Accesso VPC serverless
L'accesso VPC serverless ti consente di connetterti direttamente la tua rete Virtual Private Cloud (VPC) da ambienti serverless come Cloud Run, App Engine o Cloud Functions. Configurazione in corso... L'accesso VPC serverless consente all'ambiente serverless di inviare richieste alla tua rete VPC utilizzando il DNS interno e l'IP interno indirizzi IP (come definiti dalla specifica RFC 1918 e RFC 6598). Le risposte a queste richieste utilizzano anche la tua rete interna.
L'utilizzo dell'accesso VPC serverless offre due vantaggi principali:
- Le richieste inviate alla tua rete VPC non sono mai esposte internet.
- La comunicazione tramite l'accesso VPC serverless può avere meno risorse una latenza di pochi millisecondi rispetto a internet.
L'accesso VPC serverless invia traffico interno dalla rete VPC all'ambiente serverless solo quando è una risposta a una richiesta inviata dal tuo ambiente serverless attraverso il connettore di accesso VPC serverless. Per saperne di più invio di altro traffico interno all'ambiente serverless, consulta Accesso privato Google.
Per accedere alle risorse su più reti VPC e nei progetti Google Cloud, devi inoltre configurare VPC condiviso o Peering di rete VPC.
Come funziona
L'accesso VPC serverless si basa su una risorsa denominata connettore. Un connettore gestisce il traffico tra il tuo ambiente serverless e della tua rete VPC. Quando crei un connettore per il progetto Google Cloud, lo colleghi a un VPC specifico rete e regione. Puoi quindi configurare i tuoi servizi serverless per utilizzare per il traffico di rete in uscita.
Intervalli di indirizzi IP
Esistono due opzioni per impostare l'intervallo di indirizzi IP di un connettore:
- Subnet: puoi specificare una subnet
/28esistente se non sono presenti risorse che utilizzano già la subnet. - Intervallo CIDR: puoi specificare un intervallo CIDR
/28inutilizzato. Quando specifichi questo intervallo, assicurati che non si sovrapponga ad alcun intervallo CIDR in uso.
Traffico inviato alla tua rete VPC attraverso il connettore ha origine dalla subnet o dall'intervallo CIDR da te specificato.
Regole firewall
Se la subnet non è una subnet condivisa, viene visualizzato un firewall implicito con priorità 1000 viene creata per consentire il traffico in entrata dalla subnet del connettore intervallo IP personalizzato per tutte le destinazioni nella rete. La regola firewall implicita non è visibile nella console Google Cloud ed esiste solo finché l'elemento associato connettore esistente.
Velocità effettiva e scalabilità
Un connettore di accesso VPC serverless è costituito da un di Compute Engine. Le istanze connettore possono utilizzare uno dei vari tipi di macchina. Più grande offrono una maggiore velocità effettiva. Puoi visualizzare la velocità effettiva stimata per ogni tipo di macchina nella console Google Cloud e nella tabella seguente.
| Tipo di macchina | Intervallo di velocità effettiva stimato in Mbps* | Prezzo (istanza del connettore più costi per il trasferimento di dati in uscita dalla rete) |
|---|---|---|
f1-micro |
100-500 | Prezzi di f1-micro |
e2-micro |
200-1000 | Prezzi di e2-micro |
e2-standard-4 |
3200-16000 | Prezzo standard e2 |
* Gli intervalli di velocità effettiva massima sono stime basate su regolari intervalli operativa. La velocità effettiva effettiva dipende da molti fattori. Consulta Larghezza di banda della rete VM.
Puoi impostare il numero minimo e massimo di istanze del connettore consentite del connettore. Il valore minimo deve essere almeno 2. Il numero massimo può essere al massimo 10, e deve essere superiore al minimo. Se non specifichi il numero minimo e il numero massimo di istanze per il connettore, il minimo predefinito è 2 e il numero massimo predefinito è 10. Un connettore potrebbe superare temporaneamente il valore impostato per il numero massimo di casi in cui Google esegue attività di manutenzione, come quelle di sicurezza aggiornamenti. Durante la manutenzione, è possibile aggiungere altre istanze per garantire senza interruzioni del servizio. Dopo la manutenzione, i connettori vengono restituiti allo stesso di istanze come prima del periodo di manutenzione. Mantenimento di solito dura qualche minuto. Per ridurre l'impatto durante la manutenzione, non fare affidamento con connessioni che durano più di un minuto. Le istanze non accettano richieste un minuto prima di essere rimosse.
L'accesso VPC serverless fa automaticamente lo scale out del numero di nel tuo connettore man mano che il traffico aumenta. Le istanze aggiunte sono specificato per il connettore. I connettori non possono combinare tipi di macchina. Non è possibile fare lo scale in dei connettori. Per evitare che i connettori effettuino lo scale out di un valore maggiore rispetto a te desiderato, imposta il numero massimo di istanze su un numero basso. Se il connettore ha fatto lo scale out e preferisci avere un numero inferiore di istanze, ricrea il connettore con il numero necessario di istanze.
Esempio
Se scegli f1-micro come tipo di macchina e utilizzi
valori predefiniti per il numero minimo e massimo di istanze (2 e 10
rispettivamente), la velocità effettiva stimata per il tuo connettore è di 100 Mbps
numero minimo predefinito di istanze e 500 Mbps al numero massimo predefinito
di istanze VM.
Grafico della velocità effettiva
Puoi monitorare la velocità effettiva attuale dalla pagina Dettagli connettore nel nella console Google Cloud. Il grafico della velocità effettiva in questa pagina mostra una vista dettagliata delle metriche relative alla velocità effettiva del connettore.
Tag di rete
I tag di rete di accesso VPC serverless consentono di fare riferimento Connettori VPC nelle regole firewall e percorsi.
Ogni connettore di accesso VPC serverless riceve automaticamente i due tag di rete seguenti (a volte chiamati tag istanza):
Tag di rete universale (
vpc-connector): si applica a tutti i tag esistenti connettori creati in futuro.Tag di rete univoco (
vpc-connector-REGION-CONNECTOR_NAME): si applica al connettore CONNECTOR_NAME nella regione REGION.
Questi tag di rete non possono essere eliminati. Impossibile aggiungere nuovi tag di rete.
Casi d'uso
Puoi utilizzare l'accesso VPC serverless per accedere alla VM di Compute Engine di Compute Engine, le istanze Memorystore e qualsiasi altra risorsa DNS o IP interno. Ecco alcuni esempi:
- Puoi usare Memorystore per archiviare i dati per un servizio serverless.
- I carichi di lavoro serverless utilizzano software di terze parti in esecuzione su un alla VM di Compute Engine.
- Esegui un servizio di backend su un gruppo di istanze gestite in Compute Engine e hanno bisogno che il tuo ambiente serverless comunichi con questo backend senza esposizione a internet.
- Il tuo ambiente serverless deve accedere ai dati dagli ambienti on-premise tramite Cloud VPN.
Esempio
In questo esempio, un progetto Google Cloud esegue più servizi nei seguenti ambienti serverless: App Engine, Cloud Functions e Cloud Run.
Un connettore di accesso VPC serverless è stato creato e ha assegnato l'IP
intervallo 10.8.0.0/28. Di conseguenza, l'indirizzo IP di origine per qualsiasi richiesta inviata
il connettore è in questo intervallo.
La rete VPC contiene due risorse. Una delle risorse
ha l'indirizzo IP interno 10.0.0.4. L'altra risorsa ha l'IP interno
indirizzo 10.1.0.2 e che si trova in una regione diversa da quella
Connettore di accesso VPC serverless.
Il connettore gestisce l'invio e la ricezione sia delle richieste che delle risposte.
direttamente da questi indirizzi IP interni. Quando il connettore invia richieste
la risorsa con indirizzo IP interno 10.1.0.2, trasferimento di dati in uscita
perché la risorsa si trova in un
regione diversa.
Tutte le richieste e le risposte tra gli ambienti serverless e le risorse nella rete VPC viaggiano internamente.
Le richieste inviate a indirizzi IP esterni continuano a viaggiare tramite internet e lo fanno non utilizzare il connettore di accesso VPC serverless.
Il seguente diagramma mostra questa configurazione.
Prezzi
Per i prezzi dell'accesso VPC serverless, consulta Accesso VPC serverless su pagina dei prezzi di VPC.
Servizi supportati
La tabella seguente mostra i tipi di reti che puoi raggiungere utilizzando Accesso VPC serverless:
| Servizio di connettività | Supporto per l'accesso VPC serverless |
|---|---|
| VPC | |
| VPC condiviso | |
| Reti legacy | |
| Reti connesse a Cloud Interconnect | |
| Reti connesse a Cloud VPN | |
| Reti connesse al peering di rete VPC |
La tabella seguente mostra quali ambienti serverless supportano Accesso VPC serverless:
| Ambiente serverless | Supporto per l'accesso VPC serverless |
|---|---|
| Cloud Run | |
| Knative serving* | |
| Cloud Functions | |
| Ambiente standard di App Engine | Tutti i runtime tranne PHP 5 |
| Ambiente flessibile di App Engine* |
*Se vuoi utilizzare indirizzi IP interni per la connessione da Knative serving o l'ambiente flessibile di App Engine, senza dover configurare l'accesso VPC serverless. Assicurati solo del servizio è stato eseguito il deployment in una rete VPC con connettività alle risorse che vuoi raggiungere.
Protocolli di rete supportati
La tabella seguente descrive i protocolli di rete supportati Connettori di accesso VPC serverless.
| Protocollo | Instrada solo le richieste a IP privati attraverso il connettore VPC | Instrada tutto il traffico attraverso il connettore VPC |
|---|---|---|
| TCP | ||
| UDP | ||
| ICMP | Supportata solo per gli indirizzi IP esterni |
Aree geografiche supportate
I connettori di accesso VPC serverless sono supportati in ogni regione che supporti Cloud Run, Cloud Functions o nell'ambiente standard di App Engine.
Per visualizzare le regioni disponibili:
gcloud compute networks vpc-access locations list
Passaggi successivi
- Per configurare l'accesso VPC serverless, consulta Configurare Accesso VPC serverless.