hostprojekt fest. Führen Sie dazu im Terminal Folgendes aus:

gcloud config set project HOST_PROJECT_ID

Dabei gilt:

  • HOST_PROJECT_ID: die ID des freigegebenen VPC-Hostprojekts

Erstellen eines Connectors für Serverless VPC Access

Damit Sie Anfragen an Ihr VPC-Netzwerk senden und die entsprechenden Antworten empfangen können, müssen Sie einen Connector für serverlosen VPC-Zugriff erstellen. Sie können einen Connector mit der Google Cloud Console, der Google Cloud CLI oder Terraform erstellen:

Console

  1. Aktivieren Sie die Serverless VPC Access API für Ihr Projekt.

    API aktivieren

  2. Rufen Sie die Übersichtsseite für serverlosen VPC-Zugriff auf:

    Zur Seite „Serverloser VPC-Zugriff“

  3. Klicken Sie auf Connector erstellen.

  4. Geben Sie im Feld Name einen Namen für den Connector ein. Der Name muss der Compute Engine-Namenskonvention entsprechen und weniger als 21 Zeichen umfassen. Bindestriche (-) zählen als zwei Zeichen.

  5. Wählen Sie im Feld Region eine Region für den Connector aus. Sie muss mit der Region des serverlosen Dienstes übereinstimmen.

    Wenn sich Ihr Dienst in der Region us-central oder europe-west befindet, verwenden Sie us-central1 oder europe-west1.

  6. Wählen Sie im Feld Netzwerk das VPC-Netzwerk aus, an das der Connector angehängt werden soll.

  7. Klicken Sie auf das Drop-down-Menü Subnetzwerk:

    Wählen Sie ein nicht verwendetes /28-Subnetz aus.

    • Subnetze müssen ausschließlich vom Connector verwendet werden. Sie können nicht von anderen Ressourcen wie VMs, Private Service Connect oder Load-Balancern verwendet werden.
    • Wenn Ihr Subnetz nicht für Private Service Connect oder internes Cloud-Load-Balancing verwendet wird, prüfen Sie, ob das purpose-Subnetz PRIVATE ist. Führen Sie dazu den folgenden Befehl in der gcloud CLI aus:
      gcloud compute networks subnets describe SUBNET_NAME
      
      Ersetzen Sie SUBNET_NAME durch den Namen Ihres Subnetzes.
  8. (Optional) Wenn Sie Skalierungsoptionen für zusätzliche Kontrolle über den Connector festlegen möchten, klicken Sie auf Skalierungseinstellungen anzeigen, um das Skalierungsformular anzuzeigen:

    1. Legen Sie die minimale und maximale Anzahl von Instanzen für den Connector fest oder verwenden Sie die Standardwerte von 2 (Min.) und 10 (Max.). Der Connector wird bei steigendem Traffic horizontal auf das angegebene Maximum hochskaliert, bei sinkendem Traffic wird der Connector jedoch nicht zurückskaliert. Sie müssen Werte zwischen 2 und 10 verwenden und der MIN-Wert muss kleiner als der MAX-Wert sein.
    2. Wählen Sie im Drop-down-Menü Instanztyp den Maschinentyp aus, der für den Connector verwendet werden soll, oder verwenden Sie den Standardwert e2-micro. Beachten Sie die Seitenleiste zu den Kosten auf der linken Seite, wenn Sie den Instanztyp auswählen, der die Bandbreiten- und Kostenschätzungen anzeigt:
  9. Klicken Sie auf Erstellen.

  10. Neben dem Namen des Connectors wird ein grünes Häkchen angezeigt, sobald er verwendet werden kann.

gcloud

  1. Aktualisieren Sie die Komponenten von gcloud auf die neueste Version:

    gcloud components update
    
  2. Aktivieren Sie die Serverless VPC Access API für Ihr Projekt:

    gcloud services enable vpcaccess.googleapis.com
    
  3. Erstellen Sie einen Connector für serverlosen VPC-Zugriff:

    gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
    --region=REGION \
    --subnet=SUBNET \
    --subnet-project=HOST_PROJECT_ID \
    # Optional: specify minimum and maximum instance values between 2 and 10, default is 2 min, 10 max.
    --min-instances=MIN \
    --max-instances=MAX \
    # Optional: specify machine type, default is e2-micro
    --machine-type=MACHINE_TYPE

    Dabei gilt:

    • CONNECTOR_NAME: Name des Connectors. Der Name muss der Compute Engine-Namenskonvention entsprechen und weniger als 21 Zeichen umfassen. Bindestriche (-) zählen als zwei Zeichen.
    • REGION: Region für den Connector. Dies muss der Region Ihres serverlosen Dienstes entsprechen. Wenn sich Ihr Dienst in der Region us-central oder europe-west befindet, verwenden Sie us-central1 oder europe-west1.
    • SUBNET: der Name eines nicht verwendeten /28-Subnetzes.
      • Subnetze müssen ausschließlich vom Connector verwendet werden. Sie können nicht von anderen Ressourcen wie VMs, Private Service Connect oder Load-Balancern verwendet werden.
      • Wenn Ihr Subnetz nicht für Private Service Connect oder Cloud-Load-Balancing verwendet wird, prüfen Sie, ob das purpose-Subnetz PRIVATE ist. Führen Sie dazu den folgenden Befehl in der gcloud CLI aus:
        gcloud compute networks subnets describe SUBNET_NAME
        
        Ersetzen Sie Folgendes:
        • SUBNET_NAME: der Name Ihres Subnetzes
    • HOST_PROJECT_ID: die ID des Hostprojekts
    • MIN: Die Mindestanzahl der Instanzen, die für den Connector verwendet werden sollen. Verwenden Sie eine Ganzzahl zwischen 2 und 9. Der Standardwert ist 2. Weitere Informationen zur Skalierung von Connectors finden Sie unter Durchsatz und Skalierung.
    • MAX: Die maximale Anzahl von Instanzen, die für den Connector verwendet werden sollen. Verwenden Sie eine Ganzzahl zwischen 3 und 10. Der Standardwert ist 10. Wenn es der Traffic erfordert, wird der Connector auf [MAX] Instanzen skaliert, nicht jedoch wieder herunterskaliert. Weitere Informationen zur Skalierung von Connectors finden Sie unter Durchsatz und Skalierung.
    • MACHINE_TYPE: f1-micro, e2-micro oder e2-standard-4. Weitere Informationen zum Connector-Durchsatz, einschließlich Maschinentyp und Skalierung, finden Sie unter Durchsatz und Skalierung.

    Weitere Informationen und optionale Argumente finden Sie in der gcloud-Referenz.

  4. Prüfen Sie vor der Verwendung des Connectors, ob sein Status READY lautet:

    gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \
    --region=REGION

    Dabei gilt:

    • CONNECTOR_NAME: Der Name Ihres Connectors; dies ist der Name, den Sie im vorherigen Schritt angegeben haben
    • REGION: Region Ihres Connectors; dies ist die Region, die Sie im vorherigen Schritt angegeben haben

    Die Ausgabe sollte die Zeile state: READY enthalten.

Terraform

Sie können eine Terraform-Ressource verwenden, um die vpcaccess.googleapis.com API zu aktivieren.

resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

Sie können Terraform-Module verwenden, um ein VPC-Netzwerk und ein Subnetz zu erstellen. Danach können Sie den Connector erstellen.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  version    = "~> 9.0"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

Cloud Run-Funktionen für das Dienstprojekt aktivieren

Aktivieren Sie die Cloud Run Functions API für das Dienstprojekt. Dies ist erforderlich, um in nachfolgenden Schritten IAM-Rollen hinzuzufügen und damit das Dienstprojekt Cloud Run-Funktionen verwenden kann.

Console

  1. Öffnen Sie die Seite für die Cloud Run Functions API.

    Cloud Run Functions API

  2. Klicken Sie in der Menüleiste oben im Dashboard auf das Drop-down-Menü des Projekts und wählen Sie das Dienstprojekt aus.

  3. Klicken Sie auf Aktivieren.

gcloud

Führen Sie im Terminal folgenden Befehl aus:

gcloud services enable cloudfunctions.googleapis.com --project=SERVICE_PROJECT_ID

Dabei gilt:

  • SERVICE_PROJECT_ID: die ID des Dienstprojekts

Zugriff auf den Connector gewähren

Ermöglichen Sie den Zugriff auf den Connector. Weisen Sie dazu dem Dienstprojekt im Hostprojekt die IAM-Rolle Nutzer von serverlosem VPC-Zugriff des Cloud Run-Dienst-Agents zu. Sie müssen dem Cloud Run-Dienst-Agent dieselbe Rolle zuweisen.

Console

  1. Öffnen Sie die IAM-Seite.

    Seite „IAM“

  2. Klicken Sie auf das Projekt-Drop-down-Menü und wählen Sie das Hostprojekt aus.

  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Cloud Run-Dienst-Agents für das Dienstprojekt ein:

    service-SERVICE_PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com

    Ersetzen Sie Folgendes:

    • SERVICE_PROJECT_NUMBER: die Projektnummer, die dem Dienstprojekt zugeordnet ist. Diese unterscheidet sich von der Projekt-ID. Sie finden die Projektnummer in der Google Cloud Console auf der Seite Projekteinstellungen des Dienstprojekts.
  5. Geben Sie im Feld Neue Hauptkonten auch die E-Mail-Adresse des Cloud Run-Dienst-Agents für das Dienstprojekt ein:

    service-SERVICE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com

  6. Wählen Sie im Feld Rolle die Option Nutzer von serverlosem VPC-Zugriff aus.

  7. Klicken Sie auf Speichern.

gcloud

  1. Führen Sie in Ihrem Terminal den folgenden Befehl aus:

    gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com \
    --role=roles/vpcaccess.user
    

    Dabei gilt:

    • HOST_PROJECT_ID: die ID des freigegebenen VPC-Hostprojekts
    • SERVICE_PROJECT_NUMBER: die Projektnummer, die dem Dienstprojekt zugeordnet ist. Diese unterscheidet sich von der Projekt-ID. Sie können die Projektnummer ermitteln. Führen Sie dazu den folgenden Befehl aus:

      gcloud projects describe SERVICE_PROJECT_ID
      
  2. Weisen Sie die Rolle dem Cloud Run-Dienst-Agent auch zu, indem Sie den folgenden Befehl ausführen:

    gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com \
    --role=roles/vpcaccess.user
    

Connector sichtbar machen

In der IAM-Richtlinie des Hostprojekts müssen Sie den Hauptkonten, die Cloud Run-Dienste bereitstellen, die folgenden zwei vordefinierten Rollen zuweisen:

Alternativ können Sie benutzerdefinierte Rollen oder andere vordefinierte Rollen verwenden, die alle Berechtigungen der Rolle „Betrachter von serverlosem VPC-Zugriff“ (vpcaccess.viewer) enthalten.

Console

  1. Öffnen Sie die IAM-Seite.

    Seite „IAM“

  2. Klicken Sie auf das Projekt-Drop-down-Menü und wählen Sie das Hostprojekt aus.

  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, das den Connector aus dem Dienstprojekt sehen soll. In diesem Feld können Sie mehrere E-Mail-Adressen eingeben.

  5. Wählen Sie im Feld Rolle die folgenden beiden Rollen aus:

    • Betrachter von serverlosem VPC-Zugriff
    • Compute-Netzwerkbetrachter
  6. Klicken Sie auf Speichern.

gcloud

Führen Sie im Terminal die folgenden Befehle aus:

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/vpcaccess.viewer

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/compute.networkViewer

Dabei gilt:

Funktion für die Verwendung des Connectors konfigurieren

Für jede Funktion, die Zugriff auf die freigegebene VPC benötigt, müssen Sie den Connector für die Funktion angeben. In den folgenden Schritten wird gezeigt, wie Sie die Funktion für die Verwendung eines Connectors konfigurieren.

Console

  1. Öffnen Sie die Übersichtsseite zu Cloud Run-Funktionen.

    Zu den Cloud Run-Funktionen

  2. Klicken Sie auf das Projekt-Drop-down-Menü und wählen Sie das Dienstprojekt aus.

  3. Klicken Sie auf Funktion erstellen. Klicken Sie alternativ auf eine vorhandene Funktion, um deren Detailseite aufzurufen, und klicken dann auf Bearbeiten.

  4. Maximieren Sie die erweiterten Einstellungen durch Klicken auf Laufzeit, Build....

  5. Wählen Sie auf dem Tab Verbindungen unter „Einstellungen für ausgehenden Traffic“ den Connector im Feld VPC-Connector aus.

gcloud

  1. Legen Sie die gcloud CLI fest, um das Projekt zu verwenden, das die Funktion enthält:

    gcloud config set project PROJECT_ID
    Ersetzen Sie Folgendes:

    • PROJECT_ID: Die ID des Projekts, das die Funktion enthält, die Zugriff auf die freigegebene VPC benötigt. Befindet sich die Funktion im Hostprojekt, ist dies die Hostprojekt-ID. Wenn sich die Funktion in einem Dienstprojekt befindet, ist dies die Dienstprojekt-ID.
  2. Verwenden Sie das Flag --vpc-connector und stellen Sie die Funktion bereit:

    gcloud functions deploy FUNCTION_NAME --vpc-connector=CONNECTOR_NAME
    

Dabei gilt:

  • FUNCTION_NAME: Der Name Ihrer Funktion.
  • CONNECTOR_NAME: der Name des Connectors. Verwenden Sie den voll qualifizierten Namen bei der Bereitstellung aus einem freigegebenen VPC-Dienstprojekt (im Gegensatz zum Hostprojekt), z. B.:
    projects/HOST_PROJECT_ID/locations/CONNECTOR_REGION/connectors/CONNECTOR_NAME
    dabei ist HOST_PROJECT_ID die ID des Hostprojekts, CONNECTOR_REGION die Region des Connectors und CONNECTOR_NAME der Name, den Sie dem Connector gegeben haben.

Weitere Informationen dazu, wie Sie besser steuern können, welche Anfragen über den Connector weitergeleitet werden, finden Sie unter Einstellungen für ausgehenden Traffic.

Nächste Schritte