Akses VPC Serverless

Dengan Akses VPC Serverless, Anda dapat terhubung langsung ke jaringan Virtual Private Cloud (VPC) Anda dari lingkungan serverless seperti Cloud Run, App Engine, atau Cloud Functions. Dengan mengonfigurasi Akses VPC Serverless, lingkungan serverless Anda dapat mengirim permintaan ke jaringan VPC Anda menggunakan DNS internal dan alamat IP internal (sebagaimana ditentukan oleh RFC 1918 dan RFC 6598). Respons terhadap permintaan ini juga menggunakan jaringan internal Anda.

Ada dua manfaat utama penggunaan Akses VPC Serverless:

  • Permintaan yang dikirim ke jaringan VPC Anda tidak akan pernah terekspos ke internet.
  • Komunikasi melalui Akses VPC Serverless dapat memiliki latensi yang lebih rendah dibandingkan ke internet.

Akses VPC Serverless mengirimkan traffic internal dari jaringan VPC Anda ke lingkungan serverless hanya jika traffic tersebut merupakan respons terhadap permintaan yang dikirim dari lingkungan serverless Anda melalui konektor Akses VPC Serverless. Untuk mempelajari cara mengirim traffic internal lain ke lingkungan serverless Anda, lihat Akses Google Pribadi.

Untuk mengakses resource di beberapa jaringan VPC dan project Google Cloud, Anda juga harus mengonfigurasi VPC Bersama atau Peering Jaringan VPC.

Cara kerjanya

Akses VPC Serverless didasarkan pada resource yang disebut konektor. Konektor menangani traffic antara lingkungan serverless dan jaringan VPC Anda. Saat membuat konektor di project Google Cloud, Anda dapat memasangnya ke jaringan dan region VPC tertentu. Kemudian, Anda dapat mengonfigurasi layanan serverless agar dapat menggunakan konektor untuk traffic jaringan keluar.

Rentang alamat IP

Ada dua opsi untuk menetapkan rentang alamat IP untuk konektor:

  • Subnet: Anda dapat menentukan subnet /28 yang ada jika tidak ada resource yang sudah menggunakan subnet.
  • Rentang CIDR: Anda dapat menentukan rentang CIDR /28 yang tidak digunakan. Saat menentukan rentang ini, pastikan rentang tersebut tidak tumpang-tindih dengan rentang CIDR yang sedang digunakan.

Traffic yang dikirim melalui konektor ke jaringan VPC Anda berasal dari subnet atau rentang CIDR yang Anda tentukan.

Aturan firewall

Jika subnet bukan subnet yang dibagikan, aturan firewall implisit dengan prioritas 1000 akan dibuat di jaringan VPC Anda agar memungkinkan traffic masuk dari subnet konektor atau rentang IP kustom ke semua tujuan dalam jaringan. Aturan firewall implisit tidak terlihat di Konsol Google Cloud dan hanya ada selama konektor yang terkait tersedia.

Throughput dan penskalaan

Konektor Akses VPC Serverless terdiri atas instance konektor. Instance konektor dapat menggunakan salah satu dari beberapa jenis mesin. Jenis mesin yang lebih besar memberikan throughput yang lebih banyak. Anda dapat melihat estimasi throughput dan biaya untuk setiap jenis mesin di Konsol Google Cloud dan di tabel berikut.

Machine type Estimasi rentang throughput dalam Mbps Harga
(instance konektor ditambah biaya transfer data keluar jaringan)
f1-micro 100-500 Harga f1-micro
e2-micro 200-1000 Harga e2-micro
e2-standard-4 3200-16000 Harga e2 standard

Anda dapat menetapkan jumlah minimum dan maksimum instance konektor yang diizinkan untuk konektor Anda. Nilai minimum setidaknya harus 2. Nilai maksimumnya maksimal 10, dan harus lebih besar dibandingkan nilai minimum. Jika Anda tidak menentukan jumlah minimum dan maksimum instance untuk konektor Anda, nilai minimum default 2 dan maksimum default 10 akan berlaku. Konektor mungkin melebihi nilai yang ditetapkan untuk sementara pada jumlah maksimum instance saat Google melakukan pemeliharaan seperti update keamanan. Selama pemeliharaan, instance tambahan dapat ditambahkan untuk memastikan layanan tidak terganggu. Setelah pemeliharaan, konektor ditampilkan ke jumlah instance yang sama seperti sebelum periode pemeliharaan. Pemeliharaan biasanya berlangsung selama beberapa menit.

Akses VPC Serverless akan otomatis menskalakan jumlah instance di konektor Anda seiring meningkatnya traffic. Instance yang ditambahkan adalah jenis yang Anda tentukan untuk konektor Anda. Konektor tidak dapat mencampur jenis mesin. Konektor tidak diturunkan skalanya. Untuk mencegah konektor menyebarkan skala lebih banyak daripada yang Anda inginkan, tetapkan jumlah maksimum instance ke angka yang rendah. Jika konektor telah menyebarkan skala dan Anda memilih untuk memiliki lebih sedikit instance, buat ulang konektor dengan jumlah instance yang diinginkan.

Contoh

Jika Anda memilih f1-micro untuk jenis mesin Anda, dan Anda menggunakan nilai default untuk jumlah instance minimum dan maksimum (masing-masing 2 dan 10), estimasi throughput untuk konektor Anda adalah 100 Mbps pada jumlah instance minimum default dan 500 Mbps pada jumlah instance maksimum default.

Diagram throughput

Anda dapat memantau throughput saat ini dari halaman detail Konektor di Konsol Google Cloud. Diagram throughput pada halaman ini menampilkan tampilan mendetail tentang metrik throughput konektor.

Tag jaringan

Tag jaringan Akses VPC Serverless memungkinkan Anda merujuk ke konektor VPC dalam aturan firewall dan rute.

Setiap konektor Akses VPC Serverless akan otomatis menerima dua tag jaringan berikut (terkadang disebut tag instance):

  • Tag jaringan universal (vpc-connector): Berlaku untuk semua konektor yang ada dan konektor yang dibuat pada masa mendatang.

  • Tag jaringan unik (vpc-connector-REGION-CONNECTOR_NAME): Berlaku untuk konektor CONNECTOR_NAME di region REGION.

Tag jaringan ini tidak dapat dihapus. Tag jaringan baru tidak dapat ditambahkan.

Kasus penggunaan

Anda dapat menggunakan Akses VPC Serverless untuk mengakses instance VM Compute Engine, instance Memorystore, dan resource lain dengan DNS internal atau alamat IP internal. Berikut beberapa contohnya:

  • Anda menggunakan Memorystore untuk menyimpan data untuk layanan serverless.
  • Workload serverless Anda menggunakan software pihak ketiga yang Anda jalankan di VM Compute Engine.
  • Anda menjalankan layanan backend pada Grup Instance Terkelola di Compute Engine dan memerlukan lingkungan serverless untuk berkomunikasi dengan backend ini tanpa terpapar ke internet.
  • Lingkungan serverless Anda perlu mengakses data dari database lokal melalui Cloud VPN.

Contoh

Dalam contoh ini, project Google Cloud menjalankan beberapa layanan di seluruh lingkungan serverless berikut: App Engine, Cloud Functions, dan Cloud Run.

Konektor Akses VPC Serverless telah dibuat dan menetapkan rentang IP 10.8.0.0/28. Oleh karena itu, alamat IP sumber untuk setiap permintaan yang dikirim dari konektor berada dalam rentang ini.

Ada dua resource di jaringan VPC. Salah satu resource memiliki alamat IP internal 10.0.0.4. Resource lainnya memiliki alamat IP internal 10.1.0.2, dan berada di region yang berbeda dengan konektor Akses VPC Serverless.

Konektor akan menangani pengiriman serta penerimaan permintaan dan respons secara langsung dari alamat IP internal ini. Saat konektor mengirimkan permintaan ke resource dengan alamat IP internal 10.1.0.2, biaya transfer data keluar berlaku karena resource tersebut berada di region yang berbeda.

Semua permintaan serta respons antara lingkungan serverless dan resource di jaringan VPC berpindah secara internal.

Permintaan yang dikirim ke alamat IP eksternal tetap melalui internet dan tidak menggunakan konektor Akses VPC Serverless.

Diagram berikut menunjukkan konfigurasi ini.

Contoh Akses VPC Serverless (klik untuk memperbesar)
Contoh Akses VPC Serverless (klik untuk memperbesar)

Harga

Untuk mengetahui harga Akses VPC Serverless, lihat Akses VPC Serverless di halaman harga VPC.

Layanan yang didukung

Tabel berikut menunjukkan jenis jaringan mana yang dapat Anda jangkau menggunakan Akses VPC Serverless:

Layanan konektivitas Dukungan Akses VPC Serverless
VPC
VPC Bersama
Jaringan lama
Jaringan yang terhubung ke Cloud Interconnect
Jaringan yang terhubung ke Cloud VPN
Jaringan yang terhubung ke Peering Jaringan VPC

Tabel berikut menunjukkan lingkungan serverless mana yang mendukung Akses VPC Serverless:

Lingkungan serverless Dukungan Akses VPC Serverless
Cloud Run
Cloud Run for Anthos*
Cloud Functions
Lingkungan standar App Engine Semua runtime kecuali PHP 5
Lingkungan fleksibel App Engine*

*Jika ingin menggunakan alamat IP internal saat terhubung dari Cloud Run for Anthos atau lingkungan fleksibel App Engine, Anda tidak perlu mengonfigurasi Akses VPC Serverless. Cukup pastikan layanan Anda di-deploy di jaringan VPC yang memiliki konektivitas ke resource yang ingin Anda jangkau.

Protokol jaringan yang didukung

Tabel berikut menjelaskan protokol jaringan yang didukung oleh konektor Akses VPC Serverless.

Protocol Rutekan hanya permintaan ke IP pribadi melalui konektor VPC Rutekan semua traffic melalui konektor VPC
TCP
UDP
ICMP Hanya didukung untuk alamat IP eksternal

Region yang didukung

Konektor Akses VPC Serverless didukung di setiap region yang mendukung lingkungan standar Cloud Run, Cloud Functions, atau App Engine.

Untuk melihat region yang tersedia:

gcloud compute networks vpc-access locations list

Langkah selanjutnya