Akses VPC Serverless

Dengan Akses VPC Serverless, Anda dapat terhubung langsung ke jaringan Virtual Private Cloud (VPC) Anda dari lingkungan serverless seperti Cloud Run, App Engine, atau fungsi Cloud Run. Dengan mengonfigurasi Akses VPC Serverless, lingkungan serverless Anda dapat mengirim permintaan ke jaringan VPC Anda menggunakan DNS internal dan alamat IP internal (sebagaimana ditentukan oleh RFC 1918 dan RFC 6598). Respons terhadap permintaan ini juga menggunakan jaringan internal Anda.

Ada dua manfaat utama penggunaan Akses VPC Serverless:

  • Permintaan yang dikirim ke jaringan VPC Anda tidak akan pernah terekspos ke internet.
  • Komunikasi melalui Akses VPC Serverless dapat memiliki latensi yang lebih rendah dibandingkan ke internet.

Akses VPC Serverless mengirimkan traffic internal dari jaringan VPC Anda ke lingkungan serverless hanya jika traffic tersebut merupakan respons terhadap permintaan yang dikirim dari lingkungan serverless Anda melalui konektor Akses VPC Serverless. Untuk mempelajari cara mengirim traffic internal lain ke lingkungan serverless Anda, lihat Akses Google Pribadi.

Untuk mengakses resource di beberapa jaringan VPC dan project Google Cloud, Anda juga harus mengonfigurasi VPC Bersama atau Peering Jaringan VPC.

Cara kerjanya

Akses VPC Serverless didasarkan pada resource yang disebut konektor. Konektor menangani traffic antara lingkungan serverless dan jaringan VPC Anda. Saat membuat konektor di project Google Cloud, Anda dapat memasangnya ke jaringan dan region VPC tertentu. Kemudian, Anda dapat mengonfigurasi layanan serverless agar dapat menggunakan konektor untuk traffic jaringan keluar.

Rentang alamat IP

Ada dua opsi untuk menetapkan rentang alamat IP untuk konektor:

  • Subnet: Anda dapat menentukan subnet /28 yang ada jika tidak ada resource yang sudah menggunakan subnet.
  • Rentang CIDR: Anda dapat menentukan rentang CIDR /28 yang tidak digunakan. Saat menentukan rentang ini, pastikan rentang tersebut tidak tumpang-tindih dengan rentang CIDR yang sedang digunakan.

Traffic yang dikirim melalui konektor ke jaringan VPC Anda berasal dari subnet atau rentang CIDR yang Anda tentukan.

Aturan firewall

Aturan firewall diperlukan untuk pengoperasian konektor dan komunikasinya dengan resource lain, termasuk resource di jaringan Anda.

Aturan firewall untuk konektor di jaringan VPC mandiri atau project host VPC Bersama

Jika Anda membuat konektor di jaringan VPC mandiri atau di project host jaringan VPC Bersama, Google Cloud akan membuat semua aturan firewall yang diperlukan. Aturan firewall ini hanya ada selama konektor yang terkait tersedia. Data tersebut terlihat di konsol Google Cloud, tetapi Anda tidak dapat mengedit atau menghapusnya.

Tujuan aturan firewall Format nama Jenis Tindakan Prioritas Protocols and ports
Mengizinkan traffic ke instance VM konektor dari rentang probe health check (35.191.0.0/16, 35.191.192.0/18, 130.211.0.0/22) di port tertentu aet-CONNECTOR_REGION-CONNECTOR_NAME-hcfw Masuk Izinkan 100 TCP:667
Mengizinkan traffic ke instance VM konektor dari infrastruktur serverless dasar Google (35.199.224.0/19) di port tertentu aet-CONNECTOR_REGION-CONNECTOR_NAME-rsgfw Masuk Izinkan 100 TCP:667, UDP:665-666, ICMP
Mengizinkan traffic dari instance VM konektor ke infrastruktur serverless dasar Google (35.199.224.0/19) di port tertentu aet-CONNECTOR_REGION-CONNECTOR_NAME-earfw Keluar Izinkan 100 TCP:667, UDP:665-666, ICMP
Memblokir traffic dari instance VM konektor ke infrastruktur serverless dasar Google (35.199.224.0/19) untuk semua port lainnya aet-CONNECTOR_REGION-CONNECTOR_NAME-egrfw Keluar Tolak 100 TCP:1-666, 668-65535, UDP:1-664, 667-65535
Mengizinkan semua traffic dari instance VM konektor (berdasarkan alamat IP-nya) ke semua resource di jaringan VPC konektor aet-CONNECTOR_REGION-CONNECTOR_NAME-sbntfw Masuk Izinkan 1000 TCP, UDP, ICMP
Mengizinkan semua traffic dari instance VM konektor (berdasarkan tag jaringannya) ke semua resource di jaringan VPC konektor aet-CONNECTOR_REGION-CONNECTOR_NAME-tagfw Masuk Izinkan 1000 TCP, UDP, ICMP

Anda dapat lebih membatasi akses konektor ke resource di jaringan VPC targetnya menggunakan aturan firewall VPC atau aturan dalam kebijakan firewall. Saat menambahkan aturan firewall, pastikan aturan tersebut menggunakan prioritas yang lebih tinggi dari 100 sehingga tidak bertentangan dengan aturan firewall tersembunyi yang ditetapkan oleh Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Membatasi akses VM konektor ke resource jaringan VPC.

Aturan firewall untuk konektor di project layanan VPC Bersama

Jika Anda membuat konektor di project layanan dan konektor menargetkan jaringan VPC Bersama di project host, Anda perlu menambahkan aturan firewall untuk mengizinkan traffic yang diperlukan bagi pengoperasian konektor.

Anda juga dapat membatasi akses konektor ke resource di jaringan VPC targetnya menggunakan aturan firewall VPC atau aturan dalam kebijakan firewall. Untuk mengetahui informasi selengkapnya, lihat Akses ke resource VPC.

Throughput dan penskalaan

Konektor Akses VPC Serverless terdiri atas instance konektor. Instance konektor dapat menggunakan salah satu dari beberapa jenis mesin. Jenis mesin yang lebih besar memberikan throughput yang lebih banyak. Anda dapat melihat estimasi throughput dan biaya untuk setiap jenis mesin di Konsol Google Cloud dan di tabel berikut.

Jenis mesin Estimasi rentang throughput dalam Mbps* Harga
(instance konektor ditambah biaya transfer data keluar jaringan)
f1-micro 100-500 Harga f1-micro
e2-micro 200-1000 Harga e2-micro
e2-standard-4 3200-16000 Harga e2 standard

* Rentang throughput maksimum adalah estimasi berdasarkan operasi reguler. Throughput yang sebenarnya bergantung pada banyak faktor. Lihat Bandwidth jaringan VM.

Anda dapat menetapkan jumlah minimum dan maksimum instance konektor yang diizinkan untuk konektor Anda. Nilai minimum setidaknya harus 2. Nilai maksimumnya maksimal 10, dan harus lebih besar dibandingkan nilai minimum. Jika Anda tidak menentukan jumlah minimum dan maksimum instance untuk konektor Anda, nilai minimum default 2 dan maksimum default 10 akan berlaku. Konektor mungkin melebihi nilai yang ditetapkan untuk sementara pada jumlah maksimum instance saat Google melakukan pemeliharaan dua mingguan, seperti update keamanan. Selama pemeliharaan, instance tambahan dapat ditambahkan untuk memastikan layanan tidak terganggu. Setelah pemeliharaan, konektor ditampilkan ke jumlah instance yang sama seperti sebelum periode pemeliharaan. Pemeliharaan biasanya berlangsung selama beberapa menit. Untuk mengurangi dampak selama pemeliharaan, gunakan kumpulan koneksi dan jangan mengandalkan koneksi yang berlangsung lebih dari satu menit. Instance berhenti menerima permintaan satu menit sebelum dimatikan.

Akses VPC Serverless akan otomatis menskalakan jumlah instance di konektor Anda seiring meningkatnya traffic. Instance yang ditambahkan adalah jenis yang Anda tentukan untuk konektor Anda. Konektor tidak dapat mencampur jenis mesin. Konektor tidak diturunkan skalanya. Untuk mencegah konektor menyebarkan skala lebih banyak daripada yang Anda inginkan, tetapkan jumlah maksimum instance ke angka yang rendah. Jika konektor telah menyebarkan skala dan Anda memilih untuk memiliki lebih sedikit instance, buat ulang konektor dengan jumlah instance yang diperlukan.

Contoh

Jika Anda memilih f1-micro untuk jenis mesin Anda, dan Anda menggunakan nilai default untuk jumlah instance minimum dan maksimum (masing-masing 2 dan 10), estimasi throughput untuk konektor Anda adalah 100 Mbps pada jumlah instance minimum default dan 500 Mbps pada jumlah instance maksimum default.

Diagram throughput

Anda dapat memantau throughput saat ini dari halaman detail Konektor di Konsol Google Cloud. Diagram throughput pada halaman ini menampilkan tampilan mendetail tentang metrik throughput konektor.

Tag jaringan

Tag jaringan Akses VPC Serverless memungkinkan Anda merujuk ke konektor VPC dalam aturan firewall dan rute.

Setiap konektor Akses VPC Serverless akan otomatis menerima dua tag jaringan berikut (terkadang disebut tag instance):

  • Tag jaringan universal (vpc-connector): Berlaku untuk semua konektor yang ada dan konektor yang dibuat pada masa mendatang.

  • Tag jaringan unik (vpc-connector-REGION-CONNECTOR_NAME): Berlaku untuk konektor CONNECTOR_NAME di region REGION.

Tag jaringan ini tidak dapat dihapus. Tag jaringan baru tidak dapat ditambahkan.

Kasus penggunaan

Anda dapat menggunakan Akses VPC Serverless untuk mengakses instance VM Compute Engine, instance Memorystore, dan resource lain dengan DNS internal atau alamat IP internal. Berikut beberapa contohnya:

  • Anda menggunakan Memorystore untuk menyimpan data untuk layanan serverless.
  • Workload serverless Anda menggunakan software pihak ketiga yang Anda jalankan di VM Compute Engine.
  • Anda menjalankan layanan backend pada Grup Instance Terkelola di Compute Engine dan memerlukan lingkungan serverless untuk berkomunikasi dengan backend ini tanpa terpapar ke internet.
  • Lingkungan serverless Anda perlu mengakses data dari database lokal melalui Cloud VPN.

Contoh

Dalam contoh ini, project Google Cloud menjalankan beberapa layanan di seluruh lingkungan serverless berikut: App Engine, fungsi Cloud Run, dan Cloud Run.

Konektor Akses VPC Serverless telah dibuat dan menetapkan rentang IP 10.8.0.0/28. Oleh karena itu, alamat IP sumber untuk setiap permintaan yang dikirim dari konektor berada dalam rentang ini.

Ada dua resource di jaringan VPC. Salah satu resource memiliki alamat IP internal 10.0.0.4. Resource lainnya memiliki alamat IP internal 10.1.0.2, dan berada di region yang berbeda dengan konektor Akses VPC Serverless.

Konektor akan menangani pengiriman serta penerimaan permintaan dan respons secara langsung dari alamat IP internal ini. Saat konektor mengirim permintaan ke resource dengan alamat IP internal 10.1.0.2, biaya transfer data keluar akan berlaku karena resource tersebut berada di region yang berbeda.

Semua permintaan serta respons antara lingkungan serverless dan resource di jaringan VPC berpindah secara internal.

Permintaan yang dikirim ke alamat IP eksternal tetap melalui internet dan tidak menggunakan konektor Akses VPC Serverless.

Diagram berikut menunjukkan konfigurasi ini.

Contoh Akses VPC Serverless.
Contoh Akses VPC Serverless (klik untuk memperbesar).

Harga

Untuk mengetahui harga Akses VPC Serverless, lihat Akses VPC Serverless di halaman harga VPC.

Layanan yang didukung

Tabel berikut menunjukkan jenis jaringan mana yang dapat Anda jangkau menggunakan Akses VPC Serverless:

Layanan konektivitas Dukungan Akses VPC Serverless
VPC
VPC Bersama
Jaringan lama
Jaringan yang terhubung ke Cloud Interconnect
Jaringan yang terhubung ke Cloud VPN
Jaringan yang terhubung ke Peering Jaringan VPC

Tabel berikut menunjukkan lingkungan serverless mana yang mendukung Akses VPC Serverless:

Lingkungan serverless Dukungan Akses VPC Serverless
Cloud Run
Inferensi Knative*
Cloud Run Functions
Lingkungan standar App Engine Semua runtime kecuali PHP 5
Lingkungan fleksibel App Engine*

*Jika ingin menggunakan alamat IP internal saat terhubung dari layanan Knative atau lingkungan fleksibel App Engine, Anda tidak perlu mengonfigurasi Akses VPC Serverless. Cukup pastikan layanan Anda di-deploy di jaringan VPC yang memiliki konektivitas ke resource yang ingin Anda jangkau.

Protokol jaringan yang didukung

Tabel berikut menjelaskan protokol jaringan yang didukung oleh konektor Akses VPC Serverless.

Protokol Rutekan hanya permintaan ke IP pribadi melalui konektor Merutekan semua traffic melalui konektor
TCP
UDP
ICMP Hanya didukung untuk alamat IP eksternal

Region yang didukung

Konektor Akses VPC Serverless didukung di setiap region yang mendukung lingkungan standar Cloud Run, Cloud Run functions, atau App Engine.

Untuk melihat region yang tersedia:

gcloud compute networks vpc-access locations list

Langkah selanjutnya