Serverloser VPC-Zugriff
Mit dem serverlosen VPC-Zugriff können Sie eine Verbindung direkt zu Ihrem Virtual Private Cloud-Netzwerk (VPC) aus serverlosen Umgebungen wie Cloud Run, App Engine oder Cloud Functions herstellen. Wenn Sie den serverlosen VPC-Zugriff konfigurieren, kann Ihre serverlose Umgebung Anfragen über interne DNS- und interne IP-Adressen (gemäß RFC 1918 und RFC 6598) an Ihr VPC-Netzwerk senden. Die Antworten auf diese Anfragen verwenden auch Ihr internes Netzwerk.
Der serverlose VPC-Zugriff bietet zwei Hauptvorteile:
- An Ihr VPC-Netzwerk gesendete Anfragen sind niemals über das Internet zugänglich.
- Die Kommunikation über den serverlosen VPC-Zugriff kann im Vergleich zum Internet eine geringere Latenz haben.
Der serverlose VPC-Zugriff sendet nur dann internen Traffic von Ihrem VPC-Netzwerk an Ihre serverlose Umgebung, wenn der Traffic eine Antwort auf eine Anfrage ist, die von Ihrer serverlosen Umgebung über den Connector für serverlosen VPC-Zugriff gesendet wurde. Informationen zum Senden von anderem internen Traffic an Ihre serverlose Umgebung finden Sie unter Privater Google-Zugriff.
Für den Zugriff auf Ressourcen über mehrere VPC-Netzwerke und Google Cloud-Projekte müssen Sie auch eine freigegebene VPC oder VPC-Netzwerk-Peering konfigurieren.
So gehts:
Der serverlose VPC-Zugriff basiert auf einer Ressource, die als Connector bezeichnet wird. Ein Connector verarbeitet den Traffic zwischen der serverlosen Umgebung und Ihrem VPC-Netzwerk. Wenn Sie einen Connector in Ihrem Google Cloud-Projekt erstellen, hängen Sie ihn an ein bestimmtes VPC-Netzwerk und eine Region an. Anschließend konfigurieren Sie Ihre serverlosen Dienste so, dass sie diesen Connector für ausgehenden Netzwerktraffic verwenden.
IP-Adressbereiche
Es gibt zwei Möglichkeiten, den IP-Adressbereich für einen Connector festzulegen:
- Subnetz: Sie können ein vorhandenes
/28-Subnetz angeben, wenn noch keine Ressourcen das Subnetz verwenden. - CIDR-Bereich: Sie können einen nicht verwendeten CIDR-Bereich von
/28angeben. Achten Sie bei der Angabe dieses Bereichs darauf, dass er sich nicht mit bereits genutzten CIDR-Bereichen überschneidet.
Traffic, der über den Connector an Ihr VPC-Netzwerk gesendet wird, stammt aus dem von Ihnen angegebenen Subnetz oder CIDR-Bereich.
Firewallregeln
Wenn das Subnetz kein freigegebenes Subnetz ist, wird in Ihrem VPC-Netzwerk eine implizite Firewallregel mit Priorität 1.000 erstellt, um eingehenden Traffic aus dem Subnetz oder dem benutzerdefinierten IP-Bereich des Connectors an alle Ziele im Netzwerk zuzulassen. Die implizite Firewallregel ist in der Google Cloud Console nicht sichtbar und nur vorhanden, solange der zugehörige Connector vorhanden ist.
Durchsatz und Skalierung
Ein Connector für serverlosen VPC-Zugriff besteht aus Connector-Instanzen. Connector-Instanzen können einen von mehreren Maschinentypen verwenden. Größere Maschinentypen bieten einen höheren Durchsatz. Sie können den geschätzten Durchsatz und die Kosten für jeden Maschinentyp in der Google Cloud Console und in der folgenden Tabelle ansehen.
| Maschinentyp | Geschätzter Durchsatzbereich in Mbit/s | Preis (Connector-Instanz plus Kosten für ausgehende Datenübertragung im Netzwerk) |
|---|---|---|
f1-micro |
100-500 | f1-micro-Preise |
e2-micro |
200-1000 | e2-micro-Preise |
e2-standard-4 |
3200-16000 | e2-Standardpreise |
Sie können die minimale und maximale Anzahl an Connector-Instanzen festlegen, die für Ihren Connector zulässig sind. Der Mindestwert muss mindestens 2 sein. Der Höchstwert darf maximal 10 sein und muss größer als der Mindestwert sein. Wenn Sie für den Connector keine Mindest- und Höchstzahl von Instanzen angeben, gilt die Standardanzahl von 2 und die Standardanzahl von 10. Ein Connector kann den festgelegten Wert für die maximale Anzahl von Instanzen vorübergehend überschreiten, wenn Google Wartungsarbeiten wie Sicherheitsupdates durchführt. Während der Wartung können zusätzliche Instanzen hinzugefügt werden, um einen unterbrechungsfreien Dienst zu gewährleisten. Nach der Wartung werden die Connectors an die gleiche Anzahl von Instanzen zurückgegeben wie vor dem Wartungszeitraum. Die Wartung dauert in der Regel einige Minuten.
Beim serverlosen VPC-Zugriff wird die Anzahl der Instanzen in Ihrem Connector automatisch horizontal skaliert, wenn der Traffic zunimmt. Die hinzugefügten Instanzen haben den Typ, den Sie für Ihren Connector angegeben haben. Connectors können keine Maschinentypen kombinieren. Connectors skalieren nicht horizontal herunter. Wenn Sie verhindern möchten, dass Connectors mehr als gewünscht horizontal skalieren, legen Sie die maximale Anzahl von Instanzen auf eine niedrige Anzahl fest. Wenn der Connector horizontal skaliert wurde und Sie weniger Instanzen verwenden möchten, erstellen Sie den Connector mit der gewünschten Anzahl von Instanzen neu.
Beispiel
Wenn Sie für Ihren Maschinentyp f1-micro wählen und die Standardwerte für die minimale und maximale Anzahl von Instanzen (2 bzw. 10) verwenden, beträgt der geschätzte Durchsatz für Ihren Connector 100 Mbit/s bei der Standard-Mindestanzahl von Instanzen und 500 Mbit/s bei der maximalen Standardanzahl von Instanzen.
Durchsatzdiagramm
Sie können den aktuellen Durchsatz auf der Seite „Connector-Details“ in der Google Cloud Console überwachen. Das Durchsatzdiagramm auf dieser Seite zeigt eine detaillierte Ansicht der Durchsatzmesswerte des Connectors an.
Netzwerk-Tags
Mit Netzwerk-Tags für serverlosen VPC-Zugriff können Sie auf VPC-Connectors in Firewallregeln und Routen verweisen.
Jeder Connector für serverlosen VPC-Zugriff erhält automatisch diese zwei Netzwerk-Tags (manchmal als Instanz-Tags bezeichnet):
Universelles Netzwerk-Tag: (
vpc-connector) gilt für alle vorhandenen Connectors und zukünftigen ConnectorsEindeutiges Netzwerk-Tag (
vpc-connector-REGION-CONNECTOR_NAME): Gilt für den Connector CONNECTOR_NAME in der Region REGION.
Diese Netzwerk-Tags können nicht gelöscht werden. Neue Netzwerk-Tags können nicht hinzugefügt werden.
Anwendungsfälle
Sie können den serverlosen VPC-Zugriff verwenden, um auf Compute Engine-VM-Instanzen, Memorystore-Instanzen und alle anderen Ressourcen mit interner DNS- oder interner IP-Adresse zuzugreifen. Dazu einige Beispiele:
- Sie speichern Daten für einen serverlosen Dienst mit Memorystore.
- Ihre serverlosen Arbeitslasten verwenden Drittanbieter-Software, die Sie auf einer Compute Engine-VM ausführen.
- Sie führen einen Back-End-Dienst für eine verwaltete Instanzgruppe in Compute Engine aus und Ihre serverlose Umgebung muss mit diesem Back-End kommunizieren, ohne in Kontakt mit dem Internet zu kommen.
- Ihre serverlose Umgebung muss über Cloud VPN auf Daten in Ihrer lokalen Datenbank zugreifen.
Beispiel
In diesem Beispiel führt ein Google Cloud-Projekt mehrere Dienste in den folgenden serverlosen Umgebungen aus: App Engine, Cloud Functions und Cloud Run.
Ein Connector für serverlosen VPC-Zugriff wurde erstellt und dem IP-Bereich 10.8.0.0/28 zugewiesen. Daher befindet sich die Quell-IP-Adresse für jede vom Connector gesendete Anfrage in diesem Bereich.
Das VPC-Netzwerk enthält zwei Ressourcen. Eine der Ressourcen hat die interne IP-Adresse 10.0.0.4. Die andere Ressource hat die interne IP-Adresse 10.1.0.2 und befindet sich in einer anderen Region als der Connector für serverlosen VPC-Zugriff.
Der Connector übernimmt das Senden und Empfangen der Anfragen und Antworten direkt von diesen internen IP-Adressen. Wenn der Connector Anfragen an die Ressource mit der internen IP-Adresse 10.1.0.2 sendet, fallen Kosten für die ausgehende Datenübertragung an, da sich diese Ressource in einer anderen Region befindet.
Alle Anfragen und Antworten zwischen den serverlosen Umgebungen und den Ressourcen im VPC-Netzwerk werden intern weitergeleitet.
Anfragen an externe IP-Adressen werden weiterhin über das Internet übertragen und verwenden nicht den Connector für serverlosen VPC-Zugriff.
Das folgende Diagramm zeigt diese Konfiguration.
Preise
Informationen zu den Preisen für serverlosen VPC-Zugriff finden Sie auf der Seite „VPC-Preise“ unter Serverloser VPC-Zugriff.
Unterstützte Dienste
In der nachstehenden Tabelle sind die Netzwerktypen aufgeführt, die Sie über den serverlosen VPC-Zugriff erreichen können:
| Verbindungsdienst | Unterstützung für serverlosen VPC-Zugriff |
|---|---|
| VPC | |
| Shared VPC | |
| Legacy-Netzwerke | |
| Mit Cloud Interconnect verbundene Netzwerke | |
| Mit Cloud VPN verbundene Netzwerke | |
| Mit VPC-Netzwerk-Peering verbundene Netzwerke |
In der nachstehenden Tabelle sind die serverlosen Umgebungen aufgeführt, die den serverlosen VPC-Zugriff unterstützen:
| Serverlose Umgebung | Unterstützung für serverlosen VPC-Zugriff |
|---|---|
| Cloud Run | |
| Cloud Run for Anthos* | |
| Cloud Functions | |
| App Engine-Standardumgebung | Alle Laufzeiten außer PHP 5 |
| Flexible App Engine-Umgebung* |
* Wenn Sie für Verbindungen aus Cloud Run for Anthos oder aus der flexiblen App Engine-Umgebung interne Adressen verwenden möchten, müssen Sie den serverlosen VPC-Zugriff nicht konfigurieren. In diesem Fall muss nur gewährleistet werden, dass der Dienst in einem VPC-Netzwerk mit Verbindung zu den Ressourcen bereitgestellt wird, die Sie erreichen möchten.
Unterstützte Netzwerkprotokolle
In der folgenden Tabelle werden die von den Connectors für serverlosen VPC-Zugriff unterstützten Netzwerkprotokolle beschrieben.
| Protokoll | Nur Anfragen an private IPs über den VPC-Connector weiterleiten | Gesamten Traffic über den VPC-Connector weiterleiten |
|---|---|---|
| TCP | ||
| UDP | ||
| ICMP | Wird nur für externe IP-Adressen unterstützt |
Unterstützte Regionen
Connectors für serverlosen VPC-Zugriff werden in jeder Region unterstützt, die Cloud Run, Cloud Functions oder die App Engine-Standardumgebung unterstützt.
So rufen Sie verfügbare Regionen auf:
gcloud compute networks vpc-access locations list
Nächste Schritte
- Weitere Informationen zum Konfigurieren des serverlosen VPC-Zugriffs finden Sie unter Serverlosen VPC-Zugriff konfigurieren.