配置无服务器 VPC 访问通道

本页面介绍如何使用无服务器 VPC 访问通道将无服务器环境直接连接到 VPC 网络,从而允许访问 Compute Engine 虚拟机实例、Memorystore 实例以及具有内部 IP 地址的任何其他资源。

准备工作

如果您使用共享 VPC,请参阅您的无服务器环境的相关文档:

创建 Serverless VPC Access 连接器

如需在不使用公共互联网的情况下向您的 VPC 网络发送请求并接收相应的响应,您必须使用无服务器 VPC 访问通道连接器。

您可以使用 Google Cloud Console、gcloud 命令行工具或 Terraform 来创建连接器:

控制台

  1. 确保已为您的项目启用无服务器 VPC 访问通道 API:

    启用 API

  2. 转到 Serverless VPC Access 概览页面。

    转到无服务器 VPC 访问通道

  3. 点击创建连接器

  4. 名称字段中,为连接器输入名称。 该名称必须符合 Compute Engine 命名惯例

  5. 地区字段中,选择连接器的地区。此区域必须与您的无服务器服务的区域相匹配。

    如果您的服务位于 us-centraleurope-west 区域,请使用 us-central1europe-west1

  6. 网络字段中,选择要将连接器连接到的 VPC 网络。

  7. 点击子网下拉菜单:

    • 如果您使用的是自己的子网(共享 VPC 要求),请选择要用于连接器的 /28 子网。
    • 如果您不使用共享 VPC,并且希望让连接器创建子网而非显式创建子网,请从下拉菜单中选择自定义 IP 范围,然后在 “IP 范围”字段中,输入未预留 CIDR /28 内部 IP 范围中的第一个地址。此 IP 范围不得与 VPC 网络中预留的任何现有 IP 地址重叠。例如,10.8.0.0 (/28) 将适用于大多数新项目。

  8. (可选)如需设置扩缩选项以更好地控制连接器,请点击显示扩缩设置以显示扩缩表单。

    1. 设置连接器的实例数下限和上限,或使用默认值 2(下限)和 10(上限)。如果流量使用需要,则连接器会横向扩容到指定的上限,但流量下降时,连接器不会缩减回来。您必须使用介于 210 之间的值。
    2. 在“实例类型”下拉菜单中,选择要用于连接器的机器类型,或者使用默认的 e2-micro。当您选择实例类型时,请注意右侧的费用边栏,其中显示带宽和费用估算值:
  9. 点击创建

  10. 准备就绪后,连接器名称旁边会出现绿色的对勾标记。

gcloud

  1. gcloud 组件更新到最新版本:

    gcloud components update
    
  2. 确保已为您的项目启用 Serverless VPC Access API:

    gcloud services enable vpcaccess.googleapis.com
    
  3. 如果您使用的是自己的子网(共享 VPC 要求),请使用以下命令创建连接器:

    gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
    --region REGION \
    --subnet SUBNET \
    # If you are not using Shared VPC, omit the following line.
    --subnet-project HOST_PROJECT_ID \
    # Optional: specify minimum and maximum instance values between 2 and 10, default is 2 min, 10 max.
    --min-instances MIN \
    --max-instances MAX \
    # Optional: specify machine type, default is e2-micro
    --machine-type MACHINE_TYPE
    

    替换以下内容:

    • CONNECTOR_NAME:连接器的名称。该名称必须符合 Compute Engine 命名惯例
    • REGION:连接器的区域;此区域必须与无服务器服务的区域相匹配。如果您的服务位于 us-centraleurope-west 区域,请使用 us-central1europe-west1
    • SUBNET:您自己的未被任何其他资源使用的“/28”专用子网;要提供的值是子网的名称
    • HOST_PROJECT_ID:宿主项目的 ID;仅在您使用共享 VPC 时提供
    • MIN:是要用于连接器的实例数下限。请使用介于 210 之间的整数。默认值为 2
    • MAX:用于连接器的实例数上限。请使用介于 210 之间的整数。默认值为 10。 如果流量需要,连接器会扩容到 [MAX] 实例,但不会缩减。
    • MACHINE_TYPEf1-microe2-microe2-standard-4

      机器类型 估算的吞吐量范围 (Mbps) 价格
      (连接器实例加上网络出站流量费用)
      f1-micro 100-500 f1-micro 价格
      e2-micro 200-1000 e2-micro 价格
      e2-standard-4 3200-16000 e2 standard 价格

    例如,如果您将 MACHINE_TYPE 设置为 f1-micro,则连接器在默认 MIN 时的估算吞吐量为 100 Mbps,在默认 MAX 时的估算吞吐量为 500 Mbps。

    如需了解详情和可选的参数,请参阅 gcloud 参考文档

  4. 如果您不使用共享 VPC,并且希望提供自定义 IP 范围而不是使用子网,请使用以下命令创建连接器:

    gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
    --network VPC_NETWORK \
    --region REGION \
    --range IP_RANGE
    

    替换以下内容:

    • CONNECTOR_NAME:连接器的名称。该名称必须符合 Compute Engine 命名惯例
    • VPC_NETWORK:要将连接器附加到的 VPC 网络
    • REGION:连接器的区域。此区域必须与您的无服务器服务的区域相匹配。如果您的服务位于 us-centraleurope-west 区域,请使用 us-central1europe-west1
    • IP_RANGE:未预留的内部 IP 网络,必须提供“/28”的未分配空间。提供的值是采用 CIDR 表示法的网络 (10.8.0.0/28)。此 IP 地址范围不得与 VPC 网络中预留的任何现有 IP 地址重叠。例如,10.8.0.0/28 适用于大多数新项目。

    如需了解详情和可选的参数(例如吞吐量控制),请参阅 gcloud 参考文档

  5. 在使用之前,验证连接器处于 READY 状态:

    gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \
    --region REGION
    

    替换以下内容:

    • CONNECTOR_NAME:连接器的名称;这是您在上一步中指定的名称
    • REGION:您的连接器的区域;这是您在上一步中指定的区域

    输出应包含 state: READY 行。

Terraform

您可以使用 Terraform 资源启用 vpcaccess.googleapis.com API。

resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

您可以使用 Terraform 模块创建 VPC 网络和子网,然后创建连接器。

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 3.3.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

将无服务器环境配置为使用连接器

创建无服务器 VPC 访问通道连接器后,请按照您的无服务器环境的相关说明,将无服务器环境配置为使用连接器:

将 Cloud Run 配置为使用连接器

您可以在创建新服务部署新修订版本时通过 Cloud Console、gcloud 命令行或 YAML 文件将服务配置为使用连接器:

控制台

  1. 转到 Cloud Run

  2. 如果您是要配置一个新服务来作为部署目标,请点击创建服务。如果您要配置现有服务,请点击该服务,然后点击修改和部署新的修订版本

  3. 如果您要配置新服务,请根据需要填写初始服务设置页面,然后点击下一步 > 高级设置,以访问服务配置页面。

  4. 点击连接标签。

    图片

  5. VPC 连接器字段中,选择要使用的连接器或者选择以断开服务与 VPC 网络的连接。

  6. 点击创建部署

gcloud

要在部署期间指定连接器,请使用 --vpc-connector 标志:

gcloud run deploy SERVICE --image IMAGE_URL --vpc-connector CONNECTOR_NAME
  • SERVICE 替换为服务的名称。
  • 替换 IMAGE_URL
  • CONNECTOR_NAME 替换为连接器的名称。

要挂接、更新或移除现有服务的连接器,请根据需要使用 gcloud run services update 命令并添加以下任一标志:

例如,要挂接或更新连接器,请使用以下命令:

gcloud run services update SERVICE --vpc-connector CONNECTOR_NAME
  • SERVICE 替换为服务的名称。
  • CONNECTOR_NAME 替换为连接器的名称。

YAML

您可以使用 gcloud run services describe --format export 命令下载并查看现有服务配置,该命令会生成清理后的 YAML 格式的结果。然后,您可以使用 gcloud run services replace 命令修改下述字段并上传修改后的 YAML。请务必仅修改记录的字段。

  1. 如需查看和下载配置,请运行以下命令:

    gcloud run services describe SERVICE --format export > service.yaml
  2. 在顶级 spec 特性下的 annotations 特性下添加或更新 run.googleapis.com/vpc-access-connector 特性:

    apiVersion: serving.knative.dev/v1
    kind: Service
    metadata:
      name: SERVICE
    spec:
      template:
        metadata:
          annotations:
            run.googleapis.com/vpc-access-connector: CONNECTOR_NAME
    • SERVICE 替换为您的 Cloud Run 服务的名称。
    • CONNECTOR_NAME 替换为连接器的名称。
  3. 使用以下命令将服务替换为其新配置:

    gcloud beta run services replace service.yaml

将 Cloud Functions 配置为使用连接器

您可以通过 Google Cloud Console 或 gcloud 命令行工具将函数配置为使用连接器:

控制台

  1. 在 Cloud Console 中转到 Cloud Functions 概览页面:

    转到 Cloud Functions

  2. 点击创建函数。或者,点击现有函数以转至其详情页面,然后点击修改

  3. 点击运行时、构建和连接设置以展开高级设置。

  4. 在“出站流量设置”下的连接标签页中,在 VPC 连接器字段中输入连接器的名称。

gcloud

使用 gcloud functions deploy 命令部署该函数并指定 --vpc-connector 标志:

gcloud functions deploy FUNCTION_NAME \
--vpc-connector CONNECTOR_NAME \
FLAGS...

其中:

  • FUNCTION_NAME 是函数的名称。
  • CONNECTOR_NAME 是连接器的名称。
  • FLAGS... 是指在函数部署期间传递的其他标志。

如需更好地控制通过连接器路由哪些请求,请参阅出站流量设置

将 App Engine 配置为使用连接器

Python 2

  1. 停用 App Engine URL Fetch 服务。

    默认情况下,所有请求均通过 URL Fetch 服务进行路由。这会导致对 VPC 网络的请求失败。如需停用此默认设置,请参阅禁止 URL Fetch 处理所有出站请求

    如有需要,您仍然可以直接使用 urlfetch来处理各个请求,但不建议这样做。

  2. 将无服务器 VPC 访问通道字段添加到 app.yaml 文件:

    vpc_access_connector:
     name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
    

    请替换以下内容:

    • PROJECT_ID 替换为您的 Cloud 项目 ID
    • REGION 替换为连接器所在的区域
    • CONNECTOR_NAME 替换为连接器的名称
  3. 部署该服务:

    gcloud app deploy

    部署服务后,服务将可以向内部 IP 地址发送请求,从而访问 VPC 网络中的资源。

Java 8

  1. 将无服务器 VPC 访问通道元素添加到服务的 appengine-web.xml 文件:

    <vpc-access-connector>
    <name>projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME</name>
    </vpc-access-connector>
    

    请替换以下内容:

    • PROJECT_ID 替换为您的 Cloud 项目 ID
    • REGION 替换为连接器所在的区域
    • CONNECTOR_NAME 替换为连接器的名称
  2. 部署该服务:

    gcloud app deploy WEB-INF/appengine-web.xml

    部署服务后,服务将可以向内部 IP 地址发送请求,从而访问 VPC 网络中的资源。

所有其他运行时

  1. 将无服务器 VPC 访问通道字段添加到 app.yaml 文件:

    vpc_access_connector:
     name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
    

    请替换以下内容:

    • PROJECT_ID 替换为您的 Cloud 项目 ID
    • REGION 替换为连接器所在的区域
    • CONNECTOR_NAME 替换为连接器的名称
  2. 部署该服务:

    gcloud app deploy

    部署服务后,服务将可以向内部 IP 地址发送请求,从而访问 VPC 网络中的资源。

限制对 VPC 资源的访问权限

您可以使用防火墙规则限制连接器对 VPC 网络的访问权限。

连接到共享 VPC 网络时,系统不会自动创建防火墙规则。具有宿主项目的 Network Administrator 角色的用户在配置宿主项目时会设置防火墙规则。

连接到独立 VPC 网络时,系统会在 VPC 网络上自动创建优先级为 1000 的隐式防火墙规则,以允许流量从连接器的 IP 范围到达 VPC 网络中的所有目的地。隐式防火墙规则不会显示在 Google Cloud Console 中,并且仅在关联的连接器存在时存在。如果您不想让连接器能够访问 VPC 网络中的所有目的地,则可以限制其访问权限。

您可以通过在目标资源上创建入站规则或在 VPC 连接器上创建出站规则来限制连接器的访问权限。

使用入站规则限制访问权限

选择网络标记或 CIDR 范围来控制传入您的 VPC 网络的流量。

网络标记

以下步骤介绍了如何创建入站规则,以根据连接器网络标记限制对 VPC 网络的访问权限。

  1. 确保您拥有插入防火墙规则所需的权限。您必须拥有以下 Identity and Access Management (IAM) 角色之一:

  2. 拒绝您的 VPC 网络中的连接器流量。

    在您的 VPC 网络上创建优先级低于 1000 的入站防火墙规则,以拒绝来自连接器网络标记的入站流量。这会替换无服务器 VPC 访问通道默认情况下在您的 VPC 网络中创建的隐式防火墙规则。

    gcloud compute firewall-rules create RULE_NAME \
    --action=DENY \
    --source-tags=VPC_CONNECTOR_NETWORK_TAG \
    --direction=INGRESS \
    --network=VPC_NETWORK \
    --priority=PRIORITY
    

    替换以下内容:

    • RULE_NAME:新防火墙规则的名称。例如 deny-vpc-connector
    • VPC_CONNECTOR_NETWORK_TAG:通用连接器网络标记(如果要限制对所有连接器的访问,包括将来创建的任何连接器)或唯一网络标记(如果要限制对特定连接器的访问)。

      • 通用网络标记vpc-connector
      • 唯一网络标记vpc-connector-REGION-CONNECTOR_NAME

        您需要将其中的:

        • REGION:您要限制的连接器所在的区域
        • CONNECTOR_NAME:您要限制的连接器的名称

      如需详细了解连接器网络标记,请参阅网络标记

    • VPC_NETWORK:您的 VPC 网络的名称

    • PRIORITY:介于 1-999 之间的整数(含边界值)。例如:990。

  3. 允许应接收连接器流量的资源接收连接器流量。

    使用 allowtarget-tags 标志创建一条入站防火墙规则,用于定位您的 VPC 网络中您希望 VPC 连接器访问的资源。将此规则的优先级设置为低于您在上一步中创建的规则的优先级值。

    gcloud compute firewall-rules create RULE_NAME \
    --allow=PROTOCOLS \
    --source-tags=VPC_CONNECTOR_NETWORK_TAG \
    --direction=INGRESS \
    --network=VPC_NETWORK \
    --target-tags=RESOURCE_TAG \
    --priority=PRIORITY
    

    替换以下内容:

    • RULE_NAME:新防火墙规则的名称。例如 allow-vpc-connector-for-select-resources
    • PROTOCOLS:您想要从 VPC 连接器访问的协议。这些值可以是一个或多个区分大小写的字符串值:tcpudpicmpespahsctp 或任意 IP 协议编号。对于基于端口的协议(tcpudpsctp),可以选择性地指定应用该规则的目的地端口或端口范围。如需了解详情,请参阅 allow 标志的文档
    • VPC_CONNECTOR_NETWORK_TAG:通用连接器网络标记(如果要限制对所有连接器的访问,包括将来创建的任何连接器)或唯一网络标记(如果要限制对特定连接器的访问)。必须与您在上一步中指定的网络标记相匹配。

      • 通用网络标记vpc-connector
      • 唯一网络标记vpc-connector-REGION-CONNECTOR_NAME

        您需要将其中的:

        • REGION:您要限制的连接器所在的区域
        • CONNECTOR_NAME:您要限制的连接器的名称

      如需详细了解连接器网络标记,请参阅网络标记

    • VPC_NETWORK:您的 VPC 网络的名称

    • RESOURCE_TAG:您希望 VPC 连接器访问的 VPC 资源的网络标记

    • PRIORITY:小于您在上一步中设置的优先级值的整数。例如,如果您将在上一步中创建的规则的优先级设置为 990,请尝试 980。

如需详细了解用于创建防火墙规则的必需和可选标志,请参阅 gcloud compute firewall-rules create 的文档

CIDR 范围

以下步骤介绍了如何创建入站规则,以根据连接器的 CIDR 范围限制对 VPC 网络的访问权限。

  1. 确保您拥有插入防火墙规则所需的权限。您必须拥有以下 Identity and Access Management (IAM) 角色之一:

  2. 拒绝您的 VPC 网络中的连接器流量。

    在您的 VPC 网络上创建优先级低于 1000 的入站防火墙规则,以拒绝来自连接器的 CIDR 范围的入站流量。这会替换无服务器 VPC 访问通道默认情况下在您的 VPC 网络中创建的隐式防火墙规则。

    gcloud compute firewall-rules create RULE_NAME \
    --action=DENY \
    --source-ranges=VPC_CONNECTOR_CIDR_RANGE \
    --direction=INGRESS \
    --network=VPC_NETWORK \
    --priority=PRIORITY
    

    替换以下内容:

    • RULE_NAME:新防火墙规则的名称。例如 deny-vpc-connector
    • VPC_CONNECTOR_CIDR_RANGE:您要限制其访问权限的连接器的 CIDR 范围
    • VPC_NETWORK:您的 VPC 网络的名称
    • PRIORITY:介于 1-999 之间的整数。例如:990。
  3. 允许应接收连接器流量的资源接收连接器流量。

    使用 allowtarget-tags 标志创建一条入站防火墙规则,用于定位您的 VPC 网络中您希望 VPC 连接器访问的资源。将此规则的优先级设置为低于您在上一步中创建的规则的优先级值。

    gcloud compute firewall-rules create RULE_NAME \
    --allow=PROTOCOLS \
    --source-ranges=VPC_CONNECTOR_CIDR_RANGE \
    --direction=INGRESS \
    --network=VPC_NETWORK \
    --target-tags=RESOURCE_TAG \
    --priority=PRIORITY
    

    替换以下内容:

    • RULE_NAME:新防火墙规则的名称。例如 allow-vpc-connector-for-select-resources
    • PROTOCOLS:您想要从 VPC 连接器访问的协议。这些值可以是一个或多个区分大小写的字符串值:tcpudpicmpespahsctp 或任意 IP 协议编号。对于基于端口的协议(tcpudpsctp),可以选择性地指定应用该规则的目的地端口或端口范围。如需了解详情,请参阅 allow 标志的文档
    • VPC_CONNECTOR_CIDR_RANGE:您要限制其访问权限的连接器的 CIDR 范围
    • VPC_NETWORK:您的 VPC 网络的名称
    • RESOURCE_TAG:您希望 VPC 连接器访问的 VPC 资源的网络标记
    • PRIORITY:小于您在上一步中设置的优先级值的整数。例如,如果您将在上一步中创建的规则的优先级设置为 990,请尝试 980。

如需详细了解用于创建防火墙规则的必需和可选标志,请参阅 gcloud compute firewall-rules create 的文档

使用出站规则限制访问权限

以下步骤介绍了如何创建出站规则以限制连接器的访问权限。

  1. 确保您拥有插入防火墙规则所需的权限。您必须拥有以下 Identity and Access Management (IAM) 角色之一:

  2. 拒绝连接器的出站流量。

    在无服务器 VPC 访问通道连接器上创建出站防火墙规则,以防止其发送传出流量。

    gcloud compute firewall-rules create RULE_NAME \
    --action=DENY \
    --direction=EGRESS \
    --target-tags=VPC_CONNECTOR_NETWORK_TAG \
    --network=VPC_NETWORK \
    --priority=PRIORITY
    

    替换以下内容:

    • RULE_NAME:新防火墙规则的名称。例如 deny-vpc-connector
    • VPC_CONNECTOR_NETWORK_TAG:通用 VPC 连接器网络标记 - 如果您希望将此规则应用于所有现有 VPC 连接器和未来的任何 VPC 连接器。或者,如果要控制特定连接器,则是唯一的 VPC 连接器网络标记。
    • VPC_NETWORK:您的 VPC 网络的名称
    • PRIORITY:介于 1-999 之间的整数。例如:990。
  3. 当目的地位于您希望连接器访问的 CIDR 范围内时,允许出站流量。

    使用 allowdestination-ranges 标志可创建一条防火墙规则,以允许来自连接器的出站流量进入特定目的地范围。将目的地范围设置为您的 VPC 网络中您希望连接器访问的资源的 CIDR 范围。将此规则的优先级设置为低于您在上一步中创建的规则的优先级值。

    gcloud compute firewall-rules create RULE_NAME \
    --allow=PROTOCOLS \
    --destination-ranges=RESOURCE_CIDR_RANGE \
    --direction=EGRESS \
    --network=VPC_NETWORK \
    --target-tags=VPC_CONNECTOR_NETWORK_TAG \
    --priority=PRIORITY
    

    替换以下内容:

    • RULE_NAME:新防火墙规则的名称。例如 allow-vpc-connector-for-select-resources
    • PROTOCOLS:您想要从 VPC 连接器访问的协议。这些值可以是一个或多个区分大小写的字符串值:tcpudpicmpespahsctp 或任意 IP 协议编号。对于基于端口的协议(tcpudpsctp),可以选择性地指定应用该规则的目的地端口或端口范围。如需了解详情,请参阅 allow 标志的文档
    • RESOURCE_CIDR_RANGE:您要限制其访问权限的连接器的 CIDR 范围
    • VPC_NETWORK:您的 VPC 网络的名称
    • VPC_CONNECTOR_NETWORK_TAG:通用 VPC 连接器网络标记 - 如果您希望将此规则应用于所有现有 VPC 连接器和未来的任何 VPC 连接器。或者,如果要控制特定连接器,则是唯一的 VPC 连接器网络标记。如果您在上一步中使用了唯一的网络标记,请使用该唯一的网络标记。
    • PRIORITY:小于您在上一步中设置的优先级值的整数。例如,如果您将在上一步中创建的规则的优先级设置为 990,请尝试 980。

如需详细了解用于创建防火墙规则的必需和可选标志,请参阅 gcloud compute firewall-rules create 的文档

问题排查

服务帐号权限

为了在您的 Cloud 项目中执行操作,无服务器 VPC 访问通道使用 Serverless VPC Access Service Agent 服务帐号。此服务帐号的电子邮件地址采用以下格式:

service-PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com

默认情况下,此服务帐号具有 Serverless VPC Access Service Agent 角色 (roles/vpcaccess.serviceAgent)。如果您更改此帐号的权限,则无服务器 VPC 访问通道操作可能会失败。

出错的实例数

如果创建连接器发生错误,请尝试以下操作:

  • 指定与 VPC 网络中预留的任何现有 IP 地址均不重叠的 RFC 1918 内部 IP 地址范围。
  • 向您的项目授予权限,让它能使用 ID 为 serverless-vpc-access-images 的项目中的 Compute Engine 虚拟机映像。如需了解如何相应地更新组织政策,请参阅设置映像访问权限限制
  • 设置 constraints/compute.vmCanIpForward 组织政策以允许虚拟机启用 IP 转发。

如果您已指定连接器,但仍无法访问 VPC 网络中的资源:

  • 确保您的 VPC 网络上没有优先级低于 1000 的防火墙规则会拒绝来自连接器 IP 范围的入站流量。

删除连接器

在删除连接器之前,请确保没有服务仍与该连接器连接。

对于在共享 VPC 宿主项目中设置连接器(不再推荐)的共享 VPC 用户,您可以使用 gcloud compute networks vpc-access connectors describe 命令列出其中存在使用给定连接器的服务的项目。

如需删除连接器,请使用 Cloud Console 或 gcloud 命令行工具:

控制台

  1. 转到 Cloud Console 中的无服务器 VPC 访问通道概览页面:

    转到无服务器 VPC 访问通道

  2. 选择要删除的连接器。

  3. 点击删除

gcloud

使用以下 gcloud 命令删除连接器:

gcloud compute networks vpc-access connectors delete CONNECTOR_NAME --region=REGION

替换以下内容:

  • CONNECTOR_NAME 替换为要删除的连接器的名称
  • REGION 替换为连接器所在的区域

后续步骤