Acceso a VPC sin servidores

El Acceso a VPC sin servidores te permite conectarte directamente a la red de nube privada virtual desde entornos sin servidores, como Cloud Run, App Engine o Cloud Functions. La configuración del Acceso a VPC sin servidores permite que el entorno sin servidores envíe solicitudes a la red de VPC mediante DNS interno y direcciones IP internas (como se define en RFC 1918 y RFC 6598). Las respuestas a estas solicitudes también usan tu red interna.

El uso de Acceso a VPC sin servidores tiene dos beneficios principales:

  • Las solicitudes enviadas a tu red de VPC nunca se exponen a Internet.
  • La comunicación a través del Acceso a VPC sin servidores puede tener menos latencia en comparación con Internet.

El Acceso a VPC sin servidores envía tráfico interno desde tu red de VPC al entorno sin servidores solo cuando ese tráfico es una respuesta a una solicitud que se envió desde el entorno sin servidores a través del conector de acceso a VPC sin servidores. Si deseas obtener más información para enviar otro tráfico interno a tu entorno sin servidores, consulta Acceso privado a Google.

Para acceder a los recursos en varias redes de VPC y proyectos de Google Cloud, también debes configurar la VPC compartida o el intercambio de tráfico entre redes de VPC.

Cómo funciona

El acceso a VPC sin servidores se basa en un recurso denominado conector. Los conectores controlan el tráfico entre el entorno sin servidores y la red de VPC. Cuando creas un conector en un proyecto de Google Cloud, debes conectarlo a una red de VPC y a una región específicas. Luego, puedes configurar tus servicios sin servidores para usar el conector en el tráfico de red saliente.

Rangos de direcciones IP

Existen dos opciones para configurar el rango de direcciones IP de un conector:

  • Subred: Puedes especificar una subred /28 existente si aún no hay recursos con la subred.
  • Rango de CIDR: Puedes especificar un rango de CIDR /28 sin usar. Asegúrate de que el rango no se superponga con ningún rango de CIDR en uso.

El tráfico que se envió a través del conector a la red de VPC se origina desde la subred o el rango de CIDR que especifiques.

Reglas de firewall

Si la subred no es una subred compartida, se crea una regla de firewall implícita con prioridad 1,000 en la red de VPC para permitir la entrada desde la subred del conector o el rango de IP personalizado a todos los destinos en la red. La regla de firewall implícita no se puede ver en Google Cloud Console y solo existe mientras exista el conector asociado.

Escalamiento

Un conector de acceso a VPC sin servidores consta de instancias de conector. El Acceso a VPC sin servidores aprovisiona de forma automática las instancias del conector según la cantidad de tráfico que se envía a través del conector, sujeto a la configuración de min-instances y max-instances. Las instancias de conector solo escalan horizontalmente y no se reduce el escalamiento. Las instancias de conector pueden usar uno de varios tipos de máquinas. Los tipos de máquina más grandes proporcionan más capacidad de procesamiento. Puedes ver la capacidad de procesamiento y el costo estimados de cada tipo de máquina en Google Cloud Console.

Etiquetas de red

Las etiquetas de red de Acceso a VPC sin servidores te permiten hacer referencia a los conectores de VPC en las reglas de firewall y las rutas.

Cada conector de acceso a VPC sin servidores recibe de forma automática dos etiquetas de red (a veces llamadas etiquetas de instancia):

  • Etiqueta de red universal: vpc-connector, se aplica a todos los conectores existentes y a cualquier conector futuro.
  • Etiqueta de red única: vpc-connector-REGION-CONNECTOR_NAME, se aplica al conector CONNECTOR_NAME en REGION

No se pueden borrar estas etiquetas de red. No se pueden agregar nuevas etiquetas de red.

Casos de uso

Puedes usar el Acceso a VPC sin servidores para acceder a instancias de VM de Compute Engine, instancias de Memorystore y cualquier otro recurso con DNS interno o dirección IP interna. Por ejemplo:

  • Si usas Memorystore para almacenar datos de un servicio sin servidores.
  • Si tus cargas de trabajo sin servidores usan software de terceros que ejecutas en una VM de Compute Engine.
  • Si ejecutas un servicio de backend en un grupo de instancias administrado en Compute Engine y necesitas que el entorno sin servidores se comunique con este backend sin exponerse a la Internet.
  • Si el entorno sin servidores debe acceder a los datos de la base de datos local a través de Cloud VPN.

Ejemplo

En este ejemplo, un proyecto de Google Cloud ejecuta varios servicios en los siguientes entornos sin servidores: App Engine, Cloud Functions y Cloud Run.

Se creó un conector de acceso a VPC sin servidores y se le asignó el rango de IP 10.8.0.0/28. Por lo tanto, la dirección IP de origen para cualquier solicitud enviada desde el conector está en este rango.

Hay dos recursos en la red de VPC. Uno de los recursos tiene la dirección IP interna 10.0.0.4. El otro recurso tiene la dirección IP interna 10.1.0.2 y está en una región diferente del conector de Acceso a VPC sin servidores.

El conector maneja el envío y la recepción de las solicitudes y respuestas directamente desde estas direcciones IP internas. Cuando el conector envía solicitudes al recurso con la dirección IP interna 10.1.0.2, se aplican los costos de salida porque ese recurso se encuentra en una región diferente.

Todas las solicitudes y respuestas entre los entornos sin servidores y los recursos en la red de VPC viajan de forma interna.

Las solicitudes que se envían a direcciones IP externas aún viajan a través de Internet y no usan el conector de Acceso a VPC sin servidores.

En el siguiente diagrama, se muestra esta configuración.

Ejemplo del Acceso a VPC sin servidores (haz clic para ampliar)
Ejemplo del Acceso a VPC sin servidores (haz clic para ampliar)

Precios

Para obtener los precios de Acceso a VPC sin servidores, consulta Acceso a VPC sin servidores en la página de precios de VPC.

Servicios compatibles

En la siguiente tabla, se muestra a qué tipos de redes puedes llegar mediante el Acceso a VPC sin servidores:

Servicio de conectividad Compatibilidad con el acceso a VPC sin servidores
VPC
VPC compartida
Redes heredadas
Redes conectadas a Cloud Interconnect
Redes conectadas a Cloud VPN
Redes conectadas al intercambio de tráfico entre redes de VPC

En la siguiente tabla, se muestra qué entornos sin servidores son compatibles con el acceso a VPC sin servidores:

Entorno sin servidores Compatibilidad con el acceso a VPC sin servidores
Cloud Run
Cloud Run for Anthos*
Cloud Functions
Entorno estándar de App Engine Todos los entornos de ejecución, excepto PHP 5
Entorno flexible de App Engine*

*Si deseas usar direcciones IP internas cuando te conectas desde Cloud Run for Anthos o el entorno flexible de App Engine, no es necesario que configures el Acceso a VPC sin servidores. Solo asegúrate de que el servicio se implemente en una red de VPC que tenga conectividad con los recursos a los que deseas acceder.

Protocolos de red compatibles

En la siguiente tabla, se describen los protocolos de las herramientas de redes compatibles con los conectores del Acceso a VPC sin servidores.

Protocolo Enrutar solo las solicitudes a las IP privadas mediante el conector de VPC Enrutar todo el tráfico mediante el conector de VPC
TCP
UDP
ICMP Solo compatible con direcciones IP externas

Regiones admitidas

Los conectores del Acceso a VPC sin servidores son compatibles con todas las regiones que admiten Cloud Run, Cloud Functions o el entorno estándar de App Engine.

Para ver las regiones disponibles, haz lo siguiente:

gcloud compute networks vpc-access locations list

¿Qué sigue?