Accesso VPC serverless
L'accesso VPC serverless ti consente di connetterti direttamente alla tua rete Virtual Private Cloud (VPC) da ambienti serverless come Cloud Run, App Engine o Cloud Functions. La configurazione dell'accesso VPC serverless consente al tuo ambiente serverless di inviare richieste alla tua rete VPC utilizzando il DNS interno e gli indirizzi IP interni (come definiti da RFC1918 e RFC6598). Le risposte a queste richieste utilizzano anche la tua rete interna.
L'utilizzo dell'accesso VPC serverless offre due vantaggi principali:
- Le richieste inviate alla tua rete VPC non sono mai esposte a internet.
- La comunicazione tramite accesso VPC serverless può avere meno latenza rispetto a internet.
L'accesso VPC serverless invia il traffico interno dalla rete VPC all'ambiente serverless solo quando questo traffico è una risposta a una richiesta inviata dall'ambiente serverless attraverso il connettore di accesso VPC serverless. Per scoprire di più sull'invio di altro traffico interno al tuo ambiente serverless, consulta Accesso privato Google.
Per accedere alle risorse in più reti VPC e progetti Google Cloud, devi anche configurare un VPC condiviso o un peering di rete VPC.
Come funziona
L'accesso VPC serverless si basa su una risorsa denominata connettore. Un connettore gestisce il traffico tra l'ambiente serverless e la tua rete VPC. Quando crei un connettore nel progetto Google Cloud, lo colleghi a una regione e a una rete VPC specifiche. Puoi quindi configurare i servizi serverless in modo da utilizzare il connettore per il traffico di rete in uscita.
Intervalli di indirizzi IP
Esistono due opzioni per impostare l'intervallo di indirizzi IP per un connettore:
- Subnet: puoi specificare una subnet
/28esistente se non ci sono risorse che utilizzano già la subnet. - Intervallo CIDR:puoi specificare un intervallo CIDR
/28inutilizzato. Quando specifichi questo intervallo, assicurati che non si sovrapponga ad alcun intervallo CIDR in uso.
Il traffico inviato attraverso il connettore alla rete VPC ha origine dalla subnet o dall'intervallo CIDR specificato.
Regole firewall
Se la subnet non è una subnet condivisa, nella rete VPC viene creata una regola firewall implicita con priorità 1000 per consentire il traffico in entrata dalla subnet del connettore o dall'intervallo IP personalizzato verso tutte le destinazioni nella rete. La regola firewall implicita non è visibile nella console Google Cloud ed esiste solo finché esiste il connettore associato.
Velocità effettiva e scalabilità
Un connettore di accesso VPC serverless è costituito da istanze del connettore. Le istanze del connettore possono utilizzare uno dei vari tipi di macchina disponibili. I tipi di macchine più grandi offrono una velocità effettiva superiore. Puoi visualizzare la velocità effettiva e il costo stimati per ogni tipo di macchina nella console Google Cloud e nella tabella seguente.
| Tipo di macchina | Intervallo di velocità effettiva stimata in Mbps* | Prezzo (istanza del connettore più costi del trasferimento di dati in uscita dalla rete) |
|---|---|---|
f1-micro |
100-500 | Prezzi di f1-micro |
e2-micro |
200-1000 | Prezzi di e2-micro |
e2-standard-4 |
3200-16000 | Prezzi standard e2 |
* Gli intervalli di velocità effettiva massima sono stime basate sulle operazioni regolari. La velocità effettiva effettiva dipende da molti fattori. Consulta Larghezza di banda della rete VM.
Puoi impostare il numero minimo e massimo di istanze del connettore consentite per il connettore. Il valore minimo deve essere almeno 2. Il valore massimo può essere al massimo 10 e deve essere superiore al minimo. Se non specifichi il numero minimo e massimo di istanze per il connettore, si applicano il numero minimo predefinito di 2 e il massimo predefinito di 10. Un connettore potrebbe superare temporaneamente il valore impostato per il numero massimo di istanze quando Google esegue la manutenzione, ad esempio gli aggiornamenti della sicurezza. Durante la manutenzione, possono essere aggiunte altre istanze per garantire un servizio senza interruzioni. Dopo la manutenzione, i connettori vengono restituiti allo stesso numero di istanze che avevano prima del periodo di manutenzione. La manutenzione solitamente dura alcuni minuti.
L'accesso VPC serverless fa automaticamente lo scale out del numero di istanze nel connettore con l'aumento del traffico. Le istanze aggiunte sono del tipo specificato per il connettore. I connettori non possono combinare tipi di macchine. I connettori non possono fare lo scale in. Per impedire che lo scale out dei connettori superi quello che vuoi, imposta il numero massimo di istanze su un numero basso. Se è stato eseguito lo scale out del connettore e preferisci avere meno istanze, ricrea il connettore con il numero desiderato di istanze.
Esempio
Se scegli f1-micro per il tipo di macchina e utilizzi i valori predefiniti per il numero minimo e massimo di istanze (rispettivamente 2 e 10), la velocità effettiva stimata per il tuo connettore è 100 Mbps con il numero minimo predefinito di istanze e 500 Mbps con il numero massimo predefinito di istanze.
Grafico della velocità effettiva
Puoi monitorare la velocità effettiva attuale dalla pagina dei dettagli del connettore nella console Google Cloud. Il grafico della velocità effettiva in questa pagina mostra una visualizzazione dettagliata delle metriche di velocità effettiva del connettore.
Tag di rete
I tag di rete con accesso VPC serverless ti consentono di fare riferimento ai connettori VPC nelle regole firewall e nelle route.
Ogni connettore di accesso VPC serverless riceve automaticamente i due tag di rete seguenti (a volte chiamati tag istanza):
Tag di rete universale (
vpc-connector): si applica a tutti i connettori esistenti e a quelli creati in futuro.Tag di rete univoco (
vpc-connector-REGION-CONNECTOR_NAME): si applica al connettore CONNECTOR_NAME nella regione REGION.
Impossibile eliminare questi tag di rete. Impossibile aggiungere nuovi tag di rete.
Casi d'uso
Puoi utilizzare l'accesso VPC serverless per accedere alle istanze VM di Compute Engine, alle istanze Memorystore e a qualsiasi altra risorsa con indirizzo DNS interno o IP interno. Ecco alcuni esempi:
- Puoi utilizzare Memorystore per archiviare i dati per un servizio serverless.
- I carichi di lavoro serverless utilizzano software di terze parti in esecuzione su una VM di Compute Engine.
- Esegui un servizio di backend su un gruppo di istanze gestite in Compute Engine e hai bisogno che il tuo ambiente serverless comunichi con questo backend senza esposizione a internet.
- Il tuo ambiente serverless deve accedere ai dati del database on-premise attraverso Cloud VPN.
Esempio
In questo esempio, un progetto Google Cloud esegue più servizi nei seguenti ambienti serverless: App Engine, Cloud Functions e Cloud Run.
È stato creato un connettore di accesso VPC serverless e gli è stato assegnato l'intervallo IP 10.8.0.0/28. Pertanto, l'indirizzo IP di origine per qualsiasi richiesta inviata dal connettore rientra in questo intervallo.
Esistono due risorse nella rete VPC. Una delle risorse ha l'indirizzo IP interno 10.0.0.4. L'altra risorsa ha l'indirizzo IP interno 10.1.0.2 e si trova in una regione diversa rispetto al connettore di accesso VPC serverless.
Il connettore gestisce l'invio e la ricezione di richieste e risposte direttamente da questi indirizzi IP interni. Quando il connettore invia richieste alla risorsa con indirizzo IP interno 10.1.0.2, si applicano i costi di trasferimento dati in uscita perché la risorsa si trova in una regione diversa.
Tutte le richieste e le risposte tra gli ambienti serverless e le risorse nella rete VPC viaggiano internamente.
Le richieste inviate a indirizzi IP esterni viaggiano comunque attraverso internet e non utilizzano il connettore di accesso VPC serverless.
Il seguente diagramma mostra questa configurazione.
Prezzi
Per i prezzi dell'accesso VPC serverless, consulta Accesso VPC serverless nella pagina dei prezzi di VPC.
Servizi supportati
La seguente tabella mostra i tipi di rete che puoi raggiungere utilizzando l'accesso VPC serverless:
| Servizio di connettività | Supporto dell'accesso VPC serverless |
|---|---|
| VPC | |
| VPC condiviso | |
| Reti legacy | |
| Reti connesse a Cloud Interconnect | |
| Reti collegate a Cloud VPN | |
| Reti connesse al peering di rete VPC |
La tabella seguente mostra quali ambienti serverless supportano l'accesso VPC serverless:
| Ambiente serverless | Supporto dell'accesso VPC serverless |
|---|---|
| Cloud Run | |
| Pubblicazione Knative* | |
| Cloud Functions | |
| Ambiente standard di App Engine | Tutti i runtime tranne PHP 5 |
| Ambiente flessibile di App Engine* |
*Se vuoi utilizzare indirizzi IP interni per la connessione dalla gestione Knative o dall'ambiente flessibile di App Engine, non devi configurare l'accesso VPC serverless. Assicurati solo che il deployment del servizio sia stato eseguito in una rete VPC con connettività alle risorse che vuoi raggiungere.
Protocolli di rete supportati
La seguente tabella descrive i protocolli di rete supportati dai connettori di accesso VPC serverless.
| Protocollo | Instrada solo le richieste a IP privati attraverso il connettore VPC | Instrada tutto il traffico attraverso il connettore VPC |
|---|---|---|
| TCP | ||
| UDP | ||
| ICMP | Supportata solo per gli indirizzi IP esterni |
Aree geografiche supportate
I connettori di accesso VPC serverless sono supportati in ogni regione che supporta Cloud Run, Cloud Functions o l'ambiente standard di App Engine.
Per visualizzare le regioni disponibili:
gcloud compute networks vpc-access locations list
Passaggi successivi
- Per configurare l'accesso VPC serverless, consulta Configurare l'accesso VPC serverless.