accesso VPC serverless

L'accesso VPC serverless consente di connetterti direttamente alla rete Virtual Private Cloud da ambienti serverless come Cloud Run, App Engine o Cloud Functions. La configurazione dell'accesso VPC serverless consente al tuo ambiente serverless di inviare richieste alla tua rete VPC tramite indirizzi DNS interni e IP interni (come definito da RFC 1918 e RFC 6598). Le risposte a queste richieste utilizzano anche la tua rete interna.

L'utilizzo dell'accesso VPC serverless offre due vantaggi principali:

  • Le richieste inviate alla tua rete VPC non vengono mai esposte a Internet.
  • La comunicazione tramite l'accesso VPC serverless può avere una latenza minore rispetto a Internet.

L'accesso VPC serverless invia il traffico interno dalla tua rete VPC all'ambiente serverless solo quando tale traffico è una risposta a una richiesta inviata dall'ambiente serverless tramite il connettore di accesso VPC serverless. Per saperne di più sull'invio di altro traffico interno al tuo ambiente serverless, consulta l'articolo sull'accesso privato Google.

Per accedere alle risorse su più reti VPC e progetti Google Cloud, devi anche configurare il VPC condiviso o il peering di rete VPC.

Come funziona

L'accesso VPC serverless si basa su una risorsa denominata connettore. Un connettore gestisce il traffico tra l'ambiente serverless e la rete VPC. Quando crei un connettore nel tuo progetto Google Cloud, lo colleghi a una specifica rete VPC e a un'area geografica. Puoi quindi configurare i tuoi servizi serverless in modo che utilizzino il connettore per il traffico di rete in uscita.

Intervalli di indirizzi IP

Sono disponibili due opzioni per impostare l'intervallo di indirizzi IP per un connettore:

  • Subnet: puoi specificare una subnet /28 esistente se non sono già presenti risorse che utilizzano già la subnet.
  • Intervallo CIDR: puoi specificare un intervallo CIDR /28 inutilizzato. Assicurati che l'intervallo non si sovrapponga a qualsiasi intervallo CIDR in uso.

Il traffico inviato attraverso il connettore alla rete VPC ha origine dalla subnet o dall'intervallo CIDR specificato.

Regole firewall

Se la subnet non è una subnet condivisa, sulla rete VPC viene creata una regola firewall con priorità 1000 implicita per consentire il traffico in entrata dalla subnet del connettore o dall'intervallo IP personalizzato a tutte le destinazioni nella rete. La regola implicita del firewall non è visibile in Google Cloud Console ed esiste solo finché il connettore associato esiste.

Scalabilità

Un connettore di accesso VPC serverless è costituito da istanze di connettore. L'accesso VPC serverless esegue automaticamente il provisioning delle istanze del connettore in base alla quantità di traffico inviata attraverso il connettore, soggetta alle impostazioni di min-instances e max-instances. Le istanze del connettore eseguono solo lo scale out e non lo scale in. Le istanze di connettore possono utilizzare uno dei vari tipi di macchine. I tipi di macchina più grandi offrono una maggiore velocità effettiva. In Google Cloud Console, puoi visualizzare la velocità effettiva e il costo stimati per ogni tipo di macchina.

Tag di rete

I tag di rete VPC VPC serverless consentono di fare riferimento ai connettori VPC nelle regole firewall e nelle route.

Ogni connettore di accesso VPC serverless riceve automaticamente due tag di rete (a volte chiamati tag di istanza):

  • Tag di rete universale: vpc-connector si applica a tutti i connettori esistenti e a qualsiasi connettore creato in futuro
  • Tag di rete univoco: vpc-connector-REGION-CONNECTOR_NAME Si applica al connettore CONNECTOR_NAME in REGION

Impossibile eliminare i tag di rete. Impossibile aggiungere nuovi tag di rete.

Casi d'uso

Puoi utilizzare l'accesso serverless VPC per accedere a istanze di VM Compute Engine, istanze Memorystore e a qualsiasi altra risorsa con DNS interno o indirizzo IP interno. Ecco alcuni esempi:

  • Usi Memorystore per archiviare i dati per un servizio serverless.
  • I carichi di lavoro serverless utilizzano software di terze parti che esegui su una VM di Compute Engine.
  • Esegui un servizio di backend su un gruppo di istanze gestite in Compute Engine e vuoi che il tuo ambiente serverless comunichi con questo backend senza esposizione a Internet.
  • Il tuo ambiente serverless deve accedere ai dati dal tuo database on-premise tramite Cloud VPN.

Esempio

In questo esempio, un progetto Google Cloud sta eseguendo più servizi nei seguenti ambienti serverless: App Engine, Cloud Functions e Cloud Run.

È stato creato un connettore di accesso VPC serverless e gli è stato assegnato l'intervallo IP 10.8.0.0/28. Pertanto, l'indirizzo IP di origine per qualsiasi richiesta inviata dal connettore rientra in questo intervallo.

Esistono due risorse nella rete VPC. Una delle risorse ha l'indirizzo IP interno 10.0.0.4. L'altra risorsa ha l'indirizzo IP interno 10.1.0.2 e si trova in un'area geografica diversa dal connettore di accesso VPC serverless.

Il connettore gestisce l'invio e la ricezione sia delle richieste sia delle risposte direttamente da questi indirizzi IP interni. Quando il connettore invia richieste alla risorsa con indirizzo IP interno 10.1.0.2, vengono applicati i costi di traffico in uscita perché la risorsa si trova in un'area geografica diversa.

Tutte le richieste e le risposte tra gli ambienti serverless e le risorse nella rete VPC viaggiano internamente.

Le richieste inviate a indirizzi IP esterni viaggiano ancora attraverso Internet e non utilizzano il connettore di accesso VPC serverless.

Il seguente diagramma mostra questa configurazione.

Esempio di accesso VPC serverless (fai clic per ingrandire)
Esempio di accesso VPC serverless (fai clic per ingrandire)

Prezzi

Per i prezzi dell'accesso VPC serverless, consulta Accesso VPC serverless nella pagina dei prezzi VPC.

Servizi supportati

La tabella seguente mostra i tipi di reti che puoi raggiungere utilizzando l'accesso VPC serverless:

Servizio di connettività Supporto dell'accesso VPC serverless
VPC
VPC condiviso
Reti precedenti
Reti collegate a Cloud Interconnect
Reti collegate a Cloud VPN
Reti collegate al peering di rete VPC

La tabella seguente mostra quali ambienti serverless supportano l'accesso VPC serverless:

Ambiente serverless Supporto dell'accesso VPC serverless
Cloud Run
Cloud Run for Anthos*
Cloud Functions
Ambiente standard di App Engine Tutti i runtime ad eccezione di PHP 5
Ambiente flessibile di App Engine*

*Se vuoi utilizzare indirizzi IP interni durante la connessione da Cloud Run for Anthos o dall'ambiente flessibile di App Engine, non devi configurare l'accesso VPC serverless. Assicurati che il deployment del tuo servizio sia eseguito in una rete VPC con connettività alle risorse che vuoi raggiungere.

Protocolli di networking supportati

La tabella seguente descrive i protocolli di rete supportati dai connettori di accesso VPC senza server.

Protocollo Instrada solo le richieste a IP privati attraverso il connettore VPC Instrada tutto il traffico attraverso il connettore VPC
TCP
UDP
ICMP Supportato solo per gli indirizzi IP esterni

Aree geografiche supportate

I connettori di accesso VPC serverless sono supportati in ogni area geografica che supporta l'ambiente standard Cloud Run, Cloud Functions o App Engine.

Per visualizzare le aree geografiche disponibili:

gcloud compute networks vpc-access locations list

Passaggi successivi