VPC mit Connectors

Sie können Ihren Cloud Run-Dienst oder -Job aktivieren, um Traffic an ein VPC-Netzwerk zu senden. Konfigurieren Sie dazu einen Connector für serverlosen VPC-Zugriff.

Vorbereitung

Wenn Sie in Ihrem Projekt noch kein VPC-Netzwerk haben, erstellen Sie eins.
Wenn Sie eine freigegebene VPC verwenden, finden Sie weitere Informationen unter Verbindung zu einem freigegebenen VPC-Netzwerk herstellen.
Prüfen Sie in der Google Cloud Console, ob die Serverless VPC Access API für Ihr Projekt aktiviert ist.

API aktivieren
Jeder Connector für serverlosen VPC-Zugriff benötigt ein eigenes /28-Subnetz, um Connector-Instanzen zu platzieren. Dieses Subnetz darf keine anderen Ressourcen außer dem Connector enthalten. Wenn Sie keine freigegebene VPC verwenden, können Sie entweder ein Subnetz für den zu verwendenden Connector erstellen oder einen nicht verwendeten benutzerdefinierten IP-Bereich für den Connector angeben, um ein Subnetz für dessen Verwendung zu erstellen. Wenn Sie den benutzerdefinierten IP-Bereich auswählen, wird das erstellte Subnetz ausgeblendet und kann nicht in Firewallregeln und NAT-Konfigurationen verwendet werden.

Connector erstellen

Wenn Sie Anfragen an Ihr VPC-Netzwerk senden und die entsprechenden Antworten ohne das öffentliche Internet erhalten möchten, können Sie einen Connector für serverlosen VPC-Zugriff verwenden.

Sie können einen Connector mit der Google Cloud Console, der Google Cloud CLI oder Terraform erstellen:

Console

Rufen Sie die Übersichtsseite für serverlosen VPC-Zugriff auf:

Zur Seite „Serverloser VPC-Zugriff“
Klicken Sie auf Connector erstellen.
Geben Sie im Feld Name einen Namen für den Connector ein. Dies muss der Namenskonvention von Compute Engine entsprechen, mit der zusätzlichen Einschränkung, dass es weniger als 21 Zeichen sein müssen, wobei Bindestriche (-) als zwei Zeichen gezählt werden.
Wählen Sie im Feld Region eine Region für den Connector aus. Sie muss mit der Region des serverlosen Dienstes übereinstimmen.

Wenn sich Ihr Dienst oder Job in der Region us-central oder europe-west befindet, verwenden Sie us-central1 oder europe-west1.
Wählen Sie im Feld Netzwerk das VPC-Netzwerk aus, an das der Connector angehängt werden soll.
Klicken Sie auf das Menü Subnetz. Jeder Connector benötigt ein eigenes /28-Subnetz, um Connector-Instanzen zu platzieren. Ein Subnetz kann nicht von anderen Ressourcen wie VMs, Private Service Connect oder Load-Balancern verwendet werden.
- Wenn Sie eine freigegebene VPC verwenden, bei der Sie Ihr eigenes Subnetz verwenden müssen, wählen Sie ein nicht verwendetes /28-Subnetz aus. Wenn Ihr Subnetz nicht für Private Service Connect oder Cloud Load Balancing verwendet wird, prüfen Sie, ob das purpose-Subnetz PRIVATE ist. Führen Sie dazu den folgenden Befehl in der gcloud CLI aus:
```
gcloud compute networks subnets describe SUBNET
```
  Ersetzen Sie:
  - SUBNET: der Name Ihres Subnetzes
- Wenn Sie keine freigegebene VPC verwenden, erstellen Sie ein Subnetz für den Connector oder lassen Sie den Connector ein Subnetz erstellen. Wählen Sie dazu im Menü die Option Benutzerdefinierter IP-Bereich aus.
- Geben Sie im Feld IP-Bereich einen nicht reservierten CIDR -/28-Bereich für eine interne IP-Adresse ein. Dieser IP-Bereich darf sich nicht mit vorhandenen IP-Adressreservierungen im VPC-Netzwerk überschneiden. 10.8.0.0 (/28) funktioniert beispielsweise in den meisten neuen Projekten.
- Das erstellte Subnetz ist ausgeblendet und kann nicht in Firewallregeln und NAT-Konfigurationen verwendet werden.
- Sehen Sie sich an, welche IP-Bereiche derzeit in der Google Cloud Console reserviert sind.
- Mit Subnetzen arbeiten
(Optional) Wenn Sie Skalierungsoptionen für zusätzliche Kontrolle über den Connector festlegen möchten, klicken Sie auf Skalierungseinstellungen anzeigen, um das Skalierungsformular anzuzeigen:
1. Legen Sie die minimale und maximale Anzahl von Instanzen für den Connector fest oder verwenden Sie die Standardwerte von 2 (Min.) und 10 (Max.). Der Connector skaliert horizontal auf den angegebenen Maximalwert, wenn die Traffic-Nutzung es erfordert, der Connector skaliert jedoch nicht zurück, wenn der Traffic abnimmt. Sie müssen Werte zwischen 2 und 10 verwenden.
2. Wählen Sie im Menü Instanztyp den Maschinentyp aus, der für den Connector verwendet werden soll, oder verwenden Sie den Standardwert e2-micro. Beachten Sie die Seitenleiste zu den Kosten auf der linken Seite, wenn Sie den Instanztyp auswählen, der die Bandbreiten- und Kostenschätzungen anzeigt:
Klicken Sie auf Erstellen.
Neben dem Namen des Connectors wird ein grünes Häkchen angezeigt, sobald er verwendet werden kann.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Aktualisieren Sie die Komponenten von gcloud auf die neueste Version:
```
gcloud components update
```
Die Serverless VPC Access API muss für das Projekt aktiviert sein:
```
gcloud services enable vpcaccess.googleapis.com
```
Wenn Sie eine freigegebene VPC verwenden, für die Sie ein eigenes Subnetz verwenden müssen, erstellen Sie einen Connector mit dem folgenden Befehl:
```
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
--region REGION \
--subnet SUBNET \
# If you are not using Shared VPC, omit the following line.
--subnet-project HOST_PROJECT_ID \
# Optional: specify minimum and maximum instance values between 2 and
10, default is 2 min, 10 max.
--min-instances MIN \
--max-instances MAX \
# Optional: specify machine type, default is e2-micro
--machine-type MACHINE_TYPE
```
Ersetzen Sie Folgendes:
- CONNECTOR_NAME: Name des Connectors. Dies muss der Namenskonvention von Compute Engine entsprechen, mit der zusätzlichen Einschränkung, dass es weniger als 21 Zeichen sein müssen, wobei Bindestriche (-) als zwei Zeichen gezählt werden.
- REGION: Eine Region für Ihren Connector. Diese muss mit der Region Ihres serverlosen Dienstes oder Jobs übereinstimmen. Wenn sich Ihr Dienst oder Job in der Region us-central oder europe-west befindet, verwenden Sie us-central1 oder europe-west1.
- SUBNET: der Name eines nicht verwendeten /28-Subnetzes.
  - Subnetze müssen ausschließlich vom Connector verwendet werden. Sie können nicht von anderen Ressourcen wie VMs, Private Service Connect oder Load-Balancern verwendet werden.
  - Wenn Ihr Subnetz nicht für Private Service Connect oder Cloud-Load-Balancing verwendet wird, prüfen Sie, ob das purpose-Subnetz PRIVATE ist. Führen Sie dazu den folgenden Befehl in der gcloud CLI aus:
```
gcloud compute networks subnets describe SUBNET
```
    Ersetzen Sie:
    - SUBNET: Der Name Ihres Subnetzes.
  - Mit Subnetzen arbeiten
- HOST_PROJECT_ID: Die ID des Hostprojekts; geben Sie diese nur an, wenn Sie eine freigegebene VPC verwenden
- MIN: die Mindestanzahl von Instanzen, die für den Connector verwendet werden sollen. Verwenden Sie eine Ganzzahl zwischen 2 und 9. Der Standardwert ist 2. Weitere Informationen zur Skalierung von Connectors finden Sie unter Durchsatz und Skalierung.
- MAX: die maximale Anzahl von Instanzen, die für den Connector verwendet werden sollen. Verwenden Sie eine Ganzzahl zwischen 3 und 10. Der Standardwert ist 10. Wenn es der Traffic erfordert, wird der Connector auf [MAX] Instanzen skaliert, nicht jedoch wieder herunterskaliert. Weitere Informationen zur Skalierung von Connectors finden Sie unter Durchsatz und Skalierung.
- MACHINE_TYPE: f1-micro, e2-micro oder e2-standard-4. Weitere Informationen zum Connector-Durchsatz, einschließlich Maschinentyp und Skalierung, finden Sie unter Durchsatz und Skalierung.
Weitere Informationen und optionale Argumente finden Sie in der gcloud-Referenz.
Wenn Sie keine freigegebene VPC verwenden und anstelle eines vorhandenen Subnetzes einen benutzerdefinierten IP-Bereich angeben möchten, erstellen Sie mit dem folgenden Befehl einen Connector:
```
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
--network VPC_NETWORK \
--region REGION \
--range IP_RANGE
```
Ersetzen Sie Folgendes:
- CONNECTOR_NAME: Name des Connectors. Dies muss der Namenskonvention von Compute Engine entsprechen, mit der zusätzlichen Einschränkung, dass es weniger als 21 Zeichen sein müssen, wobei Bindestriche (-) als zwei Zeichen gezählt werden.
- VPC_NETWORK: Das VPC-Netzwerk, an das der Connector angehängt wird.
- REGION: Eine Region für den Connector. Sie muss mit der Region des serverlosen Dienstes oder Jobs übereinstimmen. Wenn sich Ihr Dienst oder Job in der Region us-central oder europe-west befindet, verwenden Sie us-central1 oder europe-west1.
- IP_RANGE: Ein nicht reserviertes internes IP-Netzwerk. Es ist nicht zugewiesener Speicherplatz in einem Umfang von /28 erforderlich. Der angegebene Wert ist das Netzwerk in CIDR-Notation (10.8.0.0/28). Dieser IP-Bereich darf sich nicht mit vorhandenen IP-Adressreservierungen im VPC-Netzwerk überschneiden. 10.8.0.0/28 funktioniert beispielsweise in den meisten neuen Projekten. Das für diesen Bereich erstellte Subnetz ist ausgeblendet und kann nicht in Firewallregeln und NAT-Konfigurationen verwendet werden.
Hinweis: In der Google Cloud Console sehen Sie, welche IP-Bereiche derzeit reserviert sind.
Weitere Informationen und optionale Argumente wie Durchsatzkontrollen finden Sie in der gcloud-Referenz.
Prüfen Sie vor der Verwendung des Connectors, ob sein Status READY lautet:
```
gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \
--region REGION
```
Ersetzen Sie Folgendes:
- CONNECTOR_NAME: Der Name Ihres Connectors; dies ist der Name, den Sie im vorherigen Schritt angegeben haben.
- REGION: Region Ihres Connectors; dies ist die Region, die Sie im vorherigen Schritt angegeben haben.
Die Ausgabe sollte die Zeile state: READY enthalten.

Terraform

Sie können eine Terraform-Ressource verwenden, um die vpcaccess.googleapis.com API zu aktivieren.

resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

Sie können Terraform-Module verwenden, um ein VPC-Netzwerk und ein Subnetz zu erstellen. Danach können Sie den Connector erstellen.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  version    = "~> 9.0"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

Dienst konfigurieren

Sie können Ihren Cloud Run-Dienst so konfigurieren, dass ein Connector für serverlosen VPC-Zugriff zum Senden von ausgehendem Traffic verwendet wird. Verwenden Sie dazu in der Google Cloud Console, der Google Cloud CLI oder der YAML-Datei, neuen Dienst erstellen oder Neue Überarbeitung bereitstellen:

Console

Rufen Sie in der Google Cloud Console Cloud Run auf.

Öffnen Sie Cloud Run.
Klicken Sie auf Dienst erstellen, wenn Sie einen neuen Dienst für die Bereitstellung konfigurieren. Wenn Sie einen vorhandenen Dienst konfigurieren möchten, klicken Sie auf den Dienst und dann auf Neue Überarbeitung bearbeiten und bereitstellen.
Wenn Sie einen neuen Dienst konfigurieren, füllen Sie die Seite mit den anfänglichen Diensteinstellungen wie gewünscht aus und klicken Sie dann auf Container, Netzwerk, Sicherheit, um die Seite zur Dienstkonfiguration zu maximieren.
Klicken Sie auf den Tab Netzwerk.
- Wählen Sie im Feld Netzwerk eine der folgenden Optionen aus dem Menü aus:
  - Wählen Sie Keine aus, um die Verbindung Ihres Dienstes mit einem VPC-Netzwerk zu trennen.
  - Wenn Sie einen vorhandenen Connector verwenden möchten, wählen Sie ihn aus der Drop-down-Liste aus oder wählen Sie Benutzerdefiniert aus, um einen vorhandenen Connector zu verwenden, der nicht in der Drop-down-Liste enthalten ist.
  - Wählen Sie zum Erstellen eines neuen Connectors Neuen VPC-Connector hinzufügen aus. Weitere Informationen zum Erstellen eines Connectors finden Sie unter Connector für serverlosen VPC-Zugriff erstellen.
  - Wählen Sie für Traffic-Routing eine der folgenden Optionen:
    - Nur Anfragen an private IPs an die VPC weiterleiten, mit denen nur Traffic an interne Adressen über das VPC-Netzwerk gesendet werden soll.
    - Gesamten Traffic an die VPC weiterleiten, um den gesamten ausgehenden Traffic über das VPC-Netzwerk zu senden.
Klicken Sie auf Erstellen oder Bereitstellen.

gcloud

Verwenden Sie das Flag --vpc-connector, um einen Connector während der Bereitstellung anzugeben:

gcloud run deploy SERVICE --image IMAGE_URL --vpc-connector CONNECTOR_NAME

Ersetzen Sie:

SERVICE durch den Namen des Dienstes.
IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest. Wenn Sie Artifact Registry verwenden, muss das Repository REPO_NAME bereits erstellt sein. Die URL hat die Form LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG.
CONNECTOR_NAME ist der Name des Connectors.

Verwenden Sie den Befehl gcloud run services update, gegebenenfalls mit einem der folgenden Flags, um einen Connector für einen vorhandenen Dienst hinzuzufügen, zu aktualisieren oder zu entfernen:

So fügen Sie beispielsweise einen Connector hinzu oder aktualisieren ihn:

gcloud run services update SERVICE --vpc-connector CONNECTOR_NAME

Ersetzen Sie:

SERVICE durch den Namen des Dienstes.
CONNECTOR_NAME ist der Name des Connectors.

YAML

Wenn Sie einen neuen Dienst erstellen, überspringen Sie diesen Schritt. Wenn Sie einen vorhandenen Dienst aktualisieren, laden Sie die zugehörige YAML-Konfiguration herunter:
```
gcloud run services describe SERVICE --format export > service.yaml
```
Fügen Sie das Attribut run.googleapis.com/vpc-access-connector unter dem Attribut annotations unter dem übergeordneten Attribut spec hinzu oder aktualisieren Sie es:
```
apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: SERVICE
spec:
  template:
    metadata:
      annotations:
        run.googleapis.com/vpc-access-connector: CONNECTOR_NAME
      name: REVISION
```
Ersetzen Sie:
- SERVICE durch den Namen Ihres Cloud Run-Dienstes
- CONNECTOR_NAME ist der Name des Connectors.
- REVISION durch einen neuen Überarbeitungsnamen oder löschen (falls vorhanden). Wenn Sie einen neuen Überarbeitungsnamen angeben, muss er die folgenden Kriterien erfüllen:
  - Beginnt mit SERVICE-
  - Enthält nur Kleinbuchstaben, Ziffern und -
  - Endet nicht mit -
  - Darf nicht mehr als 63 Zeichen enthalten
Erstellen oder aktualisieren Sie den Dienst mit dem folgenden Befehl:
```
gcloud run services replace service.yaml
```

Terraform

Sie können eine Terraform-Ressource verwenden, um einen Dienst zu erstellen und für die Verwendung Ihres Connectors zu konfigurieren.

# Cloud Run service
resource "google_cloud_run_v2_service" "gcr_service" {
  name     = "mygcrservice"
  provider = google-beta
  location = "us-west1"

  template {
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello"
      resources {
        limits = {
          cpu    = "1000m"
          memory = "512Mi"
        }
      }
      # the service uses this SA to call other Google Cloud APIs
      # service_account_name = myservice_runtime_sa
    }

    scaling {
      # Limit scale up to prevent any cost blow outs!
      max_instance_count = 5
    }

    vpc_access {
      # Use the VPC Connector
      connector = google_vpc_access_connector.connector.id
      # all egress from the service should go through the VPC Connector
      egress = "ALL_TRAFFIC"
    }
  }
}

Job konfigurieren

Nachdem Sie einen Connector für den serverlosen VPC-Zugriff erstellt haben, müssen Sie Ihren Cloud Run-Jobs für die Verwendung des Connectors konfigurieren. Dazu können Sie die Google Cloud Console, die Google Cloud-CLI oder YAML verwenden, wenn Sie einen neuen Job erstellen:

Console

Wechseln Sie in der Google Cloud Console zur Seite "Cloud Run-Jobs":

Öffnen Sie Cloud Run.
Klicken Sie auf den Tab Jobs und füllen Sie die Seite mit den anfänglichen Jobeinstellungen wie gewünscht aus, wenn Sie einen neuen Job konfigurieren. Klicken Sie auf den Job und dann auf Bearbeiten, wenn Sie einen vorhandenen Job konfigurieren.
Klicken Sie auf Container, Variablen und Secrets, Verbindungen, Sicherheit, um die Seite mit den Jobattributen zu maximieren.
Klicken Sie auf den Tab Verbindungen.
- Wählen Sie im Feld Netzwerk eine der folgenden Optionen aus dem Menü aus:
  - Wählen Sie Keine aus, um die Verbindung Ihres Jobs mit einem VPC-Netzwerk zu trennen.
  - Wenn Sie einen vorhandenen Connector verwenden möchten, wählen Sie ihn aus der Drop-down-Liste aus oder wählen Sie Benutzerdefiniert aus, um einen vorhandenen Connector zu verwenden, der nicht in der Drop-down-Liste enthalten ist.
  - Wählen Sie zum Erstellen eines neuen Connectors Neuen VPC-Connector hinzufügen aus.
    Weitere Informationen zum Erstellen eines Connectors finden Sie unter Connector für serverlosen VPC-Zugriff erstellen.
Klicken Sie auf Erstellen oder Aktualisieren.

gcloud

Verwenden Sie das Flag --vpc-connector, um einen Connector während der Jobbereitstellung anzugeben:

gcloud run jobs create JOB --image IMAGE_URL --vpc-connector CONNECTOR_NAME

Ersetzen Sie:

JOB durch den Namen des Jobs.
IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest. Wenn Sie Artifact Registry verwenden, muss das Repository REPO_NAME bereits erstellt sein. Die URL hat die Form LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG.
CONNECTOR_NAME ist der Name des Connectors.

Verwenden Sie den Befehl gcloud run jobs update, gegebenenfalls mit einem der folgenden Flags, um einen Connector für einen vorhandenen Dienst hinzuzufügen, zu aktualisieren oder zu entfernen:

So fügen Sie beispielsweise einen Connector hinzu oder aktualisieren ihn:

gcloud run jobs update JOB --vpc-connector CONNECTOR_NAME

Ersetzen Sie:

JOB durch den Namen des Jobs.
CONNECTOR_NAME ist der Name des Connectors.

YAML

Sie können eine vorhandene Jobkonfiguration mit dem gcloud run jobs describe --format export-Befehl herunterladen und anzeigen, was bereinigte Ergebnisse im YAML-Format liefert. Anschließend können Sie die unten beschriebenen Felder ändern und die geänderte YAML-Datei mit dem Befehl gcloud run jobs replace hochladen. Achten Sie darauf, dass Sie die Felder nur wie dokumentiert ändern.

So rufen Sie die Konfiguration auf und laden sie herunter:
```
gcloud run jobs describe JOB --format export > job.yaml
```
Fügen Sie das Attribut run.googleapis.com/vpc-access-connector unter dem Attribut annotations unter dem übergeordneten Attribut spec hinzu oder aktualisieren Sie es:
```
apiVersion: serving.knative.dev/v1
  kind: Job
  metadata:
    name: JOB
  spec:
    template:
      metadata:
        annotations:
          run.googleapis.com/vpc-access-connector: CONNECTOR_NAME
```
Ersetzen Sie:
- JOB durch den Namen Ihres Cloud Run-Jobs.
- CONNECTOR_NAME durch den Namen des Connectors. Das Attribut run.googleapis.com/vpc-access-connector ist erforderlich, wenn Sie eine Einstellung für ausgehenden Traffic festlegen.
Ersetzen Sie den Job mit dem folgenden Befehl durch seine neue Konfiguration:
```
gcloud run jobs replace job.yaml
```

Zugriff auf VPC-Ressourcen

Sie können den Zugriff des Connectors über Firewallregeln und Richtlinien einschränken und zusätzliche Einschränkungen hinzufügen. Konfigurieren Sie dazu die Einstellungen für ausgehenden und eingehenden Traffic.

Firewallregeln und Richtlinieneinstellungen

Eingehenden Traffic von serverloser Infrastruktur zu Connector zulassen

Ihre Connector-VMs müssen Pakete aus den externen IP-Adressbereichen 35.199.224.0/19 empfangen können. Dieser Bereich wird von der serverlosen Google-Infrastruktur verwendet, damit Dienste von Cloud Run, Cloud Functions und App Engine Pakete an den Connector senden können.

Der serverlose VPC-Zugriff erstellt eine Firewallregel zum Zulassen von eingehendem Traffic, die für die Connector-VMs gilt. Dabei werden Pakete von 35.199.224.0/19 zugelassen, wenn sich der Connector im selben Projekt wie das als Ziel definierte VPC-Netzwerk befindet. Der Connector und sein Ziel-VPC-Netzwerk befinden sich im selben Projekt, wenn der Connector entweder auf ein eigenständiges VPC-Netzwerk abzielt oder wenn der Connector auf ein freigegebenes VPC-Netzwerk abzielt und sich der Connector im Hostprojekt befindet.

Wenn Sie einen Connector in einem Dienstprojekt einer freigegebenen VPC erstellen, muss ein Sicherheitsadministrator oder Projektinhaber für das Hostprojekt der freigegebenen VPC eine Firewallregel für eingehenden Traffic erstellen, die auf die Connector-VMs anwendbar ist und Pakete aus 35.199.224.0/19 zulässt. Hier ist ein Beispiel für eine VPC-Firewallregel für eingehenden Traffic:

gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--rules=TCP \
--source-ranges=35.199.224.0/19 \
--target-tags=VPC_CONNECTOR_NETWORK_TAG \
--direction=INGRESS \
--network=VPC_NETWORK \
--priority=PRIORITY \
--project=PROJECT_ID

Ersetzen Sie Folgendes:

RULE_NAME: Name der neuen Firewallregel. Beispiel: allow-vpc-connector-ingress
VPC_CONNECTOR_NETWORK_TAG: Das universelle Connector-Netzwerk-Tag vpc-connector kann verwendet werden, wenn die Regel auf alle Connectors im VPC-Netzwerk angewendet werden soll. Alternativ können Sie ein Netzwerk-Tag verwenden, das für den Connector spezifisch ist. Das spezifische Netzwerk-Tag hat das folgende Format: vpc-connector-REGION-CONNECTOR_NAME, wobei REGION die Google Cloud-Region des Connectors und CONNECTOR_NAME der Name ist.
VPC_NETWORK: der Name des VPC-Netzwerks, auf das der Connector abzielt.
PRIORITY: Eine Ganzzahl zwischen 0 und 65.535. Beispielsweise wird durch 0 die höchste Priorität festgelegt.
PROJECT_ID: die Projekt-ID des Projekts, das das VPC-Netzwerk enthält, auf das der Connector abzielt.

VPC-Netzwerkressourcen des Connector-VM-Zugriffs einschränken

Sie können den Zugriff des Connectors auf Ressourcen im Ziel-VPC-Netzwerk mithilfe von VPC-Firewallregeln oder Regeln in Firewallrichtlinien einschränken. Diese Einschränkungen können Sie mit einer der folgenden Strategien erreichen:

Erstellen Sie Regeln für eingehenden Traffic, deren Ziele die Ressourcen darstellen, auf die Sie den Zugriff durch Connector-VMs beschränken möchten und deren Quellen die Connector-VMs darstellen.
Erstellen Sie Regeln für ausgehenden Traffic, deren Ziele die Connector-VMs darstellen und deren Ziele die Ressourcen darstellen, auf die Sie den Zugriff der Connector-VM beschränken möchten.

Die folgenden Beispiele veranschaulichen jede Strategie.

Zugriff mit Regeln für eingehenden Traffic einschränken

Wählen Sie entweder Netzwerk-Tags oder CIDR-Bereiche aus, um den eingehenden Traffic zum VPC-Netzwerk zu steuern.

Netzwerktags

In den folgenden Schritten wird gezeigt, wie Sie Regeln für eingehenden Traffic erstellen, die den Zugriff eines Connectors auf Ihr VPC-Netzwerk anhand der Connector-Netzwerk-Tags einschränken.

Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Einfügen von Firewallregeln haben. Sie benötigen eine der folgenden Rollen für Identity and Access Management (IAM):
- Rolle "Compute-Sicherheitsadministrator"
- Benutzerdefinierte IAM-Rolle mit aktivierter Berechtigung compute.firewalls.create
Lehnen Sie Connector-Traffic im gesamten VPC-Netzwerk ab.

Erstellen Sie eine Firewallregel für eingehenden Traffic mit einer Priorität von weniger als 1.000 in Ihrem VPC-Netzwerk, um eingehenden Traffic aus dem Connector-Netzwerk-Tag abzulehnen. Dadurch wird die implizite Firewallregel überschrieben, die von serverlosem VPC-Zugriff in Ihrem VPC-Netzwerk standardmäßig erstellt wird.
```
gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--rules=PROTOCOL \
--source-tags=VPC_CONNECTOR_NETWORK_TAG \
--direction=INGRESS \
--network=VPC_NETWORK \
--priority=PRIORITY
```
Ersetzen Sie Folgendes:
- RULE_NAME: Name der neuen Firewallregel. Beispiel: deny-vpc-connector
- PROTOCOL: Ein oder mehrere Protokolle, die Sie von Ihrem VPC-Connector zulassen möchten. Unterstützte Protokolle sind tcp oder udp. Beispiel: tcp:80,udp lässt TCP-Traffic über Port 80 sowie UDP-Traffic zu. Weitere Informationen finden Sie in der Dokumentation zum Flag allow.
  
  Aus Sicherheits- und Validierungsgründen können Sie auch Ablehnungsregeln konfigurieren, um Traffic für die folgenden nicht unterstützten Protokolle zu blockieren: ah, all, esp, icmp, ipip und sctp.
- VPC_CONNECTOR_NETWORK_TAG: das universelle Connector-Netzwerk-Tag, wenn Sie den Zugriff für alle Connectors (einschließlich zukünftiger Connectors) einschränken möchten, oder das eindeutige Netzwerk-Tag, wenn Sie den Zugriff für einen bestimmten Connector einschränken möchten.
  - Universelles Netzwerk-Tag: vpc-connector
  - Eindeutiges Netzwerk-Tag: vpc-connector-REGION-CONNECTOR_NAME
    
    Ersetzen Sie:
    - REGION: Region des Connectors, den Sie einschränken möchten
    - CONNECTOR_NAME: Name des Connectors, den Sie einschränken möchten.
  Weitere Informationen zu Netzwerk-Tags des Connectors finden Sie unter Netzwerk-Tags.
- VPC_NETWORK: Der Name des VPC-Netzwerks
- PRIORITY: Eine Ganzzahl zwischen 0 und 65.535. Beispielsweise wird durch 0 die höchste Priorität festgelegt.
Erlauben Sie Connector-Traffic für die Ressource, die Connector-Traffic empfangen soll.

Verwenden Sie die Flags allow und target-tags, um eine Firewallregel für eingehenden Traffic zu erstellen, die auf die Ressource in Ihrem VPC-Netzwerk ausgerichtet ist, auf die der VPC-Connector zugreifen soll. Setzen Sie die Priorität für diese Regel auf einen niedrigeren Wert als die Priorität der Regel, die Sie im vorherigen Schritt erstellt haben.
```
gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOL \
--source-tags=VPC_CONNECTOR_NETWORK_TAG \
--direction=INGRESS \
--network=VPC_NETWORK \
--target-tags=RESOURCE_TAG \
--priority=PRIORITY
```
Ersetzen Sie Folgendes:
- RULE_NAME: Name der neuen Firewallregel. Beispiel: allow-vpc-connector-for-select-resources
- PROTOCOL: Ein oder mehrere Protokolle, die Sie von Ihrem VPC-Connector zulassen möchten. Unterstützte Protokolle sind tcp oder udp. Beispiel: tcp:80,udp lässt TCP-Traffic über Port 80 sowie UDP-Traffic zu. Weitere Informationen finden Sie in der Dokumentation zum Flag allow.
- VPC_CONNECTOR_NETWORK_TAG: das universelle Connector-Netzwerk-Tag, wenn Sie den Zugriff für alle Connectors (einschließlich zukünftiger Connectors) einschränken möchten, oder das eindeutige Netzwerk-Tag, wenn Sie den Zugriff für einen bestimmten Connector einschränken möchten. Dieser muss mit dem Netzwerk-Tag übereinstimmen, das Sie im vorherigen Schritt angegeben haben.
  - Universelles Netzwerk-Tag: vpc-connector
  - Eindeutiges Netzwerk-Tag: vpc-connector-REGION-CONNECTOR_NAME
    
    Ersetzen Sie:
    - REGION: Region des Connectors, den Sie einschränken möchten
    - CONNECTOR_NAME: Name des Connectors, den Sie einschränken möchten.
  Weitere Informationen zu Netzwerk-Tags des Connectors finden Sie unter Netzwerk-Tags.
- VPC_NETWORK: Der Name des VPC-Netzwerks
- RESOURCE_TAG: Netzwerk-Tag für die VPC-Ressource, auf die Ihr VPC-Connector zugreifen soll
- PRIORITY: Eine Ganzzahl, die kleiner ist als die Priorität, die Sie im vorherigen Schritt festgelegt haben. Wenn Sie beispielsweise die Priorität der Regel, die Sie im vorherigen Schritt erstellt haben, auf 990 gesetzt haben, versuchen Sie es mit 980.

Weitere Informationen zu den erforderlichen und optionalen Flags für das Erstellen von Firewallregeln finden Sie in der Dokumentation zu gcloud compute firewall-rules create.

CIDR-Bereich

In den folgenden Schritten wird gezeigt, wie Sie Regeln für eingehenden Traffic erstellen, die den Zugriff eines Connectors auf Ihr VPC-Netzwerk anhand des CIDR-Bereichs des Connectors beschränken.

Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Einfügen von Firewallregeln haben. Sie benötigen eine der folgenden Rollen für Identity and Access Management (IAM):
- Rolle "Compute-Sicherheitsadministrator"
- Benutzerdefinierte IAM-Rolle mit aktivierter Berechtigung compute.firewalls.create
Lehnen Sie Connector-Traffic im gesamten VPC-Netzwerk ab.

Erstellen Sie eine Firewallregel für eingehenden Traffic mit einer Priorität von weniger als 1.000 in Ihrem VPC-Netzwerk, um eingehenden Traffic aus dem CIDR-Bereich des Connectors abzulehnen. Dadurch wird die implizite Firewallregel überschrieben, die von serverlosem VPC-Zugriff in Ihrem VPC-Netzwerk standardmäßig erstellt wird.
```
gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--rules=PROTOCOL \
--source-ranges=VPC_CONNECTOR_CIDR_RANGE \
--direction=INGRESS \
--network=VPC_NETWORK \
--priority=PRIORITY
```
Ersetzen Sie Folgendes:
- RULE_NAME: Name der neuen Firewallregel. Beispiel: deny-vpc-connector
- PROTOCOL: Ein oder mehrere Protokolle, die Sie von Ihrem VPC-Connector zulassen möchten. Unterstützte Protokolle sind tcp oder udp. Beispiel: tcp:80,udp lässt TCP-Traffic über Port 80 sowie UDP-Traffic zu. Weitere Informationen finden Sie in der Dokumentation zum Flag allow.
  
  Aus Sicherheits- und Validierungsgründen können Sie auch Ablehnungsregeln konfigurieren, um Traffic für die folgenden nicht unterstützten Protokolle zu blockieren: ah, all, esp, icmp, ipip und sctp.
- VPC_CONNECTOR_CIDR_RANGE: Der CIDR-Bereich für den Connector, dessen Zugriff Sie einschränken.
- VPC_NETWORK: Der Name des VPC-Netzwerks
- PRIORITY: Eine Ganzzahl zwischen 0 und 65.535. Beispielsweise wird durch 0 die höchste Priorität festgelegt.
Erlauben Sie Connector-Traffic für die Ressource, die Connector-Traffic empfangen soll.

Verwenden Sie die Flags allow und target-tags, um eine Firewallregel für eingehenden Traffic zu erstellen, die auf die Ressource in Ihrem VPC-Netzwerk ausgerichtet ist, auf die der VPC-Connector zugreifen soll. Setzen Sie die Priorität für diese Regel auf einen niedrigeren Wert als die Priorität der Regel, die Sie im vorherigen Schritt erstellt haben.
```
gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOL \
--source-ranges=VPC_CONNECTOR_CIDR_RANGE \
--direction=INGRESS \
--network=VPC_NETWORK \
--target-tags=RESOURCE_TAG \
--priority=PRIORITY
```
Ersetzen Sie Folgendes:
- RULE_NAME: Name der neuen Firewallregel. Beispiel: allow-vpc-connector-for-select-resources
- PROTOCOL: Ein oder mehrere Protokolle, die Sie von Ihrem VPC-Connector zulassen möchten. Unterstützte Protokolle sind tcp oder udp. Beispiel: tcp:80,udp lässt TCP-Traffic über Port 80 sowie UDP-Traffic zu. Weitere Informationen finden Sie in der Dokumentation zum Flag allow.
- VPC_CONNECTOR_CIDR_RANGE: Der CIDR-Bereich für den Connector, dessen Zugriff Sie einschränken
- VPC_NETWORK: Der Name des VPC-Netzwerks
- RESOURCE_TAG: Netzwerk-Tag für die VPC-Ressource, auf die Ihr VPC-Connector zugreifen soll
- PRIORITY: Eine Ganzzahl, die kleiner ist als die Priorität, die Sie im vorherigen Schritt festgelegt haben. Wenn Sie beispielsweise die Priorität der Regel, die Sie im vorherigen Schritt erstellt haben, auf 990 gesetzt haben, versuchen Sie es mit 980.

Weitere Informationen zu den erforderlichen und optionalen Flags zum Erstellen von Firewallregeln finden Sie in der Dokumentation zu gcloud compute firewall-rules create.

Zugriff mithilfe von Regeln für ausgehenden Traffic beschränken

In den folgenden Schritten wird gezeigt, wie Sie Regeln für ausgehenden Traffic erstellen, um den Zugriff durch Connectors zu beschränken.

Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Einfügen von Firewallregeln haben. Sie benötigen eine der folgenden Rollen von Identity and Access Management (IAM):
- Rolle "Compute-Sicherheitsadministrator"
- Benutzerdefinierte IAM-Rolle mit aktivierter Berechtigung compute.firewalls.create
Lehnen Sie den ausgehenden Traffic über den Connector ab.

Erstellen Sie eine Firewallregel für ausgehenden Traffic im Connector für serverlosen VPC-Zugriff, um das Senden von ausgehendem Traffic mit Ausnahme der festgelegten Antworten an ein beliebiges Ziel zu verhindern.
```
gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--rules=PROTOCOL \
--direction=EGRESS \
--target-tags=VPC_CONNECTOR_NETWORK_TAG \
--network=VPC_NETWORK \
--priority=PRIORITY
```
Ersetzen Sie Folgendes:
- RULE_NAME: Name der neuen Firewallregel. Beispiel: deny-vpc-connector
- PROTOCOL: Ein oder mehrere Protokolle, die Sie von Ihrem VPC-Connector zulassen möchten. Unterstützte Protokolle sind tcp oder udp. Beispiel: tcp:80,udp lässt TCP-Traffic über Port 80 sowie UDP-Traffic zu. Weitere Informationen finden Sie in der Dokumentation zum Flag allow.
  
  Aus Sicherheits- und Validierungsgründen können Sie auch Ablehnungsregeln konfigurieren, um Traffic für die folgenden nicht unterstützten Protokolle zu blockieren: ah, all, esp, icmp, ipip und sctp.
- VPC_CONNECTOR_NETWORK_TAG: Das universelle VPC-Connector-Netzwerk-Tag, wenn die Regel für alle vorhandenen und zukünftig erstellten VPC-Connectors gelten soll. Wenn Sie einen bestimmten Connector steuern möchten, können Sie das eindeutige Netzwerk-Tag des VPC-Connectors verwenden.
- VPC_NETWORK: Der Name des VPC-Netzwerks
- PRIORITY: Eine Ganzzahl zwischen 0 und 65.535. Beispielsweise wird durch 0 die höchste Priorität festgelegt.
Lassen Sie ausgehenden Traffic zu, wenn sich das Ziel in dem CIDR-Bereich befindet, auf den der Connector zugreifen soll.

Verwenden Sie die Flags allow und destination-ranges, um eine Firewallregel zu erstellen, die ausgehenden Traffic von Ihrem Connector für einen bestimmten Zielbereich zulässt. Legen Sie den Zielbereich auf den CIDR-Bereich der Ressource in Ihrem VPC-Netzwerk fest, auf die der Connector zugreifen soll. Setzen Sie die Priorität für diese Regel auf einen niedrigeren Wert als die Priorität der Regel, die Sie im vorherigen Schritt erstellt haben.
```
gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOL \
--destination-ranges=RESOURCE_CIDR_RANGE \
--direction=EGRESS \
--network=VPC_NETWORK \
--target-tags=VPC_CONNECTOR_NETWORK_TAG \
--priority=PRIORITY
```
Ersetzen Sie Folgendes:
- RULE_NAME: Name der neuen Firewallregel. Beispiel: allow-vpc-connector-for-select-resources
- PROTOCOL: Ein oder mehrere Protokolle, die Sie von Ihrem VPC-Connector zulassen möchten. Unterstützte Protokolle sind tcp oder udp. Beispiel: tcp:80,udp lässt TCP-Traffic über Port 80 sowie UDP-Traffic zu. Weitere Informationen finden Sie in der Dokumentation zum Flag allow.
- RESOURCE_CIDR_RANGE: Der CIDR-Bereich für den Connector, dessen Zugriff Sie einschränken.
- VPC_NETWORK: Der Name des VPC-Netzwerks
- VPC_CONNECTOR_NETWORK_TAG: Das universelle VPC-Connector-Netzwerk-Tag, wenn die Regel für alle vorhandenen und zukünftig erstellten VPC-Connectors gelten soll. Wenn Sie einen bestimmten Connector steuern möchten, können Sie das eindeutige Netzwerk-Tag des VPC-Connectors verwenden. Wenn Sie im vorherigen Schritt das eindeutige Netzwerk-Tag genutzt haben, verwenden Sie das eindeutige Netzwerk-Tag.
- PRIORITY: Eine Ganzzahl, die kleiner ist als die Priorität, die Sie im vorherigen Schritt festgelegt haben. Wenn Sie beispielsweise die Priorität der Regel, die Sie im vorherigen Schritt erstellt haben, auf 990 gesetzt haben, versuchen Sie es mit 980.

Weitere Informationen zu den erforderlichen und optionalen Flags für das Erstellen von Firewallregeln finden Sie in der Dokumentation zu gcloud compute firewall-rules create.

Connector verwalten

Standardmäßig werden nur Anfragen an bestimmte interne IPv4-Adressenziele (einschließlich interner IPv4-Ziele, die durch DNS-Antworten aufgelöst werden) über einen Connector für serverlosen VPC-Zugriff weitergeleitet. Möglicherweise möchten Sie jedoch alle ausgehenden Anfragen von Ihrem Dienst oder Job an Ihr VPC-Netzwerk weiterleiten.

Der serverlose VPC-Zugriff unterstützt nur das Routing von IPv4-Traffic. IPv6-Traffic wird nicht unterstützt, auch wenn in Ihrem VPC-Netzwerk IPv6-Routen vorhanden sind.

Zur Steuerung der Weiterleitung ausgehender Anfragen von Ihrem Dienst oder Job können Sie für den ausgehenden VPC-Traffic eine der folgenden Optionen festlegen:

Nur an private IP-Adressen gesendete Anfragen an die VPC weiterleiten: Standard Der Traffic wird nur dann über das VPC-Netzwerk weitergeleitet, wenn die Pakete mit diesem Traffic Ziele haben, die Folgendes erfüllen:
Pakete an ein anderes Ziel werden von Cloud Run an das Internet (nicht über ein VPC-Netzwerk) weitergeleitet.

Hinweis: Ordnen Sie keine Cloud Run-Subnetze einer öffentlichen NAT zu. Cloud NAT wird Ihnen in Rechnung gestellt, obwohl der Traffic zu externen IP-Adressen mit dem Connector nicht durch Cloud NAT geleitet wird.
Gesamten Traffic an die VPC weiterleiten: Der Traffic wird für alle Paketziele immer über das VPC-Netzwerk weitergeleitet, das mit dem Connector verknüpft ist. In folgenden Fällen müssen Sie diese Option verwenden:
- Wenn Sie Traffic an VPC-Subnetzbereiche mit privat verwendeten externen IP-Adressbereichen senden müssen. Weitere Informationen zu VPC-Subnetzbereichen finden Sie unter Gültige IPv4-Bereiche in der Übersicht über Subnetze.
- Wenn Sie Traffic an einen Private Service Connect-Endpunkt für Google APIs senden müssen, dessen Adresse eine privat verwendete externe IP-Adresse ist. Weitere Informationen zu Private Service Connect-Endpunkten für Google APIs finden Sie unter Über Endpunkte auf Google APIs zugreifen.
- Wenn Sie Traffic an jedes andere privat verwendete externe IP-Adressziel senden müssen, das innerhalb des VPC-Netzwerks des Connectors routingfähig ist. Beispiele für andere Ziele, die privat verwendete externe IP-Adressen abdecken, sind Peering-Subnetzbereiche (und Peering-Subnetzbereiche, die aus Diensten zugewiesenen IP-Adressbereichen erstellt wurden) und jene Ziele, auf die über benutzerdefinierte Routen in VPC Short zugegriffen werden kann.
Wenn Ihr VPC-Netzwerk eine Standardroute enthält, können Pakete weiterhin an das Internet weitergeleitet werden, nachdem sie vom Connector verarbeitet wurden, wenn Sie ein Cloud NAT-Gateway zur Bereitstellung von NAT-Diensten an das Subnetz konfigurieren, das vom Connector verwendet wird. Diese Pakete unterliegen den Routen in Ihrem VPC-Netzwerk und den Firewallregeln, die für Ihr VPC-Netzwerk gelten. Mit der Routen- und Firewallkonfiguration können Sie den ausgehenden Internettraffic für alle von Ihrer Funktion über einen Connector für serverlosen VPC-Zugriff gesendeten ausgehenden Anfragen steuern.

Hinweis: Die Abrechnung für serverlosen VPC-Zugriff erfolgt gemäß der Skalierung proportional zur Menge des über den Connector übertragenen Traffics. Sehen Sie sich die Preise für den serverlosen VPC-Zugriff an, um die kostenbezogenen Auswirkungen zu verstehen.

Ausgehenden Diensttraffic steuern

Sie können beim Erstellen eines neuen Dienstes oder beim Bereitstellen einer neuen Überarbeitung über die Google Cloud Console, die Google Cloud CLI oder die YAML-Datei eine Einstellung für ausgehenden VPC-Traffic angeben:

Console

Rufen Sie in der Google Cloud Console Cloud Run auf.

Öffnen Sie Cloud Run.
Klicken Sie auf Dienst erstellen, wenn Sie einen neuen Dienst für die Bereitstellung konfigurieren. Wenn Sie einen vorhandenen Dienst konfigurieren möchten, klicken Sie auf den Dienst und dann auf Neue Überarbeitung bearbeiten und bereitstellen.
Wenn Sie einen neuen Dienst konfigurieren, füllen Sie die Seite mit den anfänglichen Diensteinstellungen wie gewünscht aus und klicken Sie dann auf Container, Netzwerk, Sicherheit, um die Seite zur Dienstkonfiguration zu maximieren.
Klicken Sie auf den Tab Netzwerk.
- Nachdem Sie einen VPC-Connector ausgewählt haben, wählen Sie Nur Anfragen an private IPs an die VPC weiterleiten oder Gesamten Traffic an die VPC weiterleiten aus.
Klicken Sie auf Erstellen oder Bereitstellen.

gcloud

Verwenden Sie das Flag --vpc-egress, um eine Einstellung für ausgehenden Traffic festzulegen. Sie können bei der Bereitstellung eine Einstellung für ausgehenden Traffic festlegen:

gcloud run deploy SERVICE \
--image IMAGE_URL \
--vpc-connector CONNECTOR_NAME \
--vpc-egress EGRESS_SETTING

Ersetzen Sie:

SERVICE durch den Namen des Dienstes.
IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest. Wenn Sie Artifact Registry verwenden, muss das Repository REPO_NAME bereits erstellt sein. Die URL hat die Form LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG.
CONNECTOR_NAME ist der Name des Connectors.
EGRESS_SETTING durch einen Wert für die Einstellung für ausgehenden Traffic:
- all-traffic: Sendet den gesamten ausgehenden Traffic über den Connector.
- private-ranges-only: Sendet Traffic an interne Adressen nur über den VPC-Connector.

Sie können auch einen vorhandenen Dienst aktualisieren und die Einstellung für ausgehenden Traffic ändern:

gcloud run services update SERVICE --vpc-egress EGRESS_SETTING

Ersetzen Sie:

SERVICE durch den Namen des Dienstes.
EGRESS_SETTING durch einen Wert für die Einstellung für ausgehenden Traffic, wie oben beschrieben.

YAML

Wenn Sie einen neuen Dienst erstellen, überspringen Sie diesen Schritt. Wenn Sie einen vorhandenen Dienst aktualisieren, laden Sie die zugehörige YAML-Konfiguration herunter:
```
gcloud run services describe SERVICE --format export > service.yaml
```
Fügen Sie das Attribut run.googleapis.com/vpc-access-egress unter dem Attribut annotations unter dem übergeordneten Attribut spec hinzu oder aktualisieren Sie es:
```
apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: SERVICE
spec:
  template:
    metadata:
      annotations:
        run.googleapis.com/vpc-access-connector: CONNECTOR_NAME
        run.googleapis.com/vpc-access-egress: EGRESS_SETTING
      name: REVISION
```
Ersetzen Sie:
- SERVICE durch den Namen Ihres Cloud Run-Dienstes.
- CONNECTOR_NAME durch den Namen des Connectors. Das Attribut run.googleapis.com/vpc-access-connector ist erforderlich, wenn Sie eine Einstellung für ausgehenden Traffic festlegen.
- EGRESS_SETTING durch einen der folgenden Werte:
  - all-traffic: Sendet den gesamten ausgehenden Traffic über den Connector.
  - private-ranges-only: Sendet Traffic an interne Adressen nur über den VPC-Connector.
  - REVISION durch einen neuen Überarbeitungsnamen oder löschen (falls vorhanden). Wenn Sie einen neuen Überarbeitungsnamen angeben, muss er die folgenden Kriterien erfüllen:
    - Beginnt mit SERVICE-
    - Enthält nur Kleinbuchstaben, Ziffern und -
    - Endet nicht mit -
    - Darf nicht mehr als 63 Zeichen enthalten
Erstellen oder aktualisieren Sie den Dienst mit dem folgenden Befehl:
```
gcloud run services replace service.yaml
```

Ausgehenden Jobtraffic steuern

Sie können beim Erstellen oder Aktualisieren eines Jobs über die Google Cloud Console, die Google Cloud CLI oder die YAML-Datei eine Einstellung für ausgehenden VPC-Traffic angeben:

Console

Wechseln Sie in der Google Cloud Console zur Seite "Cloud Run-Jobs":

Öffnen Sie Cloud Run.
Klicken Sie auf den Tab Jobs und füllen Sie die Seite mit den anfänglichen Jobeinstellungen wie gewünscht aus, wenn Sie einen neuen Job konfigurieren. Klicken Sie auf den Job und dann auf Bearbeiten, wenn Sie einen vorhandenen Job konfigurieren.
Klicken Sie auf Container, Variablen und Secrets, Verbindungen, Sicherheit, um die Seite mit den Jobattributen zu maximieren.
Klicken Sie auf den Tab Verbindungen.
- Nachdem Sie einen Connector ausgewählt haben, wählen Sie Nur Anfragen an private IPs an die VPC weiterleiten oder Gesamten Traffic an die VPC weiterleiten aus.
Klicken Sie auf Erstellen oder Aktualisieren.

gcloud

Verwenden Sie das Flag --vpc-egress, um eine Einstellung für ausgehenden Traffic festzulegen. Sie können bei der Jobbereitstellung eine Einstellung für ausgehenden Traffic festlegen:

gcloud run jobs create JOB \
--image IMAGE_URL \
--vpc-connector CONNECTOR_NAME \
--vpc-egress EGRESS_SETTING

Ersetzen Sie:

JOB durch den Namen des Jobs.
IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest. Wenn Sie Artifact Registry verwenden, muss das Repository REPO_NAME bereits erstellt sein. Die URL hat die Form LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG.
CONNECTOR_NAME ist der Name des Connectors.
EGRESS_SETTING durch einen Wert für die Einstellung für ausgehenden Traffic:
- all-traffic: Sendet den gesamten ausgehenden Traffic über den Connector.
- private-ranges-only: Sendet Traffic an interne Adressen nur über den VPC-Connector.

Sie können auch einen vorhandenen Job aktualisieren und die Einstellung für ausgehenden Traffic ändern:

gcloud run jobs update JOB --vpc-egress EGRESS_SETTING

Ersetzen Sie:

JOB durch den Namen des Jobs.
EGRESS_SETTING durch einen Wert für die Einstellung für ausgehenden Traffic, wie oben beschrieben.

YAML

Ersetzen Sie den Job mit dem folgenden Befehl durch seine neue Konfiguration:
```
gcloud run jobs replace job.yaml
```
Fügen Sie das Attribut run.googleapis.com/vpc-access-egress unter dem Attribut annotations unter dem übergeordneten Attribut spec hinzu oder aktualisieren Sie es:
```
apiVersion: serving.knative.dev/v1
  kind: Job
  metadata:
    name: JOB
  spec:
    template:
      metadata:
        annotations:
          run.googleapis.com/vpc-access-connector: CONNECTOR_NAME
          run.googleapis.com/vpc-access-egress: EGRESS_SETTING
```
Ersetzen Sie:
- JOB durch den Namen Ihres Cloud Run-Jobs.
- CONNECTOR_NAME durch den Namen des Connectors. Das Attribut run.googleapis.com/vpc-access-connector ist erforderlich, wenn Sie eine Einstellung für ausgehenden Traffic festlegen.
- EGRESS_SETTING durch einen der folgenden Werte:
  - all-traffic: Sendet den gesamten ausgehenden Traffic über den Connector.
  - private-ranges-only: Sendet Traffic an interne Adressen nur über den VPC-Connector.
Ersetzen Sie den Job mit dem folgenden Befehl durch seine neue Konfiguration:
```
gcloud run jobs replace job.yaml
```

Connector-Einstellungen anzeigen

Sie können die aktuellen Connector-Einstellungen für den serverlosen VPC-Zugriff für Ihren Dienst oder Job über die Google Cloud Console oder das gcloud-Befehlszeilentool aufrufen:

Console

Öffnen Sie Cloud Run.
Klicken Sie auf den gewünschten Dienst oder Job, um die Detailseite zu öffnen.
- Klicken Sie für einen Dienst auf den Tab Versionen.
- Klicken Sie für einen Job auf den Tab Konfiguration.

Die Einstellung für den Connector für serverlosen VPC-Zugriff wird auf dem Tab Netzwerk aufgeführt.

gcloud

Verwenden Sie folgenden Befehl, um die Einstellungen für Ihren Dienst aufzurufen:
```
gcloud run services describe SERVICE
```
Verwenden Sie folgenden Befehl, um die Einstellungen für Ihren Job aufzurufen:
```
gcloud run jobs describe JOB
```
Suchen Sie in der zurückgegebenen Konfiguration die Einstellung für den Connector für serverlosen VPC-Zugriff.

Verbindung zu einem VPC-Netzwerk trennen

Dienst trennen

Sie können einen Dienst von Ihrem VPC-Netzwerk über die Google Cloud Console oder die Google Cloud CLI trennen:

Console

Rufen Sie in der Google Cloud Console Cloud Run auf.

Öffnen Sie Cloud Run.
Klicken Sie auf Dienst erstellen, wenn Sie einen neuen Dienst für die Bereitstellung konfigurieren. Wenn Sie einen vorhandenen Dienst konfigurieren möchten, klicken Sie auf den Dienst und dann auf Neue Überarbeitung bearbeiten und bereitstellen.
Wenn Sie einen neuen Dienst konfigurieren, füllen Sie die Seite mit den anfänglichen Diensteinstellungen wie gewünscht aus und klicken Sie dann auf Container, Netzwerk, Sicherheit, um die Seite zur Dienstkonfiguration zu maximieren.
Klicken Sie auf den Tab Netzwerk.
- Wählen Sie im Feld Netzwerk die Option Keine aus, um die Verbindung Ihres Dienstes mit einem VPC-Netzwerk zu trennen.
Klicken Sie auf Erstellen oder Bereitstellen.

gcloud

Verwenden Sie den gcloud run services update-Befehl mit folgendem Flag, um einen Dienst zu trennen:

--clear-vpc-connector

gcloud run services update SERVICE --clear-vpc-connector

Ersetzen Sie SERVICE durch den Namen Ihres Dienstes.

Connectors verursachen auch dann Kosten, wenn sie keinen Traffic haben und nicht verbunden sind. Weitere Informationen finden Sie unter Preise. Wenn Sie den Connector nicht mehr benötigen, können Sie ihn löschen, um weitere Kosten zu vermeiden.

Job trennen

Sie können einen Job von Ihrem VPC-Netzwerk über die Google Cloud Console oder die Google Cloud-CLI trennen:

Console

Wechseln Sie in der Google Cloud Console zur Seite "Cloud Run-Jobs":

Öffnen Sie Cloud Run.
Klicken Sie auf den Tab Jobs und füllen Sie die Seite mit den anfänglichen Jobeinstellungen wie gewünscht aus, wenn Sie einen neuen Job konfigurieren. Klicken Sie auf den Job und dann auf Bearbeiten, wenn Sie einen vorhandenen Job konfigurieren.
Klicken Sie auf Container, Variablen und Secrets, Verbindungen, Sicherheit, um die Seite mit den Jobattributen zu maximieren.
Klicken Sie auf den Tab Verbindungen.
- Wählen Sie im Feld Netzwerk die Option Keine aus, um die Verbindung Ihres Dienstes mit einem VPC-Netzwerk zu trennen.
Klicken Sie auf Erstellen oder Aktualisieren.

gcloud

Verwenden Sie zum Trennen eines Jobs den gcloud run jobs updateBefehl mit folgendem Flag:

--clear-vpc-connector

gcloud run jobs update JOB --clear-vpc-connector

Ersetzen Sie JOB durch den Namen Ihres Jobs.

Connector aktualisieren

Sie können die folgenden Attribute Ihres Connectors über die Google Cloud Console, die Google Cloud CLI oder die API aktualisieren und überwachen:

Maschinentyp (Instanz)
Mindest- und Höchstzahl von Instanzen
Letzter Durchsatz, Anzahl der Instanzen und CPU-Auslastung

Maschinentyp aktualisieren

Console

Rufen Sie die Übersichtsseite für serverlosen VPC-Zugriff auf:

Zur Seite "Serverloser VPC-Zugriff"
Wählen Sie den zu bearbeitenden Connector aus und klicken Sie auf Bearbeiten.
Wählen Sie in der Liste Instanztyp den gewünschten Maschinentyp (Instanz) aus. Weitere Informationen zu verfügbaren Maschinentypen finden Sie in der Dokumentation zu Durchsatz und Skalierung.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie den folgenden Befehl in Ihrem Terminal aus, um den Connector-Maschinentyp zu aktualisieren:
```
gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --machine-type=MACHINE_TYPE
```
Ersetzen Sie Folgendes:
- CONNECTOR_NAME: der Name des Connectors
- REGION: der Name der Region Ihres Connectors
- MACHINE_TYPE: Ihr bevorzugter Maschinentyp. Weitere Informationen zu verfügbaren Maschinentypen finden Sie in der Dokumentation zu Durchsatz und Skalierung.

Mindest- und Höchstzahl von Instanzen verringern

So verringern Sie die Mindest- und Höchstzahl von Instanzen:

Erstellen Sie einen neuen Connector mit den gewünschten Werten.
Aktualisieren Sie Ihren Dienst oder Ihre Funktion, um den neuen Connector zu verwenden.
Löschen Sie den alten Connector, wenn Sie den Traffic verschoben haben.

Weitere Informationen finden Sie unter Connector für serverlosen VPC-Zugriff erstellen.

Mindest- und Höchstzahl von Instanzen erhöhen

Console

Rufen Sie die Übersichtsseite für serverlosen VPC-Zugriff auf:

Zur Seite "Serverloser VPC-Zugriff"
Wählen Sie den zu bearbeitenden Connector aus und klicken Sie auf Bearbeiten.
Wählen Sie im Feld Mindestinstanzen die gewünschte Mindestanzahl von Instanzen aus.

Der kleinstmögliche Wert für dieses Feld ist der aktuelle Wert. Der größtmögliche Wert für dieses Feld ist der aktuelle Wert im Feld Maximale Anzahl von Instanzen minus 1. Lautet der Wert im Feld Maximale Instanzzahl beispielsweise 8, ist der größtmögliche Wert für das Feld Mindestinstanzen 7.
Wählen Sie im Feld Maximale Instanzen Ihre bevorzugte maximale Anzahl von Instanzen aus.

Der kleinstmögliche Wert für dieses Feld ist der aktuelle Wert. Der größtmögliche Wert für dieses Feld ist 10.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie den folgenden Befehl in Ihrem Terminal aus, um die Mindest- oder Höchstanzahl von Instanzen für den Connector zu erhöhen:
```
gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --min-instances=MIN_INSTANCES --max-instances=MAX_INSTANCES
```
Ersetzen Sie Folgendes:

CONNECTOR_NAME: der Name des Connectors
REGION: der Name der Region Ihres Connectors
MIN_INSTANCES: Ihre bevorzugte Mindestanzahl von Instanzen.
- Der kleinstmögliche Wert für dieses Feld ist der aktuelle Wert von min_instances. Informationen zum Ermitteln des aktuellen Werts finden Sie unter Aktuelle Attributwerte finden.
- Der größtmögliche Wert für dieses Feld ist der aktuelle max_instances-Wert minus 1, da min_instances kleiner als max_instances sein muss. Beispiel: Wenn max_instances 8 ist, ist der größtmögliche Wert für dieses Feld 7. Wenn Ihr Connector den Standardwert max-instances von 10 verwendet, ist der größtmögliche Wert dieses Feldes 9. Wie Sie den Wert von max-instances ermitteln, erfahren Sie unter Aktuelle Attributwerte finden.
MAX_INSTANCES:
- Der kleinstmögliche Wert für dieses Feld ist der aktuelle Wert von max_instances. Informationen zum Ermitteln des aktuellen Werts finden Sie unter Aktuelle Attributwerte finden.
- Der größtmögliche Wert für dieses Feld ist 10.
Wenn Sie nur die minimale, aber nicht die maximale Anzahl von Instanzen erhöhen wollen, müssen Sie trotzdem die maximale Anzahl von Instanzen angeben. Umgekehrt müssen Sie, wenn Sie nur die maximale, nicht aber die minimale Anzahl der Instanzen aktualisieren wollen, die minimale Anzahl der Instanzen angeben. Geben Sie den aktuellen Wert an, um die minimale oder maximale Anzahl von Instanzen auf dem aktuellen Wert zu halten. Informationen zum Ermitteln des aktuellen Werts finden Sie unter Aktuelle Attributwerte finden.

Aktuelle Attributwerte finden

Führen Sie den folgenden Befehl in Ihrem Terminal aus, um die aktuellen Attributwerte für Ihren Connector zu ermitteln:

gcloud compute networks vpc-access connectors describe CONNECTOR_NAME --region=REGION --project=PROJECT

Ersetzen Sie Folgendes:

CONNECTOR_NAME: der Name des Connectors
REGION: der Name der Region Ihres Connectors
PROJECT: der Name Ihres Google Cloud-Projekts

Connector-Auslastung überwachen

Wenn Sie die Auslastung im Zeitverlauf beobachten, können Sie feststellen, wann die Einstellungen eines Connectors angepasst werden müssen. Wenn die CPU-Auslastung beispielsweise stark ansteigt, sollten Sie versuchen, die maximale Anzahl von Instanzen zu erhöhen, um bessere Ergebnisse zu erzielen. Wenn der Durchsatz maximal ausgeschöpft ist, können Sie zu einem größeren Maschinentyp wechseln.

So rufen Sie Diagramme für den Durchsatz, die Anzahl der Instanzen und die CPU-Auslastungsmesswerte im Zeitverlauf mithilfe der Google Cloud Console auf:

Rufen Sie die Übersichtsseite für serverlosen VPC-Zugriff auf:

Zur Seite „Serverloser VPC-Zugriff“
Klicken Sie auf den Namen des Connectors, den Sie überwachen möchten.
Wählen Sie die Anzahl der Tage zwischen 1 und 90 Tagen aus.
Bewegen Sie den Mauszeiger im Diagramm Durchsatz über das Diagramm, um den letzten Durchsatz des Connectors zu sehen.
Bewegen Sie den Mauszeiger im Diagramm Anzahl der Instanzen über das Diagramm, um die Anzahl der zuletzt vom Connector verwendeten Instanzen zu sehen.
Bewegen Sie den Mauszeiger im Diagramm CPU-Auslastung auf das Diagramm, um die aktuelle CPU-Auslastung des Connectors zu sehen. Das Diagramm zeigt die CPU-Auslastung, die auf Instanzen für das 50., 95. und 99. Perzentil verteilt ist.

Connector löschen

Achten Sie darauf, dass noch keine Dienste oder Jobs mit ihm verbunden sind, bevor Sie einen Connector löschen.

Nutzer der freigegebenen VPC, die Connectors im Hostprojekt der freigegebenen VPC einrichten, können den Befehl gcloud compute networks vpc-access connectors describe verwenden, um die Projekte aufzulisten, in denen Dienste oder Jobs einen bestimmten Connector verwenden.

Verwenden Sie zum Löschen eines Connectors die Google Cloud Console oder die Google Cloud CLI:

Console

Rufen Sie in der Google Cloud Console die Übersichtsseite für serverlosen VPC-Zugriff auf:

Zur Seite „Serverloser VPC-Zugriff“
Wählen Sie den Connector aus, den Sie löschen möchten.
Klicken Sie auf Löschen.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Verwenden Sie den folgenden gcloud-Befehl, um einen Connector zu löschen:
```
gcloud compute networks vpc-access connectors delete CONNECTOR_NAME --region=REGION
```
Ersetzen Sie Folgendes:
- CONNECTOR_NAME ist der Name des Connectors, den Sie löschen möchten.
- REGION ist die Region, in der sich der Connector befindet.

Fehlerbehebung

Dienstkontoberechtigungen

Zum Ausführen von Vorgängen in Ihrem Google Cloud-Projekt verwendet der Dienst für den serverlosen VPC-Zugriff das Dienstkonto Dienstagent für serverlosen VPC-Zugriff. Die E-Mail-Adresse dieses Dienstkontos hat das folgende Format:

service-PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com

Standardmäßig hat dieses Dienstkonto die Rolle Dienstagent für serverlosen VPC-Zugriff (roles/vpcaccess.serviceAgent). Serverlose VPC-Zugriffsvorgänge können fehlschlagen, wenn Sie die Berechtigungen dieses Kontos ändern.

Fehler

Fehler: Dienstkonto benötigt Service Agent-Rolle

Wenn Sie die Organisationsrichtlinie Restrict Resource Service Usage verwenden, um den Cloud Deployment Manager (deploymentmanager.googleapis.com) zu blockieren, wird möglicherweise folgende Fehlermeldung angezeigt:

Serverless VPC Access service account (service-<PROJECT_NUMBER>@gcp-sa-vpcaccess.iam.gserviceaccount.com) needs Serverless VPC Access Service Agent role in the project.

Legen Sie die Organisationsrichtlinie fest, um den Deployment Manager aus der Sperrliste zu entfernen, oder fügen Sie ihn zur Zulassungsliste hinzu.

Fehler beim Erstellen eines Connectors

Wenn beim Erstellen eines Connectors ein Fehler auftritt, versuchen Sie Folgendes:

Geben Sie einen internen RFC 1918-IP-Bereich an, der sich nicht mit vorhandenen IP-Adressreservierungen im VPC-Netzwerk überschneidet.
Erteilen Sie Ihrem Projekt die Berechtigung, Compute Engine-VM-Images aus dem Projekt mit der ID serverless-vpc-access-images zu verwenden. Weitere Informationen zum Aktualisieren Ihrer Organisationsrichtlinien finden Sie unter Einschränkungen für den Image-Zugriff festlegen.

Zugriff auf Ressourcen nicht möglich

Wenn Sie einen Connector angegeben haben, aber immer noch nicht auf Ressourcen in Ihrem VPC-Netzwerk zugreifen können, achten Sie darauf, dass es in Ihrem VPC-Netzwerk keine Firewallregeln mit einer Priorität unter 1000 gibt, die eingehenden Traffic aus dem IP-Bereich Ihres Connectors verweigern.

Wenn Sie einen Connector in einem freigegebenen VPC-Dienstprojekt konfigurieren, achten Sie darauf, dass Ihre Firewallregeln eingehenden Traffic von Ihrer serverlosen Infrastruktur zum Connector zulassen.

Fehler bezüglich verweigerter Verbindung

Wenn Sie connection refused-Fehler erhalten, die die Netzwerkleistung beeinträchtigen, können Ihre Verbindungen unbegrenzt über Aufrufe Ihrer serverlosen Anwendung hinweg wachsen. Verwenden Sie eine Clientbibliothek, die Verbindungspools unterstützt, um die maximale Anzahl der pro Instanz verwendeten Verbindungen zu begrenzen. Ausführliche Beispiele zu Verbindungspools finden Sie unter Datenbankverbindungen verwalten.

Fehler bezüglich nicht gefundener Ressource

Wenn Sie ein VPC-Netzwerk oder eine Firewallregel löschen, wird möglicherweise eine Meldung wie diese angezeigt: The resource "aet-uscentral1-subnet--1-egrfw" was not found.

Informationen zu diesem Fehler und zu seiner Behebung finden Sie in der Dokumentation zu VPC-Firewallregeln unter Fehler bezüglich nicht gefundener Ressource.

Nächste Schritte

Administratoraktivitäten mit dem Audit-Logging für den serverlosen VPC-Zugriff überwachen.
Schützen Sie Ressourcen und Daten, indem Sie mit VPC Service Controls einen Dienstperimeter erstellen.
Verwenden Sie IAM-Rollen (Identity and Access Management), die mit dem serverlosen VPC-Zugriff verknüpft sind. Unter Rollen für serverlosen VPC-Zugriff in der IAM-Dokumentation finden Sie eine Liste der Berechtigungen, die mit jeder Rolle verknüpft sind.
Verbindung zu Memorystore herstellen.