Accesso VPC serverless

L'accesso VPC serverless ti consente di connetterti direttamente alla tua rete Virtual Private Cloud (VPC) da ambienti serverless come Cloud Run, App Engine o le funzioni Cloud Run. Configurazione in corso... L'accesso VPC serverless consente all'ambiente serverless di inviare richieste alla tua rete VPC utilizzando il DNS interno e l'IP interno indirizzi IP (come definiti dalla specifica RFC 1918 e RFC 6598). Anche le risposte a queste richieste utilizzano la tua rete interna.

L'utilizzo dell'accesso VPC serverless offre due vantaggi principali:

  • Le richieste inviate alla tua rete VPC non vengono mai esposte a internet.
  • La comunicazione tramite l'accesso VPC serverless può avere meno risorse una latenza di pochi millisecondi rispetto a internet.

L'accesso VPC serverless invia il traffico interno dalla rete VPC all'ambiente serverless solo quando il traffico è una risposta a una richiesta inviata dall'ambiente serverless tramite il connettore di accesso VPC serverless. Per saperne di più invio di altro traffico interno all'ambiente serverless, consulta Accesso privato Google.

Per accedere alle risorse su più reti VPC nei progetti Google Cloud, devi inoltre configurare VPC condiviso o Peering di rete VPC.

Come funziona

L'accesso VPC serverless si basa su una risorsa denominata connettore. Un connettore gestisce il traffico tra il tuo ambiente serverless e della tua rete VPC. Quando crei un connettore nel tuo progetto Google Cloud, lo colleghi a una rete e a una regione VPC specifiche. Puoi quindi configurare i servizi serverless in modo che utilizzino il connettore per il traffico di rete in uscita.

Intervalli di indirizzi IP

Esistono due opzioni per impostare l'intervallo di indirizzi IP di un connettore:

  • Subnet: puoi specificare una subnet /28 esistente se non sono presenti risorse che la utilizzano già.
  • Intervallo CIDR: puoi specificare un intervallo CIDR /28 inutilizzato. Quando specifichi questo intervallo, assicurati che non si sovrapponga ad alcun intervallo CIDR in uso.

Il traffico inviato tramite il connettore alla rete VPC proviene dalla subnet o dall'intervallo CIDR specificato.

Regole firewall

Le regole firewall sono necessarie per il funzionamento del connettore e la sua comunicazione con altre risorse, incluse quelle della tua rete.

Regole firewall per i connettori nelle reti VPC autonome o nei progetti host VPC condiviso

Se crei un connettore in una rete VPC autonoma o nel progetto host di una rete VPC condiviso, Google Cloud crea le regole firewall necessarie. Queste regole firewall esistono solo finché esiste il connettore associato. Sono visibili nella console Google Cloud, ma non puoi modificarli o eliminarli.

Scopo della regola firewall Formato del nome Tipo Azione Priorità Protocolli e porte
Consente il traffico alle istanze VM del connettore dagli intervalli di sonde di controllo di integrità (35.191.0.0/16, 35.191.192.0/18, 130.211.0.0/22) su determinate porte aet-CONNECTOR_REGION-CONNECTOR_NAME-hcfw In entrata Consenti 100 TCP:667
Consente il traffico alle istanze VM del connettore dall'infrastruttura serverless di Google (35.199.224.0/19) su determinate porte aet-CONNECTOR_REGION-CONNECTOR_NAME-rsgfw In entrata Consenti 100 TCP:667, UDP:665-666, ICMP
Consente il traffico dalle istanze VM del connettore all'infrastruttura serverless sottostante di Google (35.199.224.0/19) su determinate porte aet-CONNECTOR_REGION-CONNECTOR_NAME-earfw In uscita Consenti 100 TCP:667, UDP:665-666, ICMP
Blocca il traffico dalle istanze VM del connettore all'infrastruttura serverless sottostante di Google (35.199.224.0/19) per tutte le altre porte aet-CONNECTOR_REGION-CONNECTOR_NAME-egrfw In uscita Nega 100 TCP:1-666, 668-65535, UDP:1-664, 667-65535
Consente tutto il traffico dalle istanze VM del connettore (in base al loro indirizzo IP) a tutte le risorse nella rete VPC del connettore aet-CONNECTOR_REGION-CONNECTOR_NAME-sbntfw In entrata Consenti 1000 TCP, UDP, ICMP
Consente tutto il traffico dalle istanze VM del connettore (in base al tag di rete) a tutte le risorse nella rete VPC del connettore aet-CONNECTOR_REGION-CONNECTOR_NAME-tagfw In entrata Consenti 1000 TCP, UDP, ICMP

Puoi limitare ulteriormente l'accesso del connettore alle risorse nella rete VPC di destinazione utilizzando le regole firewall VPC o le regole nei criteri firewall. Quando aggiungi le regole firewall, assicurati che utilizzino una priorità superiore a 100 in modo che non entrino in conflitto con le regole firewall nascoste impostate da Google Cloud. Per maggiori informazioni per informazioni, consulta Limitare le risorse di rete VPC di accesso alle VM del connettore.

Regole firewall per i connettori nei progetti di servizio VPC condiviso

Se crei un connettore in un progetto di servizio e il connettore ha come target una rete VPC condivisa nel progetto host, devi aggiungere regole del firewall per consentire il traffico necessario per il funzionamento del connettore.

Puoi anche limitare l'accesso del connettore alle risorse nel suo VPC di destinazione utilizzando le regole o le regole firewall VPC nei criteri firewall. Per ulteriori informazioni, vedi Accesso alle risorse VPC.

Velocità effettiva e scalabilità

Un connettore di accesso VPC serverless è costituito da istanze di connettore. Le istanze connettore possono utilizzare uno dei vari tipi di macchina. Più grande offrono una maggiore velocità effettiva. Puoi visualizzare il throughput e il costo stimati per ogni tipo di macchina nella console Google Cloud e nella tabella seguente.

Tipo di macchina Intervallo di velocità effettiva stimata in Mbps* Prezzo
(istanza del connettore più costi per il trasferimento di dati in uscita dalla rete)
f1-micro 100-500 Prezzi di f1-micro
e2-micro 200-1000 Prezzi di e2-micro
e2-standard-4 3200-16000 Prezzo standard e2

* Gli intervalli di velocità effettiva massima sono stime basate sul funzionamento regolare. Il throughput effettivo dipende da molti fattori. Vedi Larghezza di banda di rete della VM.

Puoi impostare il numero minimo e massimo di istanze del connettore consentite del connettore. Il valore minimo deve essere almeno 2. Il valore massimo può essere al massimo 10 e deve essere maggiore del valore minimo. Se non specifichi il numero minimo e massimo di istanze per il connettore, vengono applicati il valore minimo predefinito di 2 e il valore massimo predefinito di 10. Un connettore potrebbe superare temporaneamente il valore impostato per il numero massimo di istanze quando Google esegue la manutenzione, ad esempio gli aggiornamenti della sicurezza. Durante la manutenzione, è possibile aggiungere altre istanze per garantire senza interruzioni del servizio. Dopo la manutenzione, i connettori vengono restituiti allo stesso di istanze come prima del periodo di manutenzione. Mantenimento di solito dura qualche minuto. Per ridurre l'impatto durante la manutenzione, non fare affidamento con connessioni che durano più di un minuto. Le istanze non accettano richieste un minuto prima di essere rimosse.

L'accesso VPC serverless esegue automaticamente il ridimensionamento del numero di istanze nel connettore man mano che il traffico aumenta. Le istanze aggiunte sono del tipo specificato per il connettore. I connettori non possono combinare tipi di macchine. Non è possibile fare lo scale in dei connettori. Per evitare che i connettori effettuino lo scale out di un livello superiore a quello di te desiderato, imposta il numero massimo di istanze su un numero basso. Se il connettore ha fatto lo scale out e preferisci avere un numero inferiore di istanze, ricrea il connettore con il numero necessario di istanze.

Esempio

Se scegli f1-micro come tipo di macchina e utilizzi valori predefiniti per il numero minimo e massimo di istanze (2 e 10 rispettivamente), la velocità effettiva stimata per il tuo connettore è di 100 Mbps numero minimo predefinito di istanze e 500 Mbps al numero massimo predefinito di istanze VM.

Grafico della velocità effettiva

Puoi monitorare il throughput corrente dalla pagina Dettagli del connettore nella console Google Cloud. Il grafico Throughput in questa pagina mostra una visualizzazione dettagliata delle metriche sul throughput del connettore.

Tag di rete

I tag di rete di Serverless VPC Access ti consentono di fare riferimento ai connettori VPC nelle regole del firewall e nelle route.

Ogni connettore di accesso VPC serverless riceve automaticamente i seguenti due tag di rete (a volte chiamati tag istanza):

  • Tag di rete universale (vpc-connector): si applica a tutti i connettori esistenti e a quelli creati in futuro.

  • Tag rete univoco (vpc-connector-REGION-CONNECTOR_NAME): si applica al connettoreCONNECTOR_NAME nella regione REGION.

Questi tag di rete non possono essere eliminati. Impossibile aggiungere nuovi tag di rete.

Casi d'uso

Puoi utilizzare l'accesso VPC serverless per accedere alle istanze VM Compute Engine, alle istanze Memorystore e a qualsiasi altra risorsa con DNS interno o indirizzo IP interno. Ecco alcuni esempi:

  • Utilizzi Memorystore per archiviare i dati di un servizio serverless.
  • I carichi di lavoro serverless utilizzano software di terze parti che esegui su una VM Compute Engine.
  • Esegui un servizio di backend su un gruppo di istanze gestite in Compute Engine e hai bisogno che il tuo ambiente serverless comunichi con questo backend senza essere esposto a internet.
  • L'ambiente serverless deve accedere ai dati del database on-premise tramite Cloud VPN.

Esempio

In questo esempio, un progetto Google Cloud esegue più servizi nei seguenti ambienti serverless: App Engine, le funzioni di Cloud Run e Cloud Run.

È stato creato un connettore di accesso VPC serverless e a questo è stato assegnato l'intervallo IP 10.8.0.0/28. Di conseguenza, l'indirizzo IP di origine per qualsiasi richiesta inviata il connettore è in questo intervallo.

La rete VPC contiene due risorse. Una delle risorse ha l'indirizzo IP interno 10.0.0.4. L'altra risorsa ha l'IP interno indirizzo 10.1.0.2 e che si trova in una regione diversa da quella Connettore di accesso VPC serverless.

Il connettore gestisce l'invio e la ricezione sia delle richieste sia delle risposte direttamente da questi indirizzi IP interni. Quando il connettore invia richieste la risorsa con indirizzo IP interno 10.1.0.2, trasferimento di dati in uscita perché la risorsa si trova in un regione diversa.

Tutte le richieste e le risposte tra gli ambienti serverless e le risorse nella rete VPC viaggiano internamente.

Le richieste inviate ad indirizzi IP esterni passano comunque attraverso internet e non utilizzano il connettore di accesso VPC serverless.

Il seguente diagramma mostra questa configurazione.

Esempio di accesso VPC serverless.
Esempio di accesso VPC serverless (fai clic per ingrandire).

Prezzi

Per i prezzi dell'accesso VPC serverless, consulta Accesso VPC serverless su pagina dei prezzi di VPC.

Servizi supportati

La tabella seguente mostra i tipi di reti che puoi raggiungere utilizzando Accesso VPC serverless:

Servizio di connettività Supporto di Accesso VPC serverless
VPC
VPC condiviso
Reti legacy
Reti connesse a Cloud Interconnect
Reti connesse a Cloud VPN
Reti connesse al peering di rete VPC

La tabella seguente mostra quali ambienti serverless supportano Accesso VPC serverless:

Ambiente serverless Supporto per l'accesso VPC serverless
Cloud Run
Knative serving*
Funzioni Cloud Run
Ambiente standard di App Engine Tutti i runtime tranne PHP 5
Ambiente flessibile di App Engine*

* Se vuoi utilizzare indirizzi IP interni quando ti connetti da un servizio Knative o dall'ambiente flessibile App Engine, non è necessario configurare l'accesso VPC serverless. Assicurati solo che il servizio sia dipiegato in una rete VPC con connettività alle risorse che vuoi raggiungere.

Protocolli di rete supportati

La tabella seguente descrive i protocolli di rete supportati Connettori di accesso VPC serverless.

Protocollo Instrada solo le richieste a IP privati tramite il connettore Instrada tutto il traffico attraverso il connettore
TCP
UDP
ICMP Supportato solo per gli indirizzi IP esterni

Aree geografiche supportate

I connettori di accesso VPC serverless sono supportati in ogni regione che supporti Cloud Run, le funzioni di Cloud Run o nell'ambiente standard di App Engine.

Per visualizzare le regioni disponibili:

gcloud compute networks vpc-access locations list

Passaggi successivi