Se usó la API de Cloud Translation para traducir esta página.

Conectarse a una red de VPC

Te recomendamos que uses la salida de VPC directa para enviar tráfico a una red de VPC sin necesidad de usar un conector.

Sin embargo, si la salida de VPC directa no es una opción para ti, puedes configurar un conector de acceso a VPC sin servidores. En esta página, se muestra cómo conectar un servicio o trabajo de Cloud Run a tu red de VPC con un conector, lo que permite el tráfico de salida (saliente) de Cloud Run a instancias de VM de Compute Engine, instancias de Memorystore y cualquier otro recurso con una dirección IP interna.

Antes de comenzar

Si aún no tienes una red de VPC en tu proyecto, crea una.
Si usas una VPC compartida, consulta la documentación que abarca la configuración del Acceso a VPC sin servidores de tu producto.
- Cloud Run: Conéctate a una red de VPC compartida
- Funciones de Cloud Run: Conéctate a una red de VPC compartida
- App Engine: Conéctate a una red de VPC compartida
Si tienes una restricción de política de la organización que impide el uso de Cloud Deployment Manager, no podrás crear ni borrar conectores de Acceso a VPC sin servidores. Crear o borrar un conector requiere la funcionalidad de Deployment Manager.
Si tienes una política de imágenes confiables configurada para tu proyecto, asegúrate de permitir el proyecto serverless-vpc-access-images en la política de la organización constraints/compute.trustedimageProjects.

Requisitos de la subred del conector
Cada conector requiere su propia subred dedicada para fines PRIVATE con un rango de direcciones IPv4 principal /28. Otros recursos, como las VMs, Private Service Connect o los balanceadores de cargas, no pueden usar esta subred. Después de crear el conector, no se puede expandir la subred. Debe permanecer como /28.
Para crear un conector en un proyecto de servicio que usa una red de VPC compartida en un proyecto host, un administrador de red para la red de VPC compartida debe crear manualmente la subred del conector antes de que puedas crear el conector.
Para determinar si un conector puede usar una subred existente creada de forma manual, describe la subred:
```
gcloud compute networks subnets describe SUBNET --region=REGION
```
Reemplaza SUBNET por el nombre de la subred y REGION por la región que contiene la subred.

En el resultado, verifica lo siguiente:
- La subred es una subred regular. En Google Cloud CLI, esto significa que el valor de purpose es PRIVATE.
- El rango de direcciones IPv4 principal de la subred, ipCidrRange, es un /28.
Nota: La subred regular es el tipo de subred predeterminado. Las subredes regulares tienen un propósito de PRIVATE en gcloud o en la API. El propósito es None en la consola de Google Cloud .
Si necesitas crear un conector de Acceso a VPC sin servidores en el mismo proyecto que contiene la red de VPC que usa el conector, puedes crear manualmente la subred del conector antes de crear el conector o Google Cloud puedes crear la subred para el conector automáticamente.

Cuando Google Cloud crea una subred para un conector, ten en cuenta lo siguiente:
- Las subredes creadas automáticamente para los conectores no son visibles cuando enumeras las subredes, independientemente de si usas la consola, Google Cloud CLI o la API de Compute Engine. Google Cloud
- Las subredes creadas automáticamente para los conectores no se pueden describir.
- Las subredes creadas automáticamente se incluyen en la lista de subredes que se presenta cuando describes una red de VPC.

Para obtener más información sobre las subredes, incluido cómo enumerar las existentes para determinar qué rangos de direcciones IP ya se usan, consulta Trabaja con subredes.

Limitaciones

El tráfico IPv6 no es compatible.

Crear un conector

Para enviar solicitudes a tu red de VPC y recibir las respuestas correspondientes sin usar la Internet pública, puedes usar un conector de Acceso a VPC sin servidores.

Si el conector se encuentra en el mismo proyecto que su red de VPC, puedes crear un conector con una subred existente o crear un conector y una subred nueva.

Si el conector se encuentra en un proyecto de servicio y usa una red de VPC compartida, el conector y su red de VPC asociada están en proyectos diferentes. Cuando un conector y su red de VPC están en proyectos diferentes, un administrador de red de VPC compartida debe crear la subred del conector en la red de VPC compartida antes de que puedas crear el conector, y debes crear el conector con una subred existente.

Para obtener más información acerca de los requisitos de subred, consulta Requisitos de subred del conector.

Para obtener información sobre la capacidad de procesamiento del conector, incluidos el tipo de máquina y el escalamiento, consulta Capacidad de procesamiento y escalamiento.

Puedes crear un conector con la Google Cloud consola, Google Cloud CLI o Terraform.

Console

Dirígete a la página de descripción general de acceso a VPC sin servidores.

Ir a Acceso a VPC sin servidores
Haz clic en Crear conector.
En el campo Nombre, ingresa un nombre para tu conector, que coincida con las convenciones de nombres de Compute Engine, con los requisitos adicionales que debe cumplir el nombre. Debe tener menos de 21 caracteres y esos guiones (-) cuentan como dos caracteres.
En el campo Región, selecciona una región para el conector. Debe coincidir con la región del servicio sin servidores.

Si tu servicio o trabajo se encuentran en la región us-central o europe-west, usa us-central1 o europe-west1.
En el campo Red, selecciona la red de VPC a la que conectarás el conector.
En el campo Subred, selecciona una de las siguientes opciones:
- Crea un conector con una subred existente: Selecciona la subred existente en el campo Subred.
- Crea un conector y una subred nueva: Selecciona Rango de IP personalizado en el campo Subred. Luego, ingresa la primera dirección en un CIDR /28 sin usar (por ejemplo, 10.8.0.0/28) para usarla como rango de direcciones IPv4 principal de una subred nueva que Google Cloud cree en la red de VPC del conector. Asegúrate de que el rango de IP no entre en conflicto con ninguna ruta existente en la red de VPC del conector. El nombre de la subred nueva comienza con el prefijo “aet-”.
(Opcional) Si deseas configurar las opciones de escalamiento para tener control adicional del conector, haz clic en Mostrar la configuración de escalamiento a fin de mostrar el formulario de escalamiento:
1. Configura la cantidad mínima y máxima de instancias para tu conector o usa los valores predeterminados, que son 2 (mínimo) y 10 (máximo). El conector se escala verticalmente al máximo especificado si el uso del tráfico lo requiere, pero el conector no se reduce cuando el tráfico disminuye. Debes usar valores que se encuentren entre 2 y 10.
2. En el menú Tipo de instancia, elige el tipo de máquina que se usará para el conector o usa el tipo e2-micro predeterminado. Observa la barra lateral de costos a la derecha cuando elijas el tipo de instancia, en la que se muestran las estimaciones de costo y ancho de banda.
Haz clic en Crear.
Aparecerá una marca de verificación verde junto al nombre del conector cuando esté listo para usar.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Actualiza los componentes de gcloud a la versión más reciente:
```
gcloud components update
```
Asegúrate de que esté habilitada la API de Acceso a VPC sin servidores en el proyecto:
```
gcloud services enable vpcaccess.googleapis.com
```
Crea el conector con una de las siguientes opciones:

Para obtener más detalles y ver los argumentos opcionales, consulta la referencia de gcloud.
- Crea un conector con una subred existente:
```
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
 --region REGION \
 --subnet SUBNET_NAME \
 --subnet-project HOST_PROJECT_ID \
 --min-instances MIN \
 --max-instances MAX \
 --machine-type MACHINE_TYPE
```
  Reemplaza lo siguiente:
  - CONNECTOR_NAME: un nombre para el conector, que coincide con las convenciones de nombres de Compute Engine, con los requisitos adicionales de que el nombre debe tener menos de 21 caracteres y que los guiones (-) cuentan como dos caracteres.
  - REGION: una región para el conector que coincide con la región del trabajo o servicio sin servidores. Si tu servicio o trabajo están en us-central o europe-west, usa us-central1 o europe-west1.
  - SUBNET_NAME: el nombre de la subred existente.
  - HOST_PROJECT_ID: El ID del proyecto host de VPC compartida Si el conector y la subred existente se encuentran en el mismo proyecto, omite la marca --subnet-project.
  - MIN: Es la cantidad mínima de instancias que se usarán para el conector. Usa un número entero que se encuentre entre 2(el valor predeterminado) y 9.
  - MAX: Es la cantidad máxima de instancias que se usarán para el conector. Usa un número entero que se encuentre entre 3 y 10 (el valor predeterminado). Si el conector escala verticalmente al número máximo de instancias, no se reduce la escala.
  - MACHINE_TYPE debe ser una de las siguientes opciones: f1-micro, e2-micro o e2-standard-4.
- Crea un conector y una subred nueva:
```
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
 --region REGION \
 --network VPC_NETWORK \
 --range IP_RANGE
 --min-instances MIN \
 --max-instances MAX \
 --machine-type MACHINE_TYPE
```
  Reemplaza lo siguiente:
  - CONNECTOR_NAME: un nombre para el conector, que coincide con las convenciones de nombres de Compute Engine, con los requisitos adicionales de que el nombre debe tener menos de 21 caracteres y que los guiones (-) cuentan como dos caracteres.
  - REGION: una región para el conector que coincide con la región del trabajo o servicio sin servidores. Si tu servicio o trabajo están en us-central o europe-west, usa us-central1 o europe-west1.
  - VPC_NETWORK: el nombre de la red de VPC a la que enchufarás el conector. El conector y la red de VPC deben encontrarse en el mismo proyecto.
  - IP_RANGE: Proporciona un CIDR /28 sin usar (por ejemplo, 10.8.0.0/28) para usar como el rango de direcciones IPv4 principal de una subred nueva que Google Cloud crea en la red de VPC del conector. Asegúrate de que el rango de IP no entre en conflicto con ninguna ruta existente en la red de VPC del conector. El nombre de la subred nueva comienza con el prefijo “aet-”.
  - MIN: Es la cantidad mínima de instancias que se usarán para el conector. Usa un número entero que se encuentre entre 2(el valor predeterminado) y 9.
  - MAX: Es la cantidad máxima de instancias que se usarán para el conector. Usa un número entero que se encuentre entre 3 y 10 (el valor predeterminado). Si el conector escala verticalmente al número máximo de instancias, no se reduce la escala.
  - MACHINE_TYPE debe ser una de las siguientes opciones: f1-micro, e2-micro o e2-standard-4.
Verifica que tu conector tenga el estado READY antes de usarlo:
```
gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \
--region REGION
```
Reemplaza lo siguiente:
- CONNECTOR_NAME: Es el nombre de tu conector. Este es el nombre que especificaste en el paso anterior.
- REGION: Es la región del conector. Esta es la región que especificaste en el paso anterior.
El resultado debe contener la línea state: READY.

Terraform

Puedes usar un recurso de Terraform para habilitar la API de vpcaccess.googleapis.com.

resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

Puedes usar módulos de Terraform para crear una red y subred de VPC y, luego, crear el conector.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 11.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  version    = "~> 11.0"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

Configura el entorno sin servidores para usar un conector

Después de crear un conector de Acceso a VPC sin servidores, sigue las instrucciones del entorno sin servidores a fin de configurar el entorno sin servidores para usar el conector:

Configura Cloud Run
Configura Cloud Run Functions
Configura App Engine

Configura Cloud Run para usar el conector

Cuando creas un servicio nuevo oimplementas una revisión nueva, puedes configurar el servicio para usar un conector con la Google Cloud consola, Google Cloud CLI, un archivo YAML o un recurso de Terraform.

Console

En la consola de Google Cloud , ve a Cloud Run:

Ir a Cloud Run
Selecciona Servicios en el menú y haz clic en Implementar contenedor para configurar un servicio nuevo. Si quieres configurar un servicio existente, haz clic en el servicio y, luego, en implementar y editar la nueva revisión.
Si configuras un servicio nuevo, completa la página de configuración del servicio inicial como desees y haz clic en Contenedores, volúmenes, Herramientas de redes y seguridad para expandir la página de configuración del servicio.
Haz clic en la pestaña Conexiones.
- En el campo Conector de VPC (VPC Connector), selecciona el conector que usarás o selecciona Ninguno (None) para desconectar tu servicio de una red de VPC.
Haz clic en Crear o Implementar.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para especificar un conector durante la implementación, usa la marca --vpc-connector:
```
gcloud run deploy SERVICE --image IMAGE_URL --vpc-connector CONNECTOR_NAME
```
- Reemplaza SERVICE por el nombre del servicio
- Reemplaza IMAGE_URL.
- Reemplaza CONNECTOR_NAME por el nombre de tu conector. Si el conector está en el proyecto host de una VPC compartida, se debe ingresar el nombre completo, por ejemplo:
```
projects/HOST_PROJECT_ID/locations/CONNECTOR_REGION/connectors/CONNECTOR_NAME
```
  en el que HOST_PROJECT_ID es el ID del proyecto host, CONNECTOR_REGION es la región del conector y CONNECTOR_NAME es el nombre que le asignaste a tu conector.
Para conectar, actualizar o quitar un conector de un servicio existente, usa el comando gcloud run services update con cualquiera de las siguientes marcas, según sea necesario:
- --vpc-connector
- --clear-vpc-connector
Por ejemplo, para adjuntar o actualizar un conector, haz lo siguiente:
```
gcloud run services update SERVICE --vpc-connector CONNECTOR_NAME
```
- Reemplaza SERVICE por el nombre de tu servicio.
- Reemplaza CONNECTOR_NAME por el nombre de tu conector.

YAML

Si creas un servicio nuevo, omite este paso. Si actualizas un servicio existente, descarga su configuración de YAML:
```
gcloud run services describe SERVICE --format export > service.yaml
```
Agrega o actualiza el atributo run.googleapis.com/vpc-access-connector en el atributo annotations, en el atributo de nivel superior spec:
```
apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: SERVICE
spec:
  template:
    metadata:
      annotations:
        run.googleapis.com/vpc-access-connector: CONNECTOR_NAME
```
- Reemplaza SERVICE por el nombre de tu servicio de Cloud Run.
- Reemplaza CONNECTOR_NAME por el nombre de tu conector. Si el conector está en el proyecto host de una VPC compartida, se debe ingresar el nombre completo, por ejemplo:
```
projects/HOST_PROJECT_ID/locations/CONNECTOR_REGION/connectors/CONNECTOR_NAME
```
  en el que HOST_PROJECT_ID es el ID del proyecto host, CONNECTOR_REGION es la región del conector y CONNECTOR_NAME es el nombre que le asignaste a tu conector.
Reemplaza el servicio por la configuración nueva mediante el siguiente comando:
```
gcloud beta run services replace service.yaml
```

Terraform

Puedes usar un recurso de Terraform a fin de crear un servicio y configurarlo para que use tu conector.

# Cloud Run service
resource "google_cloud_run_v2_service" "gcr_service" {
  name     = "mygcrservice"
  location = "us-west1"

  deletion_protection = false # set to "true" in production

  template {
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello"
      resources {
        limits = {
          cpu    = "1000m"
          memory = "512Mi"
        }
      }
      # the service uses this SA to call other Google Cloud APIs
      # service_account_name = myservice_runtime_sa
    }

    scaling {
      # Limit scale up to prevent any cost blow outs!
      max_instance_count = 5
    }

    vpc_access {
      # Use the VPC Connector
      connector = google_vpc_access_connector.connector.id
      # all egress from the service should go through the VPC Connector
      egress = "ALL_TRAFFIC"
    }
  }
}

Configura funciones de Cloud Run para usar un conector

Puedes configurar una función para usar un conector desde la Google Cloud consola o Google Cloud CLI:

Console

Ve a la página de descripción general de Cloud Run Functions en laGoogle Cloud consola:

Ve a las funciones de Cloud Run
Haz clic en Crear función. Como alternativa, haz clic en una función existente para ir a la página de detalles y haz clic en Editar.
Haz clic en Configuración del entorno de ejecución, compilación y conexiones para expandir la configuración avanzada.
En la pestaña Conexiones en Configuración de salida, ingresa el nombre del conector en el campo Conector de VPC.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Usa el comando gcloud functions deploy para implementar la función y especifica la marca --vpc-connector:
```
gcloud functions deploy FUNCTION_NAME \
--vpc-connector CONNECTOR_NAME \
FLAGS...
```
Donde:
- FUNCTION_NAME es el nombre de la función.
- CONNECTOR_NAME es el nombre del conector. Si el conector está en el proyecto host de una VPC compartida, se debe ingresar el nombre completo, por ejemplo:
```
projects/HOST_PROJECT_ID/locations/CONNECTOR_REGION/connectors/CONNECTOR_NAME
```
  en el que HOST_PROJECT_ID es el ID del proyecto host, CONNECTOR_REGION es la región del conector y CONNECTOR_NAME es el nombre que le asignaste a tu conector.
- FLAGS... se refiere a otras marcas que pasas durante la implementación de la función.

Para tener más control sobre qué solicitudes se enrutan a través del conector, consulta Configuración de salida.

Configura App Engine para usar un conector.

Python 2

Deja de usar el servicio de recuperación de URL de App Engine.

De forma predeterminada, todas las solicitudes se enrutan a través del servicio de recuperación de URL. Esto hace que las solicitudes a tu red de VPC fallen. Para inhabilitar este valor predeterminado, consulta Inhabilita la recuperación de URL mediante el control de todas las solicitudes salientes.

Aún puedes usar la biblioteca urlfetch directamente para solicitudes individuales, si es necesario. Sin embargo, esto no se recomienda.
Agrega el campo Acceso a VPC sin servidores al archivo app.yaml:
```
vpc_access_connector:
 name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
```
Reemplaza lo siguiente:
- PROJECT_ID por el ID de tu proyecto Google Cloud . Si el conector está en el proyecto host de una VPC compartida, se debe especificar el ID del proyecto host.
- REGION por la región en la que se encuentra el conector
- CONNECTOR_NAME por el nombre de tu conector
Implementa el servicio:
```
gcloud app deploy
```
Después de implementar el servicio, este podrá enviar solicitudes a direcciones IP internas para acceder a los recursos en la red de VPC.

Java 8

Deja de usar el servicio de recuperación de URL de App Engine URLFetchService
Agrega el elemento de Acceso a VPC sin servidores al archivo appengine-web.xml del servicio:
```
<vpc-access-connector>
<name>projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME</name>
</vpc-access-connector>
```
Reemplaza lo siguiente:
- PROJECT_ID por el ID de tu proyecto Google Cloud . Si el conector está en el proyecto host de una VPC compartida, se debe especificar el ID del proyecto host.
- REGION por la región en la que se encuentra el conector
- CONNECTOR_NAME por el nombre de tu conector
Implementa el servicio:
```
gcloud app deploy WEB-INF/appengine-web.xml
```
Después de implementar el servicio, este podrá enviar solicitudes a direcciones IP internas para acceder a los recursos en la red de VPC.

Go 1.11

Deja de usar el servicio de recuperación de URL de App Engine.

El acceso a VPC sin servidores no admite la recuperación de URL, y las solicitudes realizadas mediante la recuperación de URL ignorarán la configuración del acceso a VPC sin servidores. Realiza conexiones salientes con sockets en su lugar.
Agrega el campo Acceso a VPC sin servidores al archivo app.yaml:
```
vpc_access_connector:
 name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
```
Reemplaza lo siguiente:
- PROJECT_ID con el ID de tu proyecto Google Cloud
- REGION por la región en la que se encuentra el conector
- CONNECTOR_NAME por el nombre de tu conector
Implementa el servicio:
```
gcloud app deploy
```
Después de implementar el servicio, este podrá enviar solicitudes a direcciones IP internas para acceder a los recursos en la red de VPC.

Todos los demás entornos de ejecución

Agrega el campo Acceso a VPC sin servidores al archivo app.yaml:
```
vpc_access_connector:
 name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
```
Reemplaza lo siguiente:
- PROJECT_ID por el ID de tu proyecto Google Cloud . Si el conector está en el proyecto host de una VPC compartida, se debe especificar el ID del proyecto host.
- REGION por la región en la que se encuentra el conector
- CONNECTOR_NAME por el nombre de tu conector
Implementa el servicio:
```
gcloud app deploy
```
Después de implementar el servicio, este podrá enviar solicitudes a direcciones IP internas para acceder a los recursos en la red de VPC.

Configura reglas de firewall para conectores

Reglas de firewall necesarias para conectores en proyectos de servicio

Si creas un conector en una red de VPC independiente o en el proyecto host de una red de VPC compartida, Google Cloud crea todas las reglas de firewall necesarias para el funcionamiento del conector. Para obtener más información, consulta Reglas de firewall para conectores en redes de VPC independientes o proyectos host de VPC compartida.

Sin embargo, si creas un conector en un proyecto de servicio y el conector se orienta a una red de VPC compartida en el proyecto host, debes agregar reglas de firewall para permitir el tráfico necesario para el funcionamiento del conector desde los siguientes rangos:

Rango de IP de la infraestructura sin servidores: 35.199.224.0/19
Rangos de IP de sondeo de verificación de estado: 35.191.0.0/16, 35.191.192.0/18 y 130.211.0.0/22

La infraestructura de Google subyacente a Cloud Run, funciones de Cloud Run y el entorno estándar de App Engine usa estos rangos. Todas las solicitudes de estas direcciones IP se originan en la infraestructura de Google para garantizar que cada recurso sin servidores solo se comunique con el conector al que está conectado.

También debes permitir el tráfico de la subred del conector a los recursos de tu red de VPC.

Para seguir estos pasos, debes tener una de las siguientes funciones en el proyecto host:

Rol de propietario (roles/owner)
Rol de administrador de seguridad de Compute (roles/compute.securityAdmin)
Rol de Identity and Access Management (IAM) personalizado con el permiso compute.firewalls.create habilitado

Para una configuración simple, aplica las reglas para permitir que los servicios sin servidores en cualquier proyecto de servicio conectado a la red de VPC compartida envíen solicitudes a cualquier recurso en la red.

Para aplicar estas reglas, ejecuta los siguientes comandos en el proyecto host:

Crea reglas de firewall que permitan que las solicitudes de la infraestructura sin servidores y los sondeos de verificación de estado de Google lleguen a todos los conectores de la red. En estos comandos, se usan puertos UDP y TCP como proxies y para verificaciones de estado HTTP, respectivamente. No cambies los puertos especificados.

gcloud compute firewall-rules create serverless-to-vpc-connector \
    --allow tcp:667,udp:665-666,icmp \
    --source-ranges=35.199.224.0/19 \
    --direction=INGRESS \
    --target-tags vpc-connector \
    --network=VPC_NETWORK

gcloud compute firewall-rules create vpc-connector-to-serverless \
    --allow tcp:667,udp:665-666,icmp \
    --destination-ranges=35.199.224.0/19 \
    --direction=EGRESS \
    --target-tags vpc-connector \
    --network=VPC_NETWORK

gcloud compute firewall-rules create vpc-connector-health-checks \
    --allow tcp:667 \
    --source-ranges=35.191.0.0/16,35.191.192.0/18,130.211.0.0/22 \
    --direction=INGRESS \
    --target-tags vpc-connector \
    --network=VPC_NETWORK

Reemplaza VPC_NETWORK por el nombre de la red de VPC a la que deseas conectar tu conector.

Crea una regla de firewall de entrada en la red de VPC para permitir las solicitudes de los conectores que se orientan a esta red:
```
gcloud compute firewall-rules create vpc-connector-requests \
    --allow tcp,udp,icmp \
    --direction=INGRESS \
    --source-tags vpc-connector \
    --network=VPC_NETWORK
```
Esta regla otorga al conector acceso a cada recurso de la red. Para limitar los recursos a los que tu entorno sin servidores puede acceder con el Acceso a VPC sin servidores, consulta Restringe el acceso de la VM del conector a los recursos de la red de VPC.

Crea reglas de firewall para conectores específicos

Seguir el procedimiento en Reglas de firewall necesarias para conectores en proyectos de servicio da como resultado reglas de firewall que se aplican a todos los conectores, tanto los actuales como los que se creen en el futuro. Si no quieres esto, pero deseas crear reglas solo para conectores específicos, puedes definir el alcance de las reglas para que se apliquen solo a esos conectores.

Para limitar el alcance de las reglas a conectores específicos, puedes usar uno de los siguientes mecanismos:

Etiquetas de red: Cada conector tiene dos etiquetas de red: vpc-connector y vpc-connector-REGION-CONNECTOR_NAME. Usa este último formato para limitar el alcance de las reglas de firewall a un conector específico.
Rangos de IP: usa esto solo para las reglas de salida, ya que no funciona con las reglas de entrada. Puedes usar el rango de IP de la subred del conector para limitar el alcance de las reglas de firewall a un solo conector de VPC.

Restringe el acceso de la VM del conector a los recursos de la red de VPC

Puedes restringir el acceso de tu conector a los recursos en la red de VPC de destino mediante las reglas de firewall de VPC o las reglas en las políticas de firewall. Puedes aplicar estas restricciones mediante una de las siguientes estrategias:

Crea reglas de entrada cuyos objetivos representen los recursos a los que deseas limitar el acceso de la VM del conector y cuyos orígenes representen las VMs del conector.
Crea reglas de salida cuyos objetivos representen las VMs del conector y cuyos destinos representen los recursos a los que deseas limitar el acceso de la VM del conector.

En los siguientes ejemplos, se ilustra cada estrategia.

Restringe el acceso con reglas de entrada

Elige las etiquetas de red o los rangos de CIDR que sirven para controlar el tráfico de entrada a tu red de VPC:

Etiquetas de red

En los siguientes pasos, se muestra cómo crear reglas de entrada que restrinjan el acceso de un conector a tu red de VPC en función de las etiquetas de red del conector.

Asegúrate de tener los permisos necesarios para insertar reglas de firewall. Debes contar con una de las siguientes funciones de Identity and Access Management (IAM):
- Función de administrador de seguridad de Compute
- Función de IAM personalizada con el permiso compute.firewalls.create habilitado
Deniega el tráfico del conector en toda tu red de VPC.

Crea una regla de firewall de entrada con una prioridad inferior a 1,000 en la red de VPC para denegar la entrada de la etiqueta de red del conector. Esto anula la regla de firewall implícita que crea el acceso a VPC sin servidores en la red de VPC de forma predeterminada.
```
gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--rules=PROTOCOL \
--source-tags=VPC_CONNECTOR_NETWORK_TAG \
--direction=INGRESS \
--network=VPC_NETWORK \
--priority=PRIORITY
```
Reemplaza lo siguiente:
- RULE_NAME: Es el nombre de la regla de firewall nueva. Por ejemplo, deny-vpc-connector.
- PROTOCOL: Uno o más protocolos que deseas permitir desde tu conector de VPC. Los protocolos compatibles son tcp o udp. Por ejemplo, tcp:80,udp permite el tráfico de TCP a través del puerto 80 y el tráfico de UDP. Para obtener más información, consulta la documentación de la marca allow.
  
  Por razones de seguridad y validación, también puedes configurar reglas de denegación para bloquear el tráfico de los siguientes protocolos no compatibles: ah, all, esp, icmp, ipip y sctp.
- VPC_CONNECTOR_NETWORK_TAG: Es la etiqueta de red del conector universal si quieres restringir el acceso a todos los conectores (incluidos los que se creen en el futuro) o la etiqueta de red única si deseas restringir el acceso a un conector específico.
  - Etiqueta de red universal: vpc-connector
  - Etiqueta de red única: vpc-connector-REGION-CONNECTOR_NAME
    
    Reemplaza lo siguiente:
    - REGION: Es la región del conector que quieres restringir.
    - CONNECTOR_NAME: Es el nombre del conector que quieres restringir.
  Para obtener más información sobre las etiquetas de red del conector, consulta Etiquetas de red.
- VPC_NETWORK es el nombre de tu red de VPC.
- PRIORITY: un número entero entre 0 y 65535. Por ejemplo, 0 establece la prioridad más alta.
Permite el tráfico del conector al recurso que debe recibir tráfico del conector.

Usa las marcas allow y target-tags para crear una regla de firewall de entrada orientada al recurso en tu red de VPC a la que deseas que acceda el conector de VPC. Establece la prioridad para que esta regla sea un valor inferior a la prioridad de la regla que estableciste en el paso anterior.
```
gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOL \
--source-tags=VPC_CONNECTOR_NETWORK_TAG \
--direction=INGRESS \
--network=VPC_NETWORK \
--target-tags=RESOURCE_TAG \
--priority=PRIORITY
```
Reemplaza lo siguiente:
- RULE_NAME: Es el nombre de la regla de firewall nueva. Por ejemplo, allow-vpc-connector-for-select-resources.
- PROTOCOL: Uno o más protocolos que deseas permitir desde tu conector de VPC. Los protocolos compatibles son tcp o udp. Por ejemplo, tcp:80,udp permite el tráfico de TCP a través del puerto 80 y el tráfico de UDP. Para obtener más información, consulta la documentación de la marca allow.
- VPC_CONNECTOR_NETWORK_TAG: Es la etiqueta de red del conector universal si quieres restringir el acceso a todos los conectores (incluidos los que se creen en el futuro) o la etiqueta de red única si deseas restringir el acceso a un conector específico. Debe coincidir con la etiqueta de red que especificaste en el paso anterior.
  - Etiqueta de red universal: vpc-connector
  - Etiqueta de red única: vpc-connector-REGION-CONNECTOR_NAME
    
    Reemplaza lo siguiente:
    - REGION: Es la región del conector que quieres restringir.
    - CONNECTOR_NAME: Es el nombre del conector que quieres restringir.
  Para obtener más información sobre las etiquetas de red del conector, consulta Etiquetas de red.
- VPC_NETWORK es el nombre de tu red de VPC.
- RESOURCE_TAG: la etiqueta de red para el recurso de VPC al que deseas que acceda tu conector de VPC.
- PRIORITY: un número entero inferior a la prioridad que estableciste en el paso anterior. Por ejemplo, si estableces la prioridad para la regla que creaste en el paso anterior en 990, prueba con 980.

A fin de obtener más información sobre las marcas obligatorias y opcionales para la creación de reglas de firewall, consulta la documentación de gcloud compute firewall-rules create.

Rango de CIDR

En los siguientes pasos, se muestra cómo crear reglas de entrada que restrinjan el acceso de un conector a tu red de VPC en función del rango de CIDR del conector.

Asegúrate de tener los permisos necesarios para insertar reglas de firewall. Debes contar con una de las siguientes funciones de Identity and Access Management (IAM):
- Función de administrador de seguridad de Compute
- Función de IAM personalizada con el permiso compute.firewalls.create habilitado
Deniega el tráfico del conector en toda tu red de VPC.

Crea una regla de firewall de entrada con una prioridad inferior a 1,000 en tu red de VPC para denegar la entrada desde el rango de CIDR del conector. Esto anula la regla de firewall implícita que crea el acceso a VPC sin servidores en la red de VPC de forma predeterminada.
```
gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--rules=PROTOCOL \
--source-ranges=VPC_CONNECTOR_CIDR_RANGE \
--direction=INGRESS \
--network=VPC_NETWORK \
--priority=PRIORITY
```
Reemplaza lo siguiente:
- RULE_NAME: Es el nombre de la regla de firewall nueva. Por ejemplo, deny-vpc-connector.
- PROTOCOL: Uno o más protocolos que deseas permitir desde tu conector de VPC. Los protocolos compatibles son tcp o udp. Por ejemplo, tcp:80,udp permite el tráfico de TCP a través del puerto 80 y el tráfico de UDP. Para obtener más información, consulta la documentación de la marca allow.
  
  Por razones de seguridad y validación, también puedes configurar reglas de denegación para bloquear el tráfico de los siguientes protocolos no compatibles: ah, all, esp, icmp, ipip y sctp.
- VPC_CONNECTOR_CIDR_RANGE: El rango de CIDR del conector cuyo acceso estás restringiendo
- VPC_NETWORK es el nombre de tu red de VPC.
- PRIORITY: un número entero entre 0 y 65535. Por ejemplo, 0 establece la prioridad más alta.
Permite el tráfico del conector al recurso que debe recibir tráfico del conector.

Usa las marcas allow y target-tags para crear una regla de firewall de entrada orientada al recurso en tu red de VPC a la que deseas que acceda el conector de VPC. Establece la prioridad para que esta regla sea un valor inferior a la prioridad de la regla que estableciste en el paso anterior.
```
gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOL \
--source-ranges=VPC_CONNECTOR_CIDR_RANGE \
--direction=INGRESS \
--network=VPC_NETWORK \
--target-tags=RESOURCE_TAG \
--priority=PRIORITY
```
Reemplaza lo siguiente:
- RULE_NAME: Es el nombre de la regla de firewall nueva. Por ejemplo, allow-vpc-connector-for-select-resources.
- PROTOCOL: Uno o más protocolos que deseas permitir desde tu conector de VPC. Los protocolos compatibles son tcp o udp. Por ejemplo, tcp:80,udp permite el tráfico de TCP a través del puerto 80 y el tráfico de UDP. Para obtener más información, consulta la documentación de la marca allow.
- VPC_CONNECTOR_CIDR_RANGE: El rango de CIDR del conector cuyo acceso estás restringiendo
- VPC_NETWORK es el nombre de tu red de VPC.
- RESOURCE_TAG: la etiqueta de red para el recurso de VPC al que deseas que acceda tu conector de VPC.
- PRIORITY: un número entero inferior a la prioridad que estableciste en el paso anterior. Por ejemplo, si estableces la prioridad para la regla que creaste en el paso anterior en 990, prueba con 980.

A fin de obtener más información sobre las marcas obligatorias y opcionales para la creación de reglas de firewall, consulta la documentación de gcloud compute firewall-rules create.

Restringe el acceso con reglas de salida

En los siguientes pasos, se muestra cómo crear reglas de salida para restringir el acceso al conector.

Asegúrate de tener los permisos necesarios para insertar reglas de firewall. Debes contar con una de las siguientes funciones de Identity and Access Management (IAM):
- Función de administrador de seguridad de Compute
- Función de IAM personalizada con el permiso compute.firewalls.create habilitado
Rechaza el tráfico de salida proveniente de tu conector.

Crea una regla de firewall de salida en tu conector de acceso a VPC sin servidores para evitar que envíe tráfico de salida, con la excepción de las respuestas establecidas, a cualquier destino.
```
gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--rules=PROTOCOL \
--direction=EGRESS \
--target-tags=VPC_CONNECTOR_NETWORK_TAG \
--network=VPC_NETWORK \
--priority=PRIORITY
```
Reemplaza lo siguiente:
- RULE_NAME: Es el nombre de la regla de firewall nueva. Por ejemplo, deny-vpc-connector.
- PROTOCOL: Uno o más protocolos que deseas permitir desde tu conector de VPC. Los protocolos compatibles son tcp o udp. Por ejemplo, tcp:80,udp permite el tráfico de TCP a través del puerto 80 y el tráfico de UDP. Para obtener más información, consulta la documentación de la marca allow.
  
  Por razones de seguridad y validación, también puedes configurar reglas de denegación para bloquear el tráfico de los siguientes protocolos no compatibles: ah, all, esp, icmp, ipip y sctp.
- VPC_CONNECTOR_NETWORK_TAG: Es la etiqueta de red del conector de VPC universal si deseas que la regla se aplique para todos los conectores de VPC existentes y futuros. O bien, es la etiqueta de red del conector de VPC única si deseas controlar un conector específico.
- VPC_NETWORK es el nombre de tu red de VPC.
- PRIORITY: un número entero entre 0 y 65535. Por ejemplo, 0 establece la prioridad más alta.
Permite el tráfico de salida cuando el destino se encuentra en el rango CIDR al que deseas que acceda tu conector.

Usa las marcas allow y destination-ranges a fin de crear una regla de firewall que permita el tráfico de salida desde el conector para un rango específico de destinos. Establece el rango de destinos en el rango de CIDR del recurso en tu red de VPC a la que deseas que tu conector pueda acceder. Establece la prioridad para que esta regla sea un valor inferior a la prioridad de la regla que estableciste en el paso anterior.
```
gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOL \
--destination-ranges=RESOURCE_CIDR_RANGE \
--direction=EGRESS \
--network=VPC_NETWORK \
--target-tags=VPC_CONNECTOR_NETWORK_TAG \
--priority=PRIORITY
```
Reemplaza lo siguiente:
- RULE_NAME: Es el nombre de la regla de firewall nueva. Por ejemplo, allow-vpc-connector-for-select-resources.
- PROTOCOL: Uno o más protocolos que deseas permitir desde tu conector de VPC. Los protocolos compatibles son tcp o udp. Por ejemplo, tcp:80,udp permite el tráfico de TCP a través del puerto 80 y el tráfico de UDP. Para obtener más información, consulta la documentación de la marca allow.
- RESOURCE_CIDR_RANGE: El rango de CIDR del conector cuyo acceso estás restringiendo
- VPC_NETWORK es el nombre de tu red de VPC.
- VPC_CONNECTOR_NETWORK_TAG: Es la etiqueta de red del conector de VPC universal si deseas que la regla se aplique para todos los conectores de VPC existentes y futuros. O bien, es la etiqueta de red del conector de VPC única si deseas controlar un conector específico. Si usaste la etiqueta de red única en el paso anterior, usa la etiqueta de red única.
- PRIORITY: un número entero inferior a la prioridad que estableciste en el paso anterior. Por ejemplo, si estableces la prioridad para la regla que creaste en el paso anterior en 990, prueba con 980.

A fin de obtener más información sobre las marcas obligatorias y opcionales para la creación de reglas de firewall, consulta la documentación de gcloud compute firewall-rules create.

Actualiza un conector

Puedes actualizar y supervisar los siguientes atributos de tu conector a través de la Google Cloud consola, Google Cloud CLI o la API:

Tipo de máquina (instancia)
Cantidad mínima y máxima de instancias
Capacidad de procesamiento, cantidad de instancias y uso de CPU recientes

Actualizar tipo de máquina

Consola

Dirígete a la página de descripción general de acceso a VPC sin servidores.

Ir a Acceso a VPC sin servidores
Selecciona el conector que quieres editar y haz clic en Editar.
En la lista Tipo de instancia, selecciona el tipo de máquina (instancia) que prefieras. Para obtener información sobre los tipos de máquinas disponibles, consulta la documentación sobre Capacidad de procesamiento y escalamiento.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para actualizar el tipo de máquina del conector, ejecuta el siguiente comando en tu terminal:
```
gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --machine-type=MACHINE_TYPE
```
Reemplaza lo siguiente:
- CONNECTOR_NAME: el nombre del conector
- REGION: el nombre de la región del conector
- MACHINE_TYPE: el tipo de máquina que prefieras. Para obtener información sobre los tipos de máquinas disponibles, consulta la documentación sobre Capacidad de procesamiento y escalamiento.

Disminuye la cantidad mínima y máxima de instancias

Para disminuir la cantidad mínima y máxima de instancias, debes hacer lo siguiente:

Crea un conector nuevo con tus valores preferidos.
Actualiza tu servicio o función para usar el conector nuevo.
Borra el conector anterior cuando hayas movido su tráfico.

Aumenta la cantidad mínima y máxima de instancias

Consola

Dirígete a la página de descripción general de acceso a VPC sin servidores.

Ir a Acceso a VPC sin servidores
Selecciona el conector que quieres editar y haz clic en Editar.
En el campo Cantidad mínima de instancias, selecciona la cantidad mínima de instancias que prefieras.

El valor más pequeño posible para este campo es el valor actual. El valor más alto posible para este campo es el valor actual en el campo Cantidad máxima de instancias menos 1. Por ejemplo, si el valor en el campo Cantidad máxima de instancias es 8, el valor más alto posible para el campo Cantidad mínima de instancias es 7.
En el campo Cantidad máxima de instancias, selecciona la cantidad máxima de instancias que prefieras.

El valor más pequeño posible para este campo es el valor actual. El valor más alto posible para este campo es 10.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Para aumentar la cantidad mínima o máxima de instancias para el conector, ejecuta el siguiente comando en tu terminal:

gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --min-instances=MIN_INSTANCES --max-instances=MAX_INSTANCES

Reemplaza lo siguiente:

CONNECTOR_NAME: el nombre del conector
REGION: el nombre de la región del conector
MIN_INSTANCES: la cantidad mínima de instancias que prefieras.
- El valor más pequeño posible para este campo es el valor actual de min_instances. Para buscar el valor actual, consulta Busca los valores de los atributos actuales.
- El valor más alto posible para este campo es el valor max_instances actual menos 1, porque min_instances debe ser menor que max_instances. Por ejemplo, si max_instances es 8, el valor más alto posible para este campo es 7. Si el conector usa el valor predeterminado max-instances de 10, el valor más alto posible de este campo es 9. Para buscar el valor de max-instances, consulta Busca los valores de los atributos actuales.
MAX_INSTANCES:
- El valor más pequeño posible para este campo es el valor actual de max_instances. Para buscar el valor actual, consulta Busca los valores de los atributos actuales.
- El valor más alto posible para este campo es 10.
Si solo deseas aumentar la cantidad mínima de instancias, pero no la máxima, debes especificar la cantidad máxima de instancias. Por el contrario, si solo deseas actualizar la cantidad máxima de instancias, pero no la mínima, debes especificar la cantidad mínima de instancias. Para mantener la cantidad mínima o máxima de instancias en el valor actual, especifica su valor actual. Para buscar el valor actual, consulta Busca los valores de los atributos actuales.

Busca los valores de los atributos actuales

Para buscar los valores de los atributos actuales de tu conector, ejecuta lo siguiente en tu terminal:

gcloud compute networks vpc-access connectors describe CONNECTOR_NAME --region=REGION --project=PROJECT

Reemplaza lo siguiente:

CONNECTOR_NAME: el nombre del conector
REGION: el nombre de la región del conector
PROJECT: el nombre de tu proyecto de Google Cloud

Supervisa el uso del conector

La supervisión del uso en el tiempo puede ayudarte a determinar cuándo ajustar la configuración de un conector. Por ejemplo, si el uso de CPU aumenta, puedes intentar aumentar la cantidad máxima de instancias para obtener mejores resultados. O si alcanzas el máximo de la capacidad de procesamiento, puedes decidir cambiar a un tipo de máquina más grande.

Para mostrar gráficos de la capacidad de procesamiento del conector, la cantidad de instancias y las métricas de uso de CPU con el tiempo a través de la Google Cloud consola, haz lo siguiente:

Dirígete a la página de descripción general de Acceso a VPC sin servidores.

Ir a Acceso a VPC sin servidores
Haz clic en el nombre del conector que quieres supervisar.
Selecciona la cantidad de días que deseas mostrar entre 1 y 90 días.
En el gráfico Capacidad de procesamiento, mantén el puntero sobre el gráfico para ver la capacidad de procesamiento reciente del conector.
En el gráfico Cantidad de instancias, mantén el puntero sobre el gráfico para ver la cantidad de instancias que el conector usó recientemente.
En el gráfico Uso de CPU, mantén el puntero sobre el gráfico para ver el uso de CPU reciente del conector. En el gráfico, se muestra el uso de CPU distribuido entre las instancias para los percentiles 50, 95 y 99.

Borra un conector

Antes de borrar un conector, debes quitarlo de todos los recursos sin servidores que aún lo usen. Si borras un conector antes de quitarlo de tus recursos sin servidores, no podrás borrar la red de VPC más adelante.

Para los usuarios de VPC compartida que configuraron conectores en el proyecto host de la VPC compartida, puedes usar el comando gcloud compute networks vpc-access connectors describe para enumerar los proyectos, que son recursos sin servidores que usan un conector determinado.

Para borrar un conector, usa la consola de Google Cloud o Google Cloud CLI:

Console

Ve a la página de descripción general de Acceso a VPC sin servidores en laGoogle Cloud consola:

Ir a Acceso a VPC sin servidores
Selecciona el conector que quieres borrar.
Haz clic en Borrar.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Usa el siguiente comando de gcloud para borrar un conector:
```
gcloud compute networks vpc-access connectors delete CONNECTOR_NAME --region=REGION
```
Reemplaza lo siguiente:
- CONNECTOR_NAME es el nombre del conector que quieres borrar.
- REGION es la región donde se encuentra el conector.

Administra restricciones personalizadas para proyectos

En esta sección, se describe cómo crear restricciones personalizadas para los conectores de Acceso a VPC sin servidores y aplicarlas a nivel del proyecto. Para obtener información sobre las políticas de la organización personalizadas, consulta Crea y administra políticas de la organización personalizadas.

Google Cloud La política de la organización te brinda un control centralizado y programático sobre los recursos de tu organización. Como administrador de políticas de la organización, puedes definir una política de la organización, que es un conjunto de limitaciones llamadas restricciones que se aplican a los recursos deGoogle Cloud y a sus descendientes en la jerarquía de recursos deGoogle Cloud . Puedes aplicar políticas de la organización a nivel de la organización, carpeta o proyecto.

La política de la organización proporciona restricciones predefinidas para varios servicios deGoogle Cloud . Sin embargo, si deseas un control más detallado y personalizable sobre los campos específicos que están restringidos en las políticas de tu organización, también puedes crear políticas de la organización personalizadas.

Beneficios

El acceso a VPC sin servidores te permite escribir cualquier cantidad de restricciones personalizadas con la mayoría de los campos configurados por el usuario en la API de Acceso a VPC sin servidores. Por ejemplo, puedes crear una restricción personalizada que especifique qué subredes puede usar un conector de Acceso a VPC sin servidores.

Una vez aplicadas, las solicitudes que infrinjan una política que aplique una restricción personalizada mostrarán un mensaje de error en gcloud CLI y en los registros del Acceso a VPC sin servidores. El mensaje de error contiene el ID de la restricción y la descripción de la restricción personalizada incumplida.

Herencia de políticas

De forma predeterminada, las políticas de la organización se heredan según los subordinados de los recursos en los que se aplica la política. Por ejemplo, si aplicas una política en una carpeta, Google Cloud aplica la política en todos los proyectos de la carpeta. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta Reglas de evaluación de la jerarquía.

Limitaciones

No se admite la especificación del tipo de máquina, la cantidad mínima de instancias ni la cantidad máxima de instancias.

Antes de comenzar

Asegúrate de conocer el ID de la organización.

Roles requeridos

Para obtener los permisos que necesitas para administrar las políticas de la organización, pídele a tu administrador que te otorgue el rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en el recurso de organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crea una restricción personalizada

Una restricción personalizada se define en un archivo YAML a través de los recursos, los métodos, las condiciones y las acciones que son compatibles con el servicio en el que aplicas la política de la organización. Las condiciones para tus restricciones personalizadas se definen con Common Expression Language (CEL). Si deseas obtener más información para compilar condiciones en restricciones personalizadas mediante CEL, consulta la sección CEL de Crea y administra restricciones personalizadas.

Para crear un archivo YAML para una restricción personalizada de Acceso a VPC sin servidores, consulta el siguiente ejemplo:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- vpcaccess.googleapis.com/Connector
methodTypes:
- CREATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Reemplaza lo siguiente:

ORGANIZATION_ID: el ID de la organización, como 123456789.
CONSTRAINT_NAME: el nombre que deseas para tu nueva restricción personalizada. Una restricción personalizada debe comenzar con custom. y solo puede incluir letras mayúsculas, minúsculas o números, por ejemplo, custom.defaultNetworkConstraint. La longitud máxima de este campo es de 70 caracteres, sin contar el prefijo.
CONDITION: una condición de CEL que se escribe en una representación de un recurso de servicio compatible. La longitud máxima de este campo es 1000 caracteres. Por ejemplo, "resource.network == default".
ACTION: la acción que se realiza si se cumple condition. Puede ser ALLOW o DENY.
DISPLAY_NAME: un nombre descriptivo para la restricción. La longitud máxima de este campo es 200 caracteres.
DESCRIPTION: Es una descripción fácil de usar de la restricción que se mostrará como un mensaje de error cuando se infrinja la política, por ejemplo, "Require network to not be set to default.". Este campo tiene una longitud máxima de 2,000 caracteres.

Para obtener más información sobre cómo crear una restricción personalizada, consulta Define restricciones personalizadas.

Configura una restricción personalizada

Después de crear el archivo YAML para una nueva restricción personalizada, debes configurarla para que esté disponible para las políticas de la organización de tu organización. Para configurar una restricción personalizada, usa el comando gcloud org-policies set-custom-constraint:

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

Reemplaza CONSTRAINT_PATH por la ruta de acceso completa al archivo de restricción personalizado. Por ejemplo, /home/user/customconstraint.yaml. Una vez completadas, tus restricciones personalizadas estarán disponibles como políticas de la organización en tu lista de Google Cloud políticas de la organización. Para verificar que la restricción personalizada exista, usa el comando gcloud org-policies list-custom-constraints:

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Reemplaza ORGANIZATION_ID por el ID del recurso de tu organización. Para obtener más información, consulta Visualiza las políticas de la organización.

Aplica una restricción personalizada

Puedes aplicar una restricción si creas una política de la organización que haga referencia a ella y, luego, aplicas esa política a un recurso Google Cloud .

Console

En la consola de Google Cloud , ve a la página Políticas de la organización.
Ir a Políticas de la organización
En el selector de proyectos, selecciona el proyecto para el que deseas configurar la política de la organización.
En la lista de la página Políticas de la organización, selecciona tu restricción para ver la página Detalles de la política de esa restricción.
Si deseas configurar las políticas de la organización para este recurso, haz clic en Administrar política.
En la página Editar política, selecciona Anular la política del elemento superior.
Haz clic en Agregar una regla.
En la sección Aplicación, selecciona si la aplicación de esta política de la organización está activada o desactivada.
Opcional: haz clic en Agregar condición para que la política de la organización sea condicional en una etiqueta. Ten en cuenta que si agregas una regla condicional a una política de la organización, debes agregar al menos una regla sin condición o la política no se puede guardar. Para obtener más información, consulta Configura una política de la organización con etiquetas.
Haz clic en Probar cambios para simular el efecto de la política de la organización. La simulación de políticas no está disponible para las restricciones administradas heredadas. Para obtener más información, consulta Prueba los cambios en las políticas de la organización con Policy Simulator.
Para finalizar y aplicar la política de la organización, haz clic en Establecer política. La política tarda hasta 15 minutos en aplicarse.

gcloud

Para crear una política de la organización con reglas booleanas, crea un archivo YAML de política que haga referencia a la restricción:

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Reemplaza lo siguiente:

PROJECT_ID: el proyecto en el que deseas aplicar tu restricción.
CONSTRAINT_NAME: el nombre que definiste para tu restricción personalizada. Por ejemplo: custom.defaultNetworkConstraint

Para aplicar la política de la organización que contiene la restricción, ejecuta el siguiente comando:

    gcloud org-policies set-policy POLICY_PATH

Reemplaza POLICY_PATH por la ruta de acceso completa al archivo YAML de la política de la organización. La política tarda hasta 15 minutos en aplicarse.

Prueba la restricción personalizada

Para probar el ejemplo que restringe la configuración de entrada, implementa un conector en el proyecto con la red configurada en default:

gcloud compute networks vpc-access connectors create org-policy-test \
    --project=PROJECT_ID \
    --region=REGION_ID \
    --network=default

Esta es la salida:

Operation denied by custom org policies: ["customConstraints/custom.defaultNetworkConstraint": "Require network to not be set to default."]

Ejemplos de políticas de la organización personalizadas para casos de uso comunes

En la siguiente tabla, se proporcionan ejemplos de restricciones personalizadas que pueden ser útiles con los conectores del Acceso a VPC sin servidores:

Descripción	Sintaxis de la restricción
Exige que los conectores de Acceso a VPC sin servidores solo puedan usar una red específica.	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.allowlistNetworks resourceTypes: - vpcaccess.googleapis.com/Connector methodTypes: - CREATE condition: "resource.network == 'allowlisted-network'" actionType: ALLOW displayName: allowlistNetworks description: Require connectors to use a specific network.
Descripción	Sintaxis de la restricción
Exige que los conectores de Acceso a VPC sin servidores tengan acceso solo a una subred específica.	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.restrictSubnetForProject resourceTypes: - vpcaccess.googleapis.com/Connector methodTypes: - CREATE condition: "resource.subnet.name == 'allocated-subnet'" actionType: ALLOW displayName: restrictSubnetForProject description: This project is only allowed to use the subnet "allocated-subnet".

Descripción

Sintaxis de la restricción

Exige que los conectores de Acceso a VPC sin servidores solo puedan usar una red específica.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowlistNetworks
    resourceTypes:
    - vpcaccess.googleapis.com/Connector
    methodTypes:
    - CREATE
    condition: "resource.network == 'allowlisted-network'"
    actionType: ALLOW
    displayName: allowlistNetworks
    description: Require connectors to use a specific network.

Descripción

Sintaxis de la restricción

Exige que los conectores de Acceso a VPC sin servidores tengan acceso solo a una subred específica.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictSubnetForProject
    resourceTypes:
    - vpcaccess.googleapis.com/Connector
    methodTypes:
    - CREATE
    condition: "resource.subnet.name == 'allocated-subnet'"
    actionType: ALLOW
    displayName: restrictSubnetForProject
    description: This project is only allowed to use the subnet "allocated-subnet".

Configura tu entorno de Cloud Run para usar la VPC directa en lugar de un conector

Puedes habilitar tu servicio de Cloud Run para enviar tráfico de salida (saliente) directamente a una red de VPC, lo que permite el acceso a instancias de VM de Compute Engine, instancias de Memorystore y cualquier otro. recursos con una dirección IP interna.

Configura tu servicio para usar la VPC directa

La salida de VPC directa permite que tu servicio de Cloud Run envíe tráfico a una red de VPC sin un conector de Acceso a VPC sin servidores. Los costos de red reducen su escala a cero al igual que el servicio. También puedes agregar etiquetas de red directamente en las revisiones de servicio de Cloud Run para obtener una seguridad de red más detallada, como aplicar reglas de firewall de VPC.

Puedes configurar la salida de VPC directa con un servicio a través de laGoogle Cloud consola, Google Cloud CLI, YAML o Terraform.

Console

Ir a Cloud Run
Haz clic en Crear servicio si quieres configurar un servicio nuevo en el que realizarás la implementación. Si quieres configurar y, luego, implementar un servicio existente, haz clic en el servicio y, luego, en Implementar y editar una nueva revisión.
Si configuras un servicio nuevo, completa la página de configuración del servicio inicial como desees y haz clic en Contenedor, volúmenes, herramientas de redes y seguridad para expandir la página de configuración del servicio.
Haz clic en la pestaña Herramientas de redes.
Haz clic en Conéctate a una VPC para el tráfico saliente.
Haz clic en Enviar tráfico de forma directa a una VPC.
En el campo Red, selecciona la red de VPC a la que deseas enviar tráfico.
En el campo Subred, selecciona la subred desde la que tu servicio recibe direcciones IP. Puedes implementar varios servicios en la misma subred.
Opcional: Ingresa los nombres de las etiquetas de red que quieres asociar con tu servicio o tus servicios. Las etiquetas de red se especifican a nivel de revisión. Cada revisión del servicio puede tener diferentes etiquetas de red, como network-tag-2.
En Enrutamiento del tráfico, selecciona una de las siguientes opciones:
- Enruta solo las solicitudes a IP privadas a la VPC para enviar solo tráfico a direcciones internas a través de la red de VPC.
- Enruta todo el tráfico a la VPC para enviar todo el tráfico saliente a través de la red de VPC.
Haz clic en Crear o Implementar.
Para verificar que tu servicio esté en tu red de VPC, haz clic en el servicio y, luego, en la pestaña Herramientas de redes. Las redes y las subredes se detallan en la tarjeta VPC.

Ahora puedes enviar solicitudes desde tu servicio de Cloud Run a cualquier recurso en la red de VPC, como lo permiten las reglas de firewall.

gcloud

Para implementar un servicio de Cloud Run sin un conector de Google Cloud CLI, sigue estos pasos:

Actualiza los componentes de gcloud a la versión más reciente:
```
gcloud components update
```
Asegúrate de que la API de Compute Engine esté habilitada para tu proyecto:
```
gcloud services enable compute.googleapis.com
```
Implementa el servicio de Cloud Run con el siguiente comando:
```
gcloud run deploy SERVICE_NAME \
--image=IMAGE_URL \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION
```
Reemplaza lo siguiente:
- SERVICE_NAME por el nombre del servicio de Cloud Run.
- IMAGE_URL: Una referencia a la imagen del contenedor, por ejemplo, us-docker.pkg.dev/cloudrun/container/hello:latest. Si usas Artifact Registry, el repositorio REPO_NAME debe estar creado. La URL sigue el formato de LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG.
- Opcional: NETWORK por el nombre de tu red de VPC. Especifica una red de VPC o una subred, o ambas. Si solo especificas una red, la subred usará el mismo nombre que la red.
- Opcional: SUBNET con el nombre de tu subred La subred debe ser /26 o mayor. La salida de VPC directa es compatible con los rangos IPv4 RFC 1918, RFC 6598 y clase E. Puedes implementar o ejecutar varios servicios o trabajos en la misma subred, pero ningún conector existente puede compartir la subred.
- Opcional: NETWORK_TAG_NAMES por los nombres separados por comas de las etiquetas de red que deseas asociar con un servicio. Para los servicios, las etiquetas de red se especifican a nivel de revisión. Cada revisión del servicio puede tener diferentes etiquetas de red, como network-tag-2.
- EGRESS_SETTING por un valor de configuración de salida:
  - all-traffic: Envía todo el tráfico saliente por medio de la red de VPC.
  - private-ranges-only: Envía solo el tráfico a direcciones internas por medio de la red de VPC.
- REGION por una región para el servicio.
Para verificar que tu servicio esté en tu red de VPC, ejecuta el siguiente comando:
```
gcloud run services describe SERVICE_NAME \
--region=REGION
```
Reemplaza lo siguiente:
- SERVICE_NAME por el nombre de tu servicio
- REGION por la región del servicio que especificaste en el paso anterior.
El resultado debe contener el nombre de tu red, subred y configuración de salida, por ejemplo:
```
VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only
```

Ahora puedes enviar solicitudes desde tu servicio de Cloud Run a cualquier recurso en la red de VPC, como lo permiten las reglas de firewall.

YAML

Si creas un servicio nuevo, omite este paso. Si actualizas un servicio existente, descarga su configuración de YAML:
```
gcloud run services describe SERVICE --format export > service.yaml
```
Actualiza los siguientes atributos:
```
apiVersion: serving.knative.dev/v1
  kind: Service
  metadata:
    name: SERVICE_NAME
    labels:
      cloud.googleapis.com/location: REGION
  spec:
    template:
      metadata:
        annotations:
          run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET","tags":"NETWORK_TAG_NAMES"}]'
          run.googleapis.com/vpc-access-egress: EGRESS_SETTING
      spec:
        containers:
        - image: IMAGE
```
Reemplaza lo siguiente:
- SERVICE_NAME por el nombre del servicio de Cloud Run. Los nombres de servicios deben tener 49 caracteres o menos, y deben ser únicos por región y proyecto.
- REGION por la región del servicio de Cloud Run, que debe coincidir con la región de la subred.
- Opcional: NETWORK por el nombre de tu red de VPC. Especifica una red de VPC o una subred, o ambas. Si solo especificas una red, la subred usará el mismo nombre que la red.
- Opcional: SUBNET con el nombre de tu subred La subred debe ser /26 o mayor. La salida de VPC directa es compatible con los rangos IPv4 RFC 1918, RFC 6598 y clase E. Puedes implementar o ejecutar varios servicios o trabajos en la misma subred, pero ningún conector existente puede compartir la subred.
- Opcional: NETWORK_TAG_NAMES por los nombres de las etiquetas de red que deseas asociar con un servicio. Para los servicios, las etiquetas de red se especifican a nivel de revisión. Cada revisión del servicio puede tener diferentes etiquetas de red, como network-tag-2.
- EGRESS_SETTING por un valor de configuración de salida:
  - all-traffic: Envía todo el tráfico saliente por medio de la red de VPC.
  - private-ranges-only: Envía solo el tráfico a direcciones internas por medio de la red de VPC.
- IMAGE por la URL de la imagen de contenedor de servicio.
También puedes especificar más opciones de configuración, como variables de entorno o límites de memoria.
Crea o actualiza el servicio con el siguiente comando:
```
gcloud run services replace service.yaml
```

Terraform

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Agrega lo siguiente a tu archivo main.tf:

/**
 * Copyright 2024 Google LLC
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *      http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

# Example configuration of a Cloud Run service with direct VPC

resource "google_cloud_run_v2_service" "default" {
  name     = "cloudrun-service"
  location = "us-central1"

  deletion_protection = false # set to "true" in production

  template {
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello"
    }
    vpc_access {
      network_interfaces {
        network    = "default"
        subnetwork = "default"
        tags       = ["tag1", "tag2", "tag3"]
      }
    }
  }
}

De manera opcional, haz que tu servicio sea público si deseas permitir el acceso sin autenticación.

Configura tu trabajo para usar la VPC directa

La salida de VPC directa permite que tu trabajo de Cloud Run envíe tráfico a una red de VPC sin un conector de Acceso a VPC sin servidores. También puedes agregar etiquetas de red directamente en los trabajos de Cloud Run para obtener una seguridad de red más detallada, como aplicar reglas de firewall de VPC.

Puedes configurar la salida de VPC directa con un trabajo a través de laGoogle Cloud consola, Google Cloud CLI o YAML.

Console

Ir a Cloud Run
Si quieres configurar un nuevo trabajo, haz clic en la pestaña Trabajos y completa la página de configuración de trabajo inicial según sea necesario. Si quieres configurar un trabajo existente, haz clic en el trabajo y, luego, en Editar.
Haz clic en Contenedor, variables y secretos, conexiones y seguridad para expandir la página de propiedades del trabajo.
Haz clic en la pestaña Conexiones.
Haz clic en Conéctate a una VPC para el tráfico saliente.
Haz clic en Enviar tráfico de forma directa a una VPC.
En el campo Red, selecciona la red de VPC a la que deseas enviar tráfico.
En el campo Subred, selecciona la subred desde la que tu trabajo recibe direcciones IP. Puedes ejecutar varios trabajos en la misma subred.
En Enrutamiento del tráfico, selecciona una de las siguientes opciones:
- Enruta solo las solicitudes a IP privadas a la VPC para enviar solo tráfico a direcciones internas a través de la red de VPC.
- Enruta todo el tráfico a la VPC para enviar todo el tráfico saliente a través de la red de VPC.
Opcional: Ingresa los nombres de las etiquetas de red que quieres asociar con tu servicio o tus servicios. Las etiquetas de red se especifican a nivel de revisión. Cada revisión del servicio puede tener diferentes etiquetas de red, como network-tag-2.
Opcional: Ingresa los nombres de las etiquetas de red que quieres asociar a tu trabajo o trabajos. Para los trabajos, las etiquetas de red se especifican a nivel de ejecución. Cada ejecución de trabajo puede tener etiquetas de red diferentes, como network-tag-2.
Haz clic en Crear o Actualizar.
Para verificar que tu trabajo esté en la red de VPC, haz clic en el trabajo y, luego, en la pestaña Configuración. Las redes y las subredes se detallan en la tarjeta VPC.

Ahora puedes ejecutar el trabajo de Cloud Run y enviar solicitudes desde el trabajo a cualquier recurso en la red de VPC, como lo permiten las reglas de firewall.

gcloud

Para crear un trabajo de Cloud Run sin un conector de Google Cloud CLI, sigue estos pasos:

Actualiza los componentes de gcloud a la versión más reciente:
```
gcloud components update
```
Asegúrate de que la API de Compute Engine esté habilitada para tu proyecto:
```
gcloud services enable compute.googleapis.com
```
Crea un trabajo de Cloud Run con el siguiente comando:
```
gcloud run jobs create JOB_NAME \
--image=IMAGE_URL \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION
```
Reemplaza lo siguiente:
- JOB_NAME por el nombre del trabajo de Cloud Run.
- IMAGE_URL: Es una referencia a la imagen del contenedor, por ejemplo, us-docker.pkg.dev/cloudrun/container/job:latest.
- Opcional: NETWORK por el nombre de tu red de VPC. Especifica una red de VPC o una subred, o ambas. Si solo especificas una red, la subred usará el mismo nombre que la red.
- Opcional: SUBNET con el nombre de tu subred La subred debe ser /26 o mayor. La salida de VPC directa es compatible con los rangos IPv4 RFC 1918, RFC 6598 y clase E. Puedes implementar o ejecutar varios servicios o trabajos en la misma subred, pero ningún conector existente puede compartir la subred.
- Opcional: NETWORK_TAG_NAMES por los nombres de las etiquetas de red que deseas asociar con un trabajo. Para los trabajos, las etiquetas de red se especifican a nivel de ejecución. Cada ejecución de trabajo puede tener diferentes etiquetas de red, como network-tag-2.
- EGRESS_SETTING por un valor de configuración de salida:
  - all-traffic: Envía todo el tráfico saliente por medio de la red de VPC.
  - private-ranges-only: Envía solo el tráfico a direcciones internas por medio de la red de VPC.
- REGION por una región para el trabajo.
Para verificar que el trabajo esté en tu red de VPC, ejecuta el siguiente comando:
```
gcloud run jobs describe JOB_NAME \
  --region=REGION
  
```
Reemplaza lo siguiente:
- JOB_NAME por el nombre de tu trabajo.
- REGION por la región del trabajo que especificaste en el paso anterior.
El resultado debe contener el nombre de tu red y subred, por ejemplo:
```
VPC network:
  Network:       default
  Subnet:        default
```

Ahora puedes ejecutar el trabajo de Cloud Run y enviar solicitudes desde el trabajo a cualquier recurso en la red de VPC, como lo permiten las reglas de firewall.

YAML

Si creas un trabajo nuevo, omite este paso. Si actualizas un trabajo existente, descarga su configuración de YAML:
```
gcloud run jobs describe JOB_NAME --format export > job.yaml
```
Actualiza los siguientes atributos:
```
apiVersion: run.googleapis.com/v1
  kind: Job
  metadata:
    name: JOB_NAME
    labels:
      cloud.googleapis.com/location: REGION
  spec:
    template:
      metadata:
        annotations:
          run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET","tags":"NETWORK_TAG_NAMES"}]'
          run.googleapis.com/vpc-access-egress: EGRESS_SETTING
      spec:
        containers:
        - image: IMAGE
```
Reemplaza lo siguiente:
- JOB_NAME por el nombre del trabajo de Cloud Run. Los nombres de trabajos deben tener 49 caracteres o menos, y deben ser únicos por región y proyecto.
- REGION por la región del trabajo de Cloud Run, que debe coincidir con la región de la subred.
- Opcional: NETWORK por el nombre de tu red de VPC. Especifica una red de VPC o una subred, o ambas. Si solo especificas una red, la subred usará el mismo nombre que la red.
- Opcional: SUBNET con el nombre de tu subred La subred debe ser /26 o mayor. La salida de VPC directa es compatible con los rangos IPv4 RFC 1918, RFC 6598 y clase E. Puedes implementar o ejecutar varios servicios o trabajos en la misma subred, pero ningún conector existente puede compartir la subred.
- Opcional: NETWORK_TAG_NAMES por los nombres de las etiquetas de red que deseas asociar con un trabajo. Para los trabajos, las etiquetas de red se especifican a nivel de ejecución. Cada ejecución de trabajo puede tener diferentes etiquetas de red, como network-tag-2.
- EGRESS_SETTING por un valor de configuración de salida:
  - all-traffic: Envía todo el tráfico saliente por medio de la red de VPC.
  - private-ranges-only: Envía solo el tráfico a direcciones internas por medio de la red de VPC.
- IMAGE por la URL de la imagen de contenedor.
Crea o actualiza el servicio con el siguiente comando:
```
gcloud run jobs replace job.yaml
```

Soluciona problemas

Permisos de las cuentas de servicio

Para realizar operaciones en tu proyecto de Google Cloud , el servicio de Acceso a VPC sin servidores usa la cuenta de servicio del agente de servicio de Acceso a VPC sin servidores. La dirección de correo electrónico de esta cuenta de servicio tiene el siguiente formato:

service-PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com

De forma predeterminada, esta cuenta de servicio tiene la función de agente de servicio de Acceso a VPC sin servidores (roles/vpcaccess.serviceAgent). Las operaciones del Acceso a VPC sin servidores pueden fallar si cambias los permisos de esta cuenta.

Rendimiento de red deficiente o uso alto de CPU inactiva

El uso de un solo conector para miles de instancias puede causar una degradación del rendimiento y un uso elevado de la CPU inactiva. Para solucionar este problema, fragmenta tus servicios entre varios conectores.

Problemas con la MTU personalizada

Si tienes problemas con una MTU personalizada, asegúrate de usar el parámetro de configuración de MTU predeterminado para Cloud Run.

Errores

Error de que la cuenta de servicio necesita el rol de agente de servicio

Si usas la restricción de la política de la organización Restringir el uso de servicios del recurso para bloquear Cloud Deployment Manager (deploymentmanager.googleapis.com), es posible que veas el siguiente mensaje de error:

Serverless VPC Access service account (service-<PROJECT_NUMBER>@gcp-sa-vpcaccess.iam.gserviceaccount.com) needs Serverless VPC Access Service Agent role in the project.

Configura la política de la organización para quitar Deployment Manager de la lista de bloqueo o agregarla a la lista de entidades permitidas.

Error de creación del conector

Si la creación de un conector produce un error, prueba lo siguiente:

Especifica un rango de IP internas de RFC 1918 que no se superponga con ninguna reserva de dirección IP existente en la red de VPC.
Otorga al proyecto permiso para usar las imágenes de VM de Compute Engine del proyecto con el ID serverless-vpc-access-images. Para obtener más información sobre cómo actualizar las políticas de la organización según corresponda, consulta Configura restricciones de acceso a imágenes.

No se puede acceder a los recursos

Si especificaste un conector, pero aún no puedes acceder a los recursos de la red de VPC, asegúrate de que no haya reglas de firewall en la red de VPC que tengan una prioridad inferior a 1,000 que rechacen la entrada desde el rango de direcciones IP del conector.

Si configuras un conector en un proyecto de servicio de VPC compartida, asegúrate de que las reglas de firewall permitan la entrada de la infraestructura sin servidores al conector.

Error de conexión rechazada

Si recibes errores connection refused o connection timeout que degradan el rendimiento de la red, es posible que las conexiones crezcan sin límite en las invocaciones de la aplicación sin servidores. Para limitar la cantidad máxima de conexiones de cada instancia, usa una biblioteca cliente que admita grupos de conexiones. Para obtener ejemplos detallados sobre cómo usar los grupos de conexiones, consulta Administra conexiones de bases de datos.

Error de recurso no encontrado

Cuando borres una red de VPC o una regla de firewall, es posible que veas un mensaje similar al siguiente: The resource "aet-uscentral1-subnet--1-egrfw" was not found.

Para obtener información sobre este error y su solución, consulta Error de recurso no encontrado en la documentación de reglas de firewall de VPC.

Próximos pasos

Supervisa la actividad del administrador con los registros de auditoría de Acceso a VPC sin servidores.
Protege los recursos y los datos mediante la creación de un perímetro de servicio con los Controles del servicio de VPC.
Obtén más información sobre las funciones de la Identity and Access Management (IAM) asociadas con el Acceso a VPC sin servidores. Consulta Funciones de Acceso a VPC sin servidores en la documentación de IAM para obtener una lista de permisos asociados con cada función.
Obtén más información para conectarte a Memorystore desde el siguiente vínculo:

Conectarse a una red de VPC

Antes de comenzar

Requisitos de la subred del conector

Limitaciones

Crear un conector

Console

gcloud

Terraform

Configura el entorno sin servidores para usar un conector

Configura Cloud Run para usar el conector

Console

gcloud

YAML

Terraform

Configura funciones de Cloud Run para usar un conector

Console

gcloud

Configura App Engine para usar un conector.

Python 2

Java 8

Go 1.11

Todos los demás entornos de ejecución

Configura reglas de firewall para conectores

Reglas de firewall necesarias para conectores en proyectos de servicio

Crea reglas de firewall para conectores específicos

Restringe el acceso de la VM del conector a los recursos de la red de VPC

Restringe el acceso con reglas de entrada

Etiquetas de red

Rango de CIDR

Restringe el acceso con reglas de salida

Actualiza un conector

Actualizar tipo de máquina

Consola

gcloud

Disminuye la cantidad mínima y máxima de instancias

Aumenta la cantidad mínima y máxima de instancias

Consola

gcloud

Busca los valores de los atributos actuales

Supervisa el uso del conector

Borra un conector

Console

gcloud

Administra restricciones personalizadas para proyectos

Beneficios

Herencia de políticas

Limitaciones

Antes de comenzar

Roles requeridos

Crea una restricción personalizada

Configura una restricción personalizada

Aplica una restricción personalizada

Console

gcloud

Prueba la restricción personalizada

Ejemplos de políticas de la organización personalizadas para casos de uso comunes

Configura tu entorno de Cloud Run para usar la VPC directa en lugar de un conector

Configura tu servicio para usar la VPC directa

Console

gcloud

YAML

Terraform

Configura tu trabajo para usar la VPC directa

Console

gcloud

YAML

Soluciona problemas

Permisos de las cuentas de servicio

Rendimiento de red deficiente o uso alto de CPU inactiva

Problemas con la MTU personalizada

Errores

Error de que la cuenta de servicio necesita el rol de agente de servicio

Error de creación del conector

No se puede acceder a los recursos

Error de conexión rechazada

Error de recurso no encontrado

Próximos pasos