Serverloser VPC-Zugriff

Mit dem serverlosen VPC-Zugriff können Sie eine Verbindung direkt zu Ihrem Virtual Private Cloud-Netzwerk aus serverlosen Umgebungen wie Cloud Run, App Engine oder Cloud Functions herstellen. Wenn Sie den serverlosen VPC-Zugriff konfigurieren, kann Ihre serverlose Umgebung Anfragen über interne DNS- und interne IP-Adressen (gemäß RFC 1918 und RFC 6598) an Ihr VPC-Netzwerk senden. Die Antworten auf diese Anfragen verwenden auch Ihr internes Netzwerk.

Der serverlose VPC-Zugriff bietet zwei Hauptvorteile:

  • An Ihr VPC-Netzwerk gesendete Anfragen sind niemals über das Internet zugänglich.
  • Die Kommunikation über den serverlosen VPC-Zugriff kann im Vergleich zum Internet eine geringere Latenz haben.

Der serverlose VPC-Zugriff sendet nur dann internen Traffic von Ihrem VPC-Netzwerk an Ihre serverlose Umgebung, wenn der Traffic eine Antwort auf eine Anfrage ist, die von Ihrer serverlosen Umgebung über den Connector für serverlosen VPC-Zugriff gesendet wurde. Informationen zum Senden von anderem internen Traffic an Ihre serverlose Umgebung finden Sie unter Privater Google-Zugriff.

Für den Zugriff auf Ressourcen über mehrere VPC-Netzwerke und Google Cloud-Projekte müssen Sie auch eine freigegebene VPC oder VPC-Netzwerk-Peering konfigurieren.

So gehts:

Der serverlose VPC-Zugriff basiert auf einer Ressource, die als Connector bezeichnet wird. Ein Connector verarbeitet den Traffic zwischen der serverlosen Umgebung und Ihrem VPC-Netzwerk. Wenn Sie einen Connector in Ihrem Google Cloud-Projekt erstellen, hängen Sie ihn an ein bestimmtes VPC-Netzwerk und eine Region an. Anschließend konfigurieren Sie Ihre serverlosen Dienste so, dass sie diesen Connector für ausgehenden Netzwerktraffic verwenden.

IP-Adressbereiche

Es gibt zwei Möglichkeiten, den IP-Adressbereich für einen Connector festzulegen:

  • Subnetz: Sie können ein vorhandenes /28-Subnetz angeben, wenn noch keine Ressourcen das Subnetz verwenden.
  • CIDR-Bereich: Sie können einen nicht verwendeten CIDR-Bereich von /28 angeben. Der Bereich darf sich nicht mit verwendeten CIDR-Bereichen überschneiden.

Traffic, der über den Connector an Ihr VPC-Netzwerk gesendet wird, stammt aus dem von Ihnen angegebenen Subnetz oder CIDR-Bereich.

Firewallregeln

Wenn das Subnetz kein freigegebenes Subnetz ist, wird in Ihrem VPC-Netzwerk eine implizite Firewallregel mit Priorität 1.000 erstellt, um eingehenden Traffic aus dem Subnetz oder dem benutzerdefinierten IP-Bereich des Connectors an alle Ziele im Netzwerk zuzulassen. Die implizite Firewallregel ist in der Google Cloud Console nicht sichtbar und nur vorhanden, solange der zugehörige Connector vorhanden ist.

Skalieren

Ein Connector für serverlosen VPC-Zugriff besteht aus Connector-Instanzen. Der serverlose VPC-Zugriff stellt je nach der Menge des über den Connector gesendeten Traffics automatisch Connector-Instanzen bereit, abhängig von den Einstellungen min-instances und max-instances. Connector-Instanzen werden nur horizontal skaliert, nicht jedoch vertikal. Connector-Instanzen können einen von mehreren Maschinentypen verwenden. Größere Maschinentypen bieten einen höheren Durchsatz. Sie können sich den geschätzten Durchsatz und die geschätzten Kosten für jeden Maschinentyp in der Google Cloud Console ansehen.

Netzwerktags

Mit Netzwerk-Tags für serverlosen VPC-Zugriff können Sie auf VPC-Connectors in Firewallregeln und Routen verweisen.

Jeder Connector für serverlosen VPC-Zugriff erhält automatisch zwei Netzwerk-Tags (manchmal als Instanz-Tags bezeichnet):

  • Universelles Netzwerk-Tag: vpc-connector gilt für alle vorhandenen Connectors und zukünftigen Connectors
  • Eindeutiges Netzwerk-Tag: vpc-connector-REGION-CONNECTOR_NAME Gilt für den Connector CONNECTOR_NAME in REGION

Diese Netzwerk-Tags können nicht gelöscht werden. Neue Netzwerk-Tags können nicht hinzugefügt werden.

Anwendungsfälle

Sie können den serverlosen VPC-Zugriff verwenden, um auf Compute Engine-VM-Instanzen, Memorystore-Instanzen und alle anderen Ressourcen mit interner DNS- oder interner IP-Adresse zuzugreifen. Dazu einige Beispiele:

  • Sie speichern Daten für einen serverlosen Dienst mit Memorystore.
  • Ihre serverlosen Arbeitslasten verwenden Drittanbieter-Software, die Sie auf einer Compute Engine-VM ausführen.
  • Sie führen einen Back-End-Dienst für eine verwaltete Instanzgruppe in Compute Engine aus und Ihre serverlose Umgebung muss mit diesem Back-End kommunizieren, ohne in Kontakt mit dem Internet zu kommen.
  • Ihre serverlose Umgebung muss über Cloud VPN auf Daten in Ihrer lokalen Datenbank zugreifen.

Beispiel

In diesem Beispiel führt ein Google Cloud-Projekt mehrere Dienste in den folgenden serverlosen Umgebungen aus: App Engine, Cloud Functions und Cloud Run.

Ein Connector für serverlosen VPC-Zugriff wurde erstellt und dem IP-Bereich 10.8.0.0/28 zugewiesen. Daher befindet sich die Quell-IP-Adresse für jede vom Connector gesendete Anfrage in diesem Bereich.

Das VPC-Netzwerk enthält zwei Ressourcen. Eine der Ressourcen hat die interne IP-Adresse 10.0.0.4. Die andere Ressource hat die interne IP-Adresse 10.1.0.2 und befindet sich in einer anderen Region als der Connector für serverlosen VPC-Zugriff.

Der Connector übernimmt das Senden und Empfangen der Anfragen und Antworten direkt von diesen internen IP-Adressen. Wenn der Connector Anfragen an die Ressource mit der internen IP-Adresse 10.1.0.2 sendet, fallen Kosten für ausgehenden Traffic an, da sich diese Ressource in einer anderen Region befindet.

Alle Anfragen und Antworten zwischen den serverlosen Umgebungen und den Ressourcen im VPC-Netzwerk werden intern weitergeleitet.

Anfragen an externe IP-Adressen werden weiterhin über das Internet übertragen und verwenden nicht den Connector für serverlosen VPC-Zugriff.

Das folgende Diagramm zeigt diese Konfiguration.

Beispiel für serverlosen VPC-Zugriff (zum Vergrößern klicken)
Beispiel für serverlosen VPC-Zugriff (zum Vergrößern klicken)

Preise

Informationen zu den Preisen für serverlosen VPC-Zugriff finden Sie auf der Seite „VPC-Preise“ unter Serverloser VPC-Zugriff.

Unterstützte Dienste

In der folgenden Tabelle sind die Netzwerktypen aufgeführt, die Sie über den serverlosen VPC-Zugriff erreichen können:

Verbindungsdienst Unterstützung für serverlosen VPC-Zugriff
VPC
Shared VPC
Legacy-Netzwerke
Mit Cloud Interconnect verbundene Netzwerke
Mit Cloud VPN verbundene Netzwerke
Mit VPC-Netzwerk-Peering verbundene Netzwerke

In der folgenden Tabelle sehen Sie, welche serverlosen Umgebungen den serverlosen VPC-Zugriff unterstützen:

Serverlose Umgebung Unterstützung für serverlosen VPC-Zugriff
Cloud Run
Cloud Run for Anthos*
Cloud Functions
App Engine-Standardumgebung Alle Laufzeiten außer PHP 5
Flexible App Engine-Umgebung*

* Wenn Sie für Verbindungen aus Cloud Run for Anthos oder aus der flexiblen App Engine-Umgebung interne Adressen verwenden möchten, müssen Sie den serverlosen VPC-Zugriff nicht konfigurieren. In diesem Fall muss nur gewährleistet werden, dass der Dienst in einem VPC-Netzwerk mit Verbindung zu den Ressourcen bereitgestellt wird, die Sie erreichen möchten.

Unterstützte Netzwerkprotokolle

In der folgenden Tabelle werden die von den Connectors für serverlosen VPC-Zugriff unterstützten Netzwerkprotokolle beschrieben.

Protokoll Nur Anfragen an private IPs über den VPC-Connector weiterleiten Gesamten Traffic über den VPC-Connector weiterleiten
TCP
UDP
ICMP Wird nur für externe IP-Adressen unterstützt

Unterstützte Regionen

Connectors für serverlosen VPC-Zugriff werden in jeder Region unterstützt, die Cloud Run, Cloud Functions oder die App Engine-Standardumgebung unterstützt.

So rufen Sie verfügbare Regionen auf:

gcloud compute networks vpc-access locations list

Nächste Schritte