Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Serverloser VPC-Zugriff

Mit dem serverlosen VPC-Zugriff können Sie eine Verbindung direkt zu Ihrem Virtual Private Cloud-Netzwerk aus serverlosen Umgebungen wie Cloud Run, App Engine oder Cloud Functions herstellen. Wenn Sie den serverlosen VPC-Zugriff konfigurieren, kann Ihre serverlose Umgebung Anfragen über interne DNS- und interne IP-Adressen (gemäß RFC 1918 und RFC 6598) an Ihr VPC-Netzwerk senden. Die Antworten auf diese Anfragen verwenden auch Ihr internes Netzwerk.

Der serverlose VPC-Zugriff bietet zwei Hauptvorteile:

  • An Ihr VPC-Netzwerk gesendete Anfragen sind niemals über das Internet zugänglich.
  • Die Kommunikation über den serverlosen VPC-Zugriff kann im Vergleich zum Internet eine geringere Latenz haben.

Der serverlose VPC-Zugriff sendet nur dann internen Traffic von Ihrem VPC-Netzwerk an Ihre serverlose Umgebung, wenn der Traffic eine Antwort auf eine Anfrage ist, die von Ihrer serverlosen Umgebung über den Connector für serverlosen VPC-Zugriff gesendet wurde. Informationen zum Senden von anderem internen Traffic an Ihre serverlose Umgebung finden Sie unter Privater Google-Zugriff.

Für den Zugriff auf Ressourcen über mehrere VPC-Netzwerke und Google Cloud-Projekte müssen Sie auch eine freigegebene VPC oder VPC-Netzwerk-Peering konfigurieren.

So gehts:

Der serverlose VPC-Zugriff basiert auf einer Ressource, die als Connector bezeichnet wird. Ein Connector verarbeitet den Traffic zwischen der serverlosen Umgebung und Ihrem VPC-Netzwerk. Wenn Sie einen Connector in Ihrem Google Cloud-Projekt erstellen, hängen Sie ihn an ein bestimmtes VPC-Netzwerk und eine Region an. Anschließend konfigurieren Sie Ihre serverlosen Dienste so, dass sie diesen Connector für ausgehenden Netzwerktraffic verwenden.

IP-Adressbereiche

Es gibt zwei Möglichkeiten, den IP-Adressbereich für einen Connector festzulegen:

  • Subnetz: Sie können ein vorhandenes /28-Subnetz angeben, wenn noch keine Ressourcen das Subnetz verwenden.
  • CIDR-Bereich: Sie können einen nicht verwendeten CIDR-Bereich von /28 angeben. Der Bereich darf sich nicht mit verwendeten CIDR-Bereichen überschneiden.

Traffic, der über den Connector an Ihr VPC-Netzwerk gesendet wird, stammt aus dem von Ihnen angegebenen Subnetz oder CIDR-Bereich.

Firewallregeln

Wenn das Subnetz kein freigegebenes Subnetz ist, wird in Ihrem VPC-Netzwerk eine implizite Firewallregel mit Priorität 1.000 erstellt, um eingehenden Traffic aus dem Subnetz oder dem benutzerdefinierten IP-Bereich des Connectors an alle Ziele im Netzwerk zuzulassen. Die implizite Firewallregel ist in der Google Cloud Console nicht sichtbar und nur vorhanden, solange der zugehörige Connector vorhanden ist.

Durchsatz und Skalierung

Ein Connector für serverlosen VPC-Zugriff besteht aus Connector-Instanzen. Connector-Instanzen können einen von mehreren Maschinentypen verwenden. Größere Maschinentypen bieten einen höheren Durchsatz. Sie können den geschätzten Durchsatz und die Kosten für jeden Maschinentyp in der Google Cloud Console und in der folgenden Tabelle ansehen.

Maschinentyp Geschätzter Durchsatzbereich in Mbit/s Preis
(Connector-Instanz plus Kosten für ausgehenden Netzwerktraffic)
f1-micro 100-500 f1-micro-Preise
e2-micro 200-1000 e2-micro-Preise
e2-standard-4 3200-16000 e2-Standardpreise

Sie können die minimale und maximale Anzahl an Connector-Instanzen festlegen, die für Ihren Connector zulässig sind. Der Mindestwert muss mindestens 2 sein. Der Höchstwert darf maximal 10 sein und muss größer als der Mindestwert sein. Wenn Sie für den Connector keine Mindest- und Höchstzahl von Instanzen angeben, gilt die Standardanzahl von 2 und die Standardanzahl von 10. Ein Connector kann den festgelegten Wert für die maximale Anzahl von Instanzen vorübergehend überschreiten, wenn Google Wartungsarbeiten wie Sicherheitsupdates durchführt. Während der Wartung können zusätzliche Instanzen hinzugefügt werden, um einen unterbrechungsfreien Dienst zu gewährleisten. Nach der Wartung werden die Connectors an die gleiche Anzahl von Instanzen zurückgegeben wie vor dem Wartungszeitraum. Die Wartung dauert in der Regel einige Minuten.

Beim serverlosen VPC-Zugriff wird die Anzahl der Instanzen in Ihrem Connector automatisch horizontal skaliert, wenn der Traffic zunimmt. Die hinzugefügten Instanzen haben den Typ, den Sie für Ihren Connector angegeben haben. Connectors können keine Maschinentypen kombinieren. Connectors skalieren nicht horizontal herunter. Wenn Sie verhindern möchten, dass Connectors mehr als gewünscht horizontal skalieren, legen Sie die maximale Anzahl von Instanzen auf eine niedrige Anzahl fest. Wenn der Connector horizontal skaliert wurde und Sie weniger Instanzen verwenden möchten, erstellen Sie den Connector mit der gewünschten Anzahl von Instanzen neu.

Beispiel

Wenn Sie für Ihren Maschinentyp f1-micro wählen und die Standardwerte für die minimale und maximale Anzahl von Instanzen (2 bzw. 10) verwenden, beträgt der geschätzte Durchsatz für Ihren Connector 100 Mbit/s bei der Standard-Mindestanzahl von Instanzen und 500 Mbit/s bei der maximalen Standardanzahl von Instanzen.

Netzwerktags

Mit Netzwerk-Tags für serverlosen VPC-Zugriff können Sie auf VPC-Connectors in Firewallregeln und Routen verweisen.

Jeder Connector für serverlosen VPC-Zugriff erhält automatisch zwei Netzwerk-Tags (manchmal als Instanz-Tags bezeichnet):

  • Universelles Netzwerk-Tag: vpc-connector gilt für alle vorhandenen Connectors und zukünftigen Connectors
  • Eindeutiges Netzwerk-Tag: vpc-connector-REGION-CONNECTOR_NAME Gilt für den Connector CONNECTOR_NAME in REGION

Diese Netzwerk-Tags können nicht gelöscht werden. Neue Netzwerk-Tags können nicht hinzugefügt werden.

Anwendungsfälle

Sie können den serverlosen VPC-Zugriff verwenden, um auf Compute Engine-VM-Instanzen, Memorystore-Instanzen und alle anderen Ressourcen mit interner DNS- oder interner IP-Adresse zuzugreifen. Dazu einige Beispiele:

  • Sie speichern Daten für einen serverlosen Dienst mit Memorystore.
  • Ihre serverlosen Arbeitslasten verwenden Drittanbieter-Software, die Sie auf einer Compute Engine-VM ausführen.
  • Sie führen einen Back-End-Dienst für eine verwaltete Instanzgruppe in Compute Engine aus und Ihre serverlose Umgebung muss mit diesem Back-End kommunizieren, ohne in Kontakt mit dem Internet zu kommen.
  • Ihre serverlose Umgebung muss über Cloud VPN auf Daten in Ihrer lokalen Datenbank zugreifen.

Beispiel

In diesem Beispiel führt ein Google Cloud-Projekt mehrere Dienste in den folgenden serverlosen Umgebungen aus: App Engine, Cloud Functions und Cloud Run.

Ein Connector für serverlosen VPC-Zugriff wurde erstellt und dem IP-Bereich 10.8.0.0/28 zugewiesen. Daher befindet sich die Quell-IP-Adresse für jede vom Connector gesendete Anfrage in diesem Bereich.

Das VPC-Netzwerk enthält zwei Ressourcen. Eine der Ressourcen hat die interne IP-Adresse 10.0.0.4. Die andere Ressource hat die interne IP-Adresse 10.1.0.2 und befindet sich in einer anderen Region als der Connector für serverlosen VPC-Zugriff.

Der Connector übernimmt das Senden und Empfangen der Anfragen und Antworten direkt von diesen internen IP-Adressen. Wenn der Connector Anfragen an die Ressource mit der internen IP-Adresse 10.1.0.2 sendet, fallen Kosten für ausgehenden Traffic an, da sich diese Ressource in einer anderen Region befindet.

Alle Anfragen und Antworten zwischen den serverlosen Umgebungen und den Ressourcen im VPC-Netzwerk werden intern weitergeleitet.

Anfragen an externe IP-Adressen werden weiterhin über das Internet übertragen und verwenden nicht den Connector für serverlosen VPC-Zugriff.

Das folgende Diagramm zeigt diese Konfiguration.

Beispiel für serverlosen VPC-Zugriff (zum Vergrößern klicken)
Beispiel für serverlosen VPC-Zugriff (zum Vergrößern klicken)

Preise

Informationen zu den Preisen für serverlosen VPC-Zugriff finden Sie auf der Seite „VPC-Preise“ unter Serverloser VPC-Zugriff.

Unterstützte Dienste

In der nachstehenden Tabelle sind die Netzwerktypen aufgeführt, die Sie über den serverlosen VPC-Zugriff erreichen können:

Verbindungsdienst Unterstützung für serverlosen VPC-Zugriff
VPC
Shared VPC
Legacy-Netzwerke
Mit Cloud Interconnect verbundene Netzwerke
Mit Cloud VPN verbundene Netzwerke
Mit VPC-Netzwerk-Peering verbundene Netzwerke

In der nachstehenden Tabelle sind die serverlosen Umgebungen aufgeführt, die den serverlosen VPC-Zugriff unterstützen:

Serverlose Umgebung Unterstützung für serverlosen VPC-Zugriff
Cloud Run
Cloud Run for Anthos*
Cloud Functions
App Engine-Standardumgebung Alle Laufzeiten außer PHP 5
Flexible App Engine-Umgebung*

* Wenn Sie für Verbindungen aus Cloud Run for Anthos oder aus der flexiblen App Engine-Umgebung interne Adressen verwenden möchten, müssen Sie den serverlosen VPC-Zugriff nicht konfigurieren. In diesem Fall muss nur gewährleistet werden, dass der Dienst in einem VPC-Netzwerk mit Verbindung zu den Ressourcen bereitgestellt wird, die Sie erreichen möchten.

Unterstützte Netzwerkprotokolle

In der folgenden Tabelle werden die von den Connectors für serverlosen VPC-Zugriff unterstützten Netzwerkprotokolle beschrieben.

Protokoll Nur Anfragen an private IPs über den VPC-Connector weiterleiten Gesamten Traffic über den VPC-Connector weiterleiten
TCP
UDP
ICMP Wird nur für externe IP-Adressen unterstützt

Unterstützte Regionen

Connectors für serverlosen VPC-Zugriff werden in jeder Region unterstützt, die Cloud Run, Cloud Functions oder die App Engine-Standardumgebung unterstützt.

So rufen Sie verfügbare Regionen auf:

gcloud compute networks vpc-access locations list

Nächste Schritte