Accesso VPC serverless
L'accesso VPC serverless ti consente di connetterti direttamente la tua rete Virtual Private Cloud (VPC) da ambienti serverless come le funzioni di Cloud Run, App Engine o Cloud Run. Configurazione in corso... L'accesso VPC serverless consente all'ambiente serverless di inviare richieste alla tua rete VPC utilizzando il DNS interno e l'IP interno indirizzi IP (come definiti dalla specifica RFC 1918 e RFC 6598). Le risposte a queste richieste utilizzano anche la tua rete interna.
L'utilizzo dell'accesso VPC serverless offre due vantaggi principali:
- Le richieste inviate alla tua rete VPC non sono mai esposte internet.
- La comunicazione tramite l'accesso VPC serverless può avere meno risorse una latenza di pochi millisecondi rispetto a internet.
L'accesso VPC serverless invia il traffico interno dalla rete VPC all'ambiente serverless solo quando il traffico è una risposta a una richiesta inviata dall'ambiente serverless tramite il connettore di accesso VPC serverless. Per saperne di più invio di altro traffico interno all'ambiente serverless, consulta Accesso privato Google.
Per accedere alle risorse su più reti VPC ai progetti Google Cloud, devi inoltre configurare VPC condiviso o Peering di rete VPC.
Come funziona
L'accesso VPC serverless si basa su una risorsa denominata connettore. Un connettore gestisce il traffico tra l'ambiente serverless e la rete VPC. Quando crei un connettore per il progetto Google Cloud, lo colleghi a un VPC specifico rete e regione. Puoi quindi configurare i tuoi servizi serverless per utilizzare per il traffico di rete in uscita.
Intervalli di indirizzi IP
Esistono due opzioni per impostare l'intervallo di indirizzi IP di un connettore:
- Subnet: puoi specificare una subnet
/28esistente se non sono presenti risorse che utilizzano già la subnet. - Intervallo CIDR: puoi specificare un intervallo CIDR
/28inutilizzato. Quando specifichi questo intervallo, assicurati che non si sovrapponga ad alcun intervallo CIDR in uso.
Traffico inviato alla tua rete VPC attraverso il connettore ha origine dalla subnet o dall'intervallo CIDR da te specificato.
Regole firewall
Per il funzionamento sono necessarie delle regole firewall del connettore e della sua comunicazione con altre risorse, incluse le risorse nella tua rete.
Regole firewall per i connettori nelle reti VPC autonome o nei progetti host VPC condiviso
Se crei un connettore in una rete VPC autonoma o nel progetto host di una rete VPC condiviso, Google Cloud crea le regole firewall necessarie. Queste regole firewall esistono solo finché esiste il connettore associato. Sono visibili nella console Google Cloud, ma non possono modificarli o eliminarli.
| Scopo della regola firewall | Formato del nome | Tipo | Azione | Priorità | Protocolli e porte |
|---|---|---|---|---|---|
Consente il traffico verso le istanze VM del connettore da intervalli di probe del controllo di integrità (35.191.0.0/16, 35.191.192.0/18, 130.211.0.0/22) su determinate porte |
aet-CONNECTOR_REGION-CONNECTOR_NAME-hcfw |
In entrata | Consenti | 100 | TCP:667 |
Consente il traffico verso le istanze VM del connettore dall'infrastruttura serverless sottostante di Google (35.199.224.0/19) su determinate porte |
aet-CONNECTOR_REGION-CONNECTOR_NAME-rsgfw |
In entrata | Consenti | 100 | TCP:667, UDP:665-666, ICMP |
Consente il traffico dalle istanze VM del connettore all'infrastruttura serverless sottostante di Google (35.199.224.0/19) su determinate porte |
aet-CONNECTOR_REGION-CONNECTOR_NAME-earfw |
In uscita | Consenti | 100 | TCP:667, UDP:665-666, ICMP |
Blocca il traffico dalle istanze VM del connettore all'infrastruttura serverless sottostante di Google (35.199.224.0/19) per tutte le altre porte |
aet-CONNECTOR_REGION-CONNECTOR_NAME-egrfw |
In uscita | Rifiuta | 100 | TCP:1-666, 668-65535, UDP:1-664, 667-65535 |
| Consente tutto il traffico proveniente dalle istanze VM del connettore (in base al relativo indirizzo IP) a tutte le risorse nella rete VPC del connettore | aet-CONNECTOR_REGION-CONNECTOR_NAME-sbntfw |
In entrata | Consenti | 1000 | TCP, UDP, ICMP |
| Consente tutto il traffico dalle istanze VM del connettore (in base al tag di rete) a tutte le risorse nella rete VPC del connettore | aet-CONNECTOR_REGION-CONNECTOR_NAME-tagfw |
In entrata | Consenti | 1000 | TCP, UDP, ICMP |
Puoi limitare ulteriormente l'accesso del connettore alle risorse nella rete VPC di destinazione utilizzando le regole firewall VPC o le regole nei criteri firewall. Per ulteriori informazioni, consulta Limitare l'accesso delle VM del connettore alle risorse di rete VPC.
Regole firewall per i connettori nei progetti di servizio VPC condiviso
Se crei un connettore in un progetto di servizio e il connettore ha come target una rete VPC condivisa nel progetto host, devi aggiungere regole del firewall per consentire il traffico necessario per il funzionamento del connettore.
Puoi anche limitare l'accesso del connettore alle risorse nel suo VPC di destinazione utilizzando le regole o le regole firewall VPC nei criteri firewall. Per ulteriori informazioni le informazioni, vedi Accesso alle risorse VPC.
Velocità effettiva e scalabilità
Un connettore di accesso VPC serverless è costituito da un di Compute Engine. Le istanze connettore possono utilizzare uno dei vari tipi di macchina. Più grande offrono una maggiore velocità effettiva. Puoi visualizzare la velocità effettiva stimata per ogni tipo di macchina nella console Google Cloud e nella tabella seguente.
| Tipo di macchina | Intervallo di velocità effettiva stimato in Mbps* | Prezzo (istanza del connettore più costi per il trasferimento di dati in uscita dalla rete) |
|---|---|---|
f1-micro |
100-500 | Prezzi di f1-micro |
e2-micro |
200-1000 | Prezzi di e2-micro |
e2-standard-4 |
3200-16000 | Prezzo standard e2 |
* Gli intervalli di velocità effettiva massima sono stime basate sul funzionamento regolare. La velocità effettiva effettiva dipende da molti fattori. Consulta Larghezza di banda della rete VM.
Puoi impostare il numero minimo e massimo di istanze del connettore consentite del connettore. Il valore minimo deve essere almeno 2. Il numero massimo può essere al massimo 10, e deve essere superiore al minimo. Se non specifichi il numero minimo e il numero massimo di istanze per il connettore, il minimo predefinito è 2 e il numero massimo predefinito è 10. Un connettore potrebbe superare temporaneamente il valore impostato per il numero massimo di casi in cui Google esegue attività di manutenzione, come quelle di sicurezza aggiornamenti. Durante la manutenzione, è possibile aggiungere altre istanze per garantire senza interruzioni del servizio. Al termine della manutenzione, ai connettori viene restituito lo stesso numero di istanze di prima del periodo di manutenzione. Mantenimento di solito dura qualche minuto. Per ridurre l'impatto durante la manutenzione, non fare affidamento con connessioni che durano più di un minuto. Le istanze non accettano richieste un minuto prima di essere rimosse.
L'accesso VPC serverless esegue automaticamente il ridimensionamento del numero di istanze nel connettore man mano che il traffico aumenta. Le istanze aggiunte sono specificato per il connettore. I connettori non possono combinare tipi di macchina. Non è possibile fare lo scale in dei connettori. Per evitare che i connettori effettuino lo scale out di un valore maggiore rispetto a te desiderato, imposta il numero massimo di istanze su un numero basso. Se il connettore ha fatto lo scale out e preferisci avere un numero inferiore di istanze, ricrea il connettore con il numero necessario di istanze.
Esempio
Se scegli f1-micro come tipo di macchina e utilizzi
valori predefiniti per il numero minimo e massimo di istanze (2 e 10
rispettivamente), la velocità effettiva stimata per il tuo connettore è di 100 Mbps
numero minimo predefinito di istanze e 500 Mbps al numero massimo predefinito
di istanze VM.
Grafico della velocità effettiva
Puoi monitorare la velocità effettiva attuale dalla pagina Dettagli connettore nel nella console Google Cloud. Il grafico Throughput in questa pagina mostra una visualizzazione dettagliata delle metriche sul throughput del connettore.
Tag di rete
I tag di rete di accesso VPC serverless consentono di fare riferimento Connettori VPC nelle regole firewall e percorsi.
Ogni connettore di accesso VPC serverless riceve automaticamente i due tag di rete seguenti (a volte chiamati tag istanza):
Tag di rete universale (
vpc-connector): si applica a tutti i tag esistenti connettori creati in futuro.Tag di rete univoco (
vpc-connector-REGION-CONNECTOR_NAME): si applica al connettore CONNECTOR_NAME nella regione REGION.
Questi tag di rete non possono essere eliminati. Impossibile aggiungere nuovi tag di rete.
Casi d'uso
Puoi utilizzare l'accesso VPC serverless per accedere alla VM di Compute Engine di Compute Engine, le istanze Memorystore e qualsiasi altra risorsa DNS o IP interno. Ecco alcuni esempi:
- Utilizzi Memorystore per archiviare i dati di un servizio serverless.
- I carichi di lavoro serverless utilizzano software di terze parti in esecuzione su un alla VM di Compute Engine.
- Esegui un servizio di backend su un gruppo di istanze gestite in Compute Engine e hanno bisogno che il tuo ambiente serverless comunichi con questo backend senza esposizione a internet.
- Il tuo ambiente serverless deve accedere ai dati dagli ambienti on-premise tramite Cloud VPN.
Esempio
In questo esempio, un progetto Google Cloud esegue più servizi nei seguenti ambienti serverless: App Engine, le funzioni di Cloud Run e Cloud Run.
Un connettore di accesso VPC serverless è stato creato e ha assegnato l'IP
intervallo 10.8.0.0/28. Pertanto, l'indirizzo IP di origine di qualsiasi richiesta inviata dal connettore rientra in questo intervallo.
La rete VPC contiene due risorse. Una delle risorse
ha l'indirizzo IP interno 10.0.0.4. L'altra risorsa ha l'IP interno
indirizzo 10.1.0.2 e che si trova in una regione diversa da quella
Connettore di accesso VPC serverless.
Il connettore gestisce l'invio e la ricezione sia delle richieste che delle risposte.
direttamente da questi indirizzi IP interni. Quando il connettore invia richieste
la risorsa con indirizzo IP interno 10.1.0.2, trasferimento di dati in uscita
perché la risorsa si trova in un
regione diversa.
Tutte le richieste e le risposte tra gli ambienti serverless e le risorse nella rete VPC viaggiano internamente.
Le richieste inviate ad indirizzi IP esterni passano comunque attraverso internet e non utilizzano il connettore con accesso VPC serverless.
Il seguente diagramma mostra questa configurazione.
Prezzi
Per i prezzi dell'accesso VPC serverless, consulta Accesso VPC serverless su pagina dei prezzi di VPC.
Servizi supportati
La tabella seguente mostra i tipi di reti che puoi raggiungere utilizzando Accesso VPC serverless:
| Servizio di connettività | Supporto per l'accesso VPC serverless |
|---|---|
| VPC | |
| VPC condiviso | |
| Reti legacy | |
| Reti connesse a Cloud Interconnect | |
| Reti connesse a Cloud VPN | |
| Reti connesse al peering di rete VPC |
La tabella seguente mostra quali ambienti serverless supportano Accesso VPC serverless:
| Ambiente serverless | Supporto per l'accesso VPC serverless |
|---|---|
| Cloud Run | |
| Knative serving* | |
| Funzioni Cloud Run | |
| Ambiente standard di App Engine | Tutti i runtime tranne PHP 5 |
| Ambiente flessibile di App Engine* |
* Se vuoi utilizzare indirizzi IP interni quando ti connetti da un servizio Knative o dall'ambiente flessibile App Engine, non è necessario configurare l'accesso VPC serverless. Assicurati solo che il servizio sia dipiegato in una rete VPC con connettività alle risorse che vuoi raggiungere.
Protocolli di rete supportati
La tabella seguente descrive i protocolli di rete supportati Connettori di accesso VPC serverless.
| Protocollo | Instrada solo le richieste a IP privati attraverso il connettore VPC | Instrada tutto il traffico attraverso il connettore VPC |
|---|---|---|
| TCP | ||
| UDP | ||
| ICMP | Supportata solo per gli indirizzi IP esterni |
Aree geografiche supportate
I connettori di accesso VPC serverless sono supportati in ogni regione che supporti Cloud Run, le funzioni di Cloud Run o nell'ambiente standard di App Engine.
Per visualizzare le regioni disponibili:
gcloud compute networks vpc-access locations list
Passaggi successivi
- Per configurare l'accesso VPC serverless, consulta Configurare Accesso VPC serverless.