Connessione a una rete VPC
Questa pagina mostra come collegare un servizio o un job Cloud Run alla tua rete VPC, consentendo il traffico in uscita (outbound) da Cloud Run alle istanze VM di Compute Engine, alle istanze Memorystore e a qualsiasi altra risorsa con un indirizzo IP interno.
Puoi consentire al tuo servizio o job di inviare traffico a una rete VPC configurando un connettore di accesso VPC serverless o utilizzando il traffico VPC diretto in uscita senza bisogno di un connettore.
Prima di iniziare
Se non hai ancora una rete VPC nel progetto, creane una.
Se utilizzi VPC condiviso, consulta la documentazione che riguarda specificamente la configurazione di accesso VPC serverless per il tuo prodotto.
- Cloud Run: Connessione a una VPC condiviso condivisa
- Funzioni Cloud Run: Connessione a una VPC condiviso condivisa
- App Engine: Connessione a una VPC condiviso condivisa
Se esiste un vincolo dei criteri dell'organizzazione che impedisce l'utilizzo di Cloud Deployment Manager, non potrai creare o eliminare i connettori di Accesso VPC serverless. La creazione o l'eliminazione di un connettore richiede la funzionalità Deployment Manager.
Se hai configurato un criterio per l'utilizzo di immagini attendibili per il tuo progetto, assicurati di consentire il progetto
serverless-vpc-access-images
nei criteri dell'organizzazioneconstraints/compute.trustedimageProjects
.Requisiti per la subnet del connettore
Ogni connettore richiede una propria subnet dedicata a scopo
PRIVATE
con un intervallo di indirizzi IPv4/28
principale. Questa subnet non può essere utilizzata da altre risorse, come VM, Private Service Connect o bilanciatori del carico.Per creare un connettore in un progetto di servizio che utilizza una rete VPC condiviso in un progetto host, un amministratore di rete per la rete VPC condiviso deve creare manualmente la subnet del connettore prima che tu possa creare il connettore.
Per determinare se una subnet esistente creata manualmente può essere utilizzata da un connettore, descrivila:
gcloud compute networks subnets describe SUBNET --region=REGION
Sostituisci SUBNET con il nome della subnet e REGION con la regione che contiene la subnet.
Nell'output, verifica quanto segue:
- La subnet è una subnet normale. In Google Cloud CLI, questo significa che il valore di purpose è
PRIVATE
. - L'intervallo di indirizzi IPv4 principale della subnet,
ipCidrRange
, è un/28
.
- La subnet è una subnet normale. In Google Cloud CLI, questo significa che il valore di purpose è
Se devi creare un connettore di accesso VPC serverless nello stesso progetto che contiene la rete VPC utilizzata dal connettore, puoi creare manualmente la subnet del connettore prima di creare il connettore oppure Google Cloud può creare automaticamente la subnet per il connettore.
Quando Google Cloud crea una subnet per un connettore, tieni presente quanto segue:
Le sottoreti create automaticamente per i connettori non sono visibili quando elenchi le sottoreti, indipendentemente dall'utilizzo della console Google Cloud, di Google Cloud CLI o dell'API Compute Engine.
Le subnet create automaticamente per i connettori non possono essere descritte.
Le subnet create automaticamente sono incluse nell'elenco di subnet visualizzato quando descrivi una rete VPC.
Per ulteriori informazioni sulle subnet, inclusa la procedura per elencare quelle esistenti al fine di determinare quali intervalli di indirizzi IP sono già in uso, consulta Utilizzare le subnet.
Limitazioni
Il traffico IPv6 non è supportato.
Crea connettore
Per inviare richieste alla tua rete VPC e ricevere le risposte corrispondenti senza utilizzare la rete internet pubblica, puoi utilizzare un connettore di accesso VPC serverless.
Se il connettore si trova nello stesso progetto della rete VPC, puoi creare un connettore utilizzando una subnet esistente o creare un connettore e una nuova subnet.
Se il connettore si trova in un progetto di servizio e utilizza una rete VPC condiviso, il connettore e la rete VPC associata si trovano in progetti diversi. Quando un connettore e la relativa rete VPC si trovano in progetti diversi, un amministratore della rete VPC condiviso deve creare la subnet del connettore nella rete VPC condiviso prima che tu possa creare il connettore e devi creare il connettore utilizzando una subnet esistente.
Per scoprire di più sui requisiti delle subnet, consulta i requisiti delle subnet dei connettori.
Per informazioni sulla velocità effettiva del connettore, inclusi il tipo di macchina e la scalabilità, consulta Velocità effettiva e scalabilità.
Puoi creare un connettore utilizzando la console Google Cloud, Google Cloud CLI o Terraform.
Console
Vai alla pagina Panoramica di Accesso VPC serverless.
Fai clic su Crea connettore.
Nel campo Nome, inserisci un nome per il connettore che rispetti le convenzioni di denominazione di Compute Engine, con i requisiti aggiuntivi che il nome deve avere meno di 21 caratteri e che i trattini (-) contino come due caratteri.
Nel campo Regione, seleziona una regione per il connettore. Deve corrispondere alla regione del servizio serverless.
Se il tuo servizio o job si trova nella regione
us-central
oeurope-west
, utilizzaus-central1
oeurope-west1
.Nel campo Rete, seleziona la rete VPC a cui collegare il connettore.
Nel campo Subnet, seleziona una delle seguenti opzioni:
Crea un connettore utilizzando una subnet esistente: seleziona la subnet esistente nel campo Subnet.
Crea un connettore e una nuova subnet: seleziona Intervallo IP personalizzato nel campo Subnet. Poi, inserisci il primo indirizzo in un
/28
CIDR non utilizzato (ad esempio10.8.0.0/28
) da utilizzare come intervallo di indirizzi IPv4 primario di una nuova subnet creata da Google Cloud nella rete VPC del connettore. Assicurati che l'intervallo IP non entri in conflitto con eventuali route esistenti nella rete VPC del connettore. Il nome della nuova sottorete inizia con il prefisso "aet-".
(Facoltativo) Per impostare le opzioni di ridimensionamento per un maggiore controllo sul connettore, fai clic su Mostra impostazioni di ridimensionamento per visualizzare il modulo di ridimensionamento.
- Imposta il numero minimo e massimo di istanze per il connettore oppure utilizza i valori predefiniti, ovvero 2 (min) e 10 (max). Il connettore viene scalato fino al valore massimo specificato se l'utilizzo del traffico lo richiede, ma non viene scalato quando il traffico diminuisce. Devi utilizzare valori compresi tra
2
e10
. - Nel menu Tipo di istanza, scegli il tipo di macchina da utilizzare per il connettore o utilizza il valore predefinito
e2-micro
. Quando scegli il tipo di istanza, tieni presente la barra laterale dei costi a destra, che mostra le stime di larghezza di banda e costi.
- Imposta il numero minimo e massimo di istanze per il connettore oppure utilizza i valori predefiniti, ovvero 2 (min) e 10 (max). Il connettore viene scalato fino al valore massimo specificato se l'utilizzo del traffico lo richiede, ma non viene scalato quando il traffico diminuisce. Devi utilizzare valori compresi tra
Fai clic su Crea.
Quando è pronto per l'uso, accanto al nome del connettore viene visualizzato un segno di spunta verde.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Aggiorna i componenti di
gcloud
alla versione più recente:gcloud components update
Assicurati che l'API Serverless VPC Access sia abilitata per il tuo progetto:
gcloud services enable vpcaccess.googleapis.com
Crea il connettore utilizzando una delle seguenti opzioni:
Per maggiori dettagli e argomenti facoltativi, consulta la documentazione di riferimento di
gcloud
.Crea un connettore utilizzando una subnet esistente:
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \ --region REGION \ --subnet SUBNET_NAME \ --subnet-project HOST_PROJECT_ID \ --min-instances MIN \ --max-instances MAX \ --machine-type MACHINE_TYPE
Sostituisci quanto segue:
CONNECTOR_NAME
: un nome per il connettore, corrispondente alle convenzioni di denominazione di Compute Engine, con i requisiti aggiuntivi che il nome deve avere meno di 21 caratteri e che i trattini (-) contino come due caratteri.REGION
: una regione per il connettore, corrispondente alla regione del servizio o del job serverless. Se il servizio o il job si trova inus-central
oeurope-west
, utilizzaus-central1
oeurope-west1
.SUBNET_NAME
: il nome della subnet esistente.HOST_PROJECT_ID
: l'ID progetto dell'host VPC condiviso. Se il connettore e la sottorete esistente si trovano nello stesso progetto, ometti il flag--subnet-project
.MIN
: il numero minimo di istanze da utilizzare per il connettore. Utilizza un numero intero compreso tra2
(il valore predefinito) e9
.MAX
: il numero massimo di istanze da utilizzare per il connettore. Utilizza un numero intero compreso tra3
e10
(il valore predefinito). Se il connettore esegue lo scale up fino al numero massimo di istanze, non esegue lo scale down.MACHINE_TYPE
: deve essere uno dei seguenti valori:f1-micro
,e2-micro
oe2-standard-4
.
Crea un connettore e una nuova subnet:
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \ --region REGION \ --network VPC_NETWORK \ --range IP_RANGE --min-instances MIN \ --max-instances MAX \ --machine-type MACHINE_TYPE
Sostituisci quanto segue:
CONNECTOR_NAME
: un nome per il connettore, corrispondente alle convenzioni di denominazione di Compute Engine, con i requisiti aggiuntivi che il nome deve avere meno di 21 caratteri e che i trattini (-) contino come due caratteri.REGION
: una regione per il connettore, corrispondente alla regione del servizio o del job serverless. Se il servizio o il job si trova inus-central
oeurope-west
, utilizzaus-central1
oeurope-west1
.VPC_NETWORK
: il nome della rete VPC a cui collegare il connettore. Il connettore e la rete VPC devono trovarsi nello stesso progetto.IP_RANGE
: fornisci un CIDR/28
inutilizzato (ad esempio10.8.0.0/28
) da utilizzare come intervallo di indirizzi IPv4 principale di una nuova subnet creata da Google Cloud nella rete VPC del connettore. Assicurati che l'intervallo IP non sia in conflitto con eventuali route esistenti nella rete VPC del connettore. Il nome della nuova sottorete inizia con il prefisso "aet-".MIN
: il numero minimo di istanze da utilizzare per il connettore. Utilizza un numero intero compreso tra2
(il valore predefinito) e9
.MAX
: il numero massimo di istanze da utilizzare per il connettore. Utilizza un numero intero compreso tra3
e10
(il valore predefinito). Se il connettore esegue lo scale up fino al numero massimo di istanze, non esegue lo scale down.MACHINE_TYPE
: deve essere uno dei seguenti valori:f1-micro
,e2-micro
oe2-standard-4
.
Prima di utilizzarlo, verifica che il connettore sia nello stato
READY
:gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \ --region REGION
Sostituisci quanto segue:
CONNECTOR_NAME
: il nome del connettore, ovvero il nome specificato nel passaggio precedente.REGION
: la regione del connettore, ovvero la regione specificata nel passaggio precedente.
L'output deve contenere la riga
state: READY
.
Terraform
Puoi utilizzare una risorsa Terraform per abilitare l'API vpcaccess.googleapis.com
.
Puoi utilizzare i moduli Terraform per creare una rete e una subnet VPC, quindi creare il connettore.
Configurare l'ambiente serverless per l'utilizzo di un connettore
Dopo aver creato un connettore di accesso VPC serverless, configura il tuo ambiente serverless per utilizzare il connettore seguendo le istruzioni per il tuo ambiente serverless:
Configurare Cloud Run per utilizzare un connettore
Quando crei un nuovo servizio o esegui il deployment di una nuova revisione, puoi configurare il servizio in modo che utilizzi un connettore utilizzando la console Google Cloud, Google Cloud CLI, un file YAML o una risorsa Terraform.
Console
Nella console Google Cloud, vai a Cloud Run:
Fai clic su Esegui il deployment del contenitore e seleziona Servizio per configurare un nuovo servizio. Se stai configurando un servizio esistente, fai clic sul servizio, poi su Modifica ed esegui il deployment di una nuova revisione.
Se stai configurando un nuovo servizio, compila la pagina iniziale delle impostazioni del servizio, quindi fai clic su Container, volumi, networking, sicurezza per espandere la pagina di configurazione del servizio.
Fai clic sulla scheda Connessioni.
- Nel campo Connettore VPC, seleziona un connettore da utilizzare o Nessun connettore per scollegare il servizio da una rete VPC.
Fai clic su Crea o Esegui il deployment.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Per specificare un connettore durante il deployment, utilizza il flag
--vpc-connector
:gcloud run deploy SERVICE --image IMAGE_URL --vpc-connector CONNECTOR_NAME
- Sostituisci
SERVICE
con il nome del servizio. - Sostituisci
IMAGE_URL
. - Sostituisci
CONNECTOR_NAME
con il nome del connettore. Se il connettore si trova nel progetto host di un VPC condiviso, deve essere il nome completamente specificato, ad esempio: dove HOST_PROJECT_ID è l'ID del progetto host, CONNECTOR_REGION è la regione del connettore e CONNECTOR_NAME è il nome che hai assegnato al connettore.projects/HOST_PROJECT_ID/locations/CONNECTOR_REGION/connectors/CONNECTOR_NAME
Per collegare, aggiornare o rimuovere un connettore per un servizio esistente, utilizza il comando
gcloud run services update
con uno dei seguenti flag, a seconda delle esigenze:Ad esempio, per collegare o aggiornare un connettore:
gcloud run services update SERVICE --vpc-connector CONNECTOR_NAME
- Sostituisci
SERVICE
con il nome del servizio. - Sostituisci
CONNECTOR_NAME
con il nome del connettore.
- Sostituisci
YAML
Se stai creando un nuovo servizio, salta questo passaggio. Se stai aggiornando un servizio esistente, scarica la relativa configurazione YAML:
gcloud run services describe SERVICE --format export > service.yaml
Aggiungi o aggiorna l'attributo
run.googleapis.com/vpc-access-connector
nell'attributoannotations
nell'attributo di primo livellospec
:apiVersion: serving.knative.dev/v1 kind: Service metadata: name: SERVICE spec: template: metadata: annotations: run.googleapis.com/vpc-access-connector: CONNECTOR_NAME
- Sostituisci
SERVICE
con il nome del servizio Cloud Run. - Sostituisci
CONNECTOR_NAME
con il nome del connettore. Se il connettore si trova nel progetto host di un VPC condiviso, deve essere il nome completamente specificato, ad esempio: dove HOST_PROJECT_ID è l'ID del progetto host, CONNECTOR_REGION è la regione del connettore e CONNECTOR_NAME è il nome che hai assegnato al connettore.projects/HOST_PROJECT_ID/locations/CONNECTOR_REGION/connectors/CONNECTOR_NAME
- Sostituisci
Sostituisci il servizio con la nuova configurazione utilizzando il seguente comando:
gcloud beta run services replace service.yaml
Terraform
Puoi utilizzare una risorsa Terraform per creare un servizio e configurarlo in modo da utilizzare il connettore.
Configurare le funzioni Cloud Run per utilizzare un connettore
Puoi configurare una funzione per utilizzare un connettore dalla console Google Cloud o da Google Cloud CLI:
Console
Vai alla pagina Panoramica delle funzioni Cloud Run nella console Google Cloud:
Fai clic su Crea funzione. In alternativa, fai clic su una funzione esistente per visualizzarne la pagina dei dettagli e poi su Modifica.
Espandi le impostazioni avanzate facendo clic su IMPOSTAZIONI DI RUNTIME, BUILD E CONNESSIONI.
Nella scheda Connessioni in Impostazioni di uscita, inserisci il nome del connettore nel campo Connettore VPC.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Utilizza il comando
gcloud functions deploy
per eseguire il deployment della funzione e specifica il flag--vpc-connector
:gcloud functions deploy FUNCTION_NAME \ --vpc-connector CONNECTOR_NAME \ FLAGS...
dove:
FUNCTION_NAME
è il nome della funzione.CONNECTOR_NAME
è il nome del connettore. Se il connettore si trova nel progetto host di un VPC condiviso, deve essere il nome completamente specificato, ad esempio: dove HOST_PROJECT_ID è l'ID del progetto host, CONNECTOR_REGION è la regione del connettore e CONNECTOR_NAME è il nome che hai assegnato al connettore.projects/HOST_PROJECT_ID/locations/CONNECTOR_REGION/connectors/CONNECTOR_NAME
FLAGS...
si riferisce ad altri flag che passi durante il deployment delle funzioni.
Per un maggiore controllo sulle richieste instradate tramite il connettore, consulta Impostazioni di uscita.
Configurare App Engine per l'utilizzo di un connettore
Python 2
Interrompi l'utilizzo del servizio di recupero dell'URL di App Engine.
Per impostazione predefinita, tutte le richieste vengono inoltrate tramite il servizio di recupero URL. Di conseguenza, le richieste alla rete VPC non vanno a buon fine. Per disattivare questo valore predefinito, consulta Disattivare il recupero dell'URL per la gestione di tutte le richieste in uscita.
Se necessario, puoi comunque utilizzare la libreria
urlfetch
direttamente per le singole richieste, ma questo metodo non è consigliato.Aggiungi il campo Accesso VPC serverless al file
app.yaml
:vpc_access_connector: name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
Sostituisci quanto segue:
PROJECT_ID
con il tuo ID progetto Google Cloud. Se il connettore si trova nel progetto host di un VPC condiviso, deve essere l'ID del progetto host.REGION
con la regione in cui si trova il connettore.CONNECTOR_NAME
con il nome del connettore.
Esegui il deployment del servizio:
gcloud app deploy
Dopo aver eseguito il deployment del servizio, questo può inviare richieste agli indirizzi IP interni per accedere alle risorse nella rete VPC.
Java 8
Interrompi l'utilizzo del servizio di recupero dell'URL di App Engine
URLFetchService
.Aggiungi l'elemento Accesso VPC serverless al file
appengine-web.xml
del tuo servizio:<vpc-access-connector> <name>projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME</name> </vpc-access-connector>
Sostituisci quanto segue:
PROJECT_ID
con il tuo ID progetto Google Cloud. Se il connettore si trova nel progetto host di un VPC condiviso, deve essere l'ID del progetto host.REGION
con la regione in cui si trova il connettore.CONNECTOR_NAME
con il nome del connettore.
Esegui il deployment del servizio:
gcloud app deploy WEB-INF/appengine-web.xml
Dopo aver eseguito il deployment del servizio, questo può inviare richieste agli indirizzi IP interni per accedere alle risorse nella rete VPC.
Go 1.11
Interrompi l'utilizzo del servizio di recupero dell'URL di App Engine.
L'accesso VPC serverless non supporta URL Fetch e le richieste effettuate utilizzando URL Fetch ignoreranno le impostazioni di Accesso VPC serverless. Esegui connessioni in uscita con socket.
Aggiungi il campo Accesso VPC serverless al file
app.yaml
:vpc_access_connector: name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
Sostituisci quanto segue:
PROJECT_ID
con il tuo ID progetto Google CloudREGION
con la regione in cui si trova il connettoreCONNECTOR_NAME
con il nome del connettore
Esegui il deployment del servizio:
gcloud app deploy
Dopo aver eseguito il deployment del servizio, questo può inviare richieste agli indirizzi IP interni per accedere alle risorse nella rete VPC.
Tutti gli altri runtime
Aggiungi il campo Accesso VPC serverless al file
app.yaml
:vpc_access_connector: name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
Sostituisci quanto segue:
PROJECT_ID
con il tuo ID progetto Google Cloud. Se il connettore si trova nel progetto host di un VPC condiviso, deve essere l'ID del progetto host.REGION
con la regione in cui si trova il connettore.CONNECTOR_NAME
con il nome del connettore.
Esegui il deployment del servizio:
gcloud app deploy
Dopo aver eseguito il deployment del servizio, questo può inviare richieste agli indirizzi IP interni per accedere alle risorse nella rete VPC.
Configura le regole firewall per i connettori
Regole firewall richieste per i connettori nei progetti di servizi
Se crei un connettore in una rete VPC autonoma o nel progetto host di una rete VPC condiviso, Google Cloud crea tutte le regole del firewall necessarie per il funzionamento del connettore. Per ulteriori informazioni, consulta Regole firewall per i connettori nelle reti VPC autonome o nei progetti host VPC condiviso.
Tuttavia, se crei un connettore in un progetto di servizio e il connettore ha come target una rete VPC condiviso nel progetto host, devi aggiungere regole del firewall per consentire il traffico necessario per il funzionamento del connettore dai seguenti intervalli:
- Intervallo IP dell'infrastruttura serverless:
35.199.224.0/19
- Intervalli IP dei controlli di integrità:
35.191.0.0/16
,35.191.192.0/18
e130.211.0.0/22
Questi intervalli vengono utilizzati dall'infrastruttura Google sottostante Cloud Run, dalle funzioni Cloud Run e dall'ambiente standard di App Engine. Tutte le richieste provenienti da questi indirizzi IP hanno origine dall'infrastruttura di Google per garantire che ogni risorsa serverless comunichi solo con il connettore a cui è collegata.
Devi anche consentire il traffico dalla subnet del connettore alle risorse della tua rete VPC.
Per eseguire questi passaggi, devi disporre di uno dei seguenti ruoli nel progetto host:
- Ruolo Proprietario(
roles/owner
) - Ruolo Amministratore della sicurezza di Compute (
roles/compute.securityAdmin
) - Ruolo Identity and Access Management (IAM) personalizzato con l'autorizzazione
compute.firewalls.create
attivata
Per una configurazione di base, applica le regole per consentire alle risorse serverless in qualsiasi progetto di servizio collegato alla rete VPC condiviso di inviare richieste a qualsiasi risorsa della rete.
Per applicare queste regole, esegui i seguenti comandi nel progetto host:
Crea regole firewall che consentano alle richieste dell'infrastruttura serverless di Google e ai probe del controllo di integrità di raggiungere tutti i connettori della rete. In questi comandi, le porte UDP e TCP vengono utilizzate rispettivamente come proxy e per i controlli di integrità HTTP. Non modificare le porte specificate.
gcloud compute firewall-rules create serverless-to-vpc-connector \ --allow tcp:667,udp:665-666,icmp \ --source-ranges=35.199.224.0/19 \ --direction=INGRESS \ --target-tags vpc-connector \ --network=VPC_NETWORK
gcloud compute firewall-rules create vpc-connector-to-serverless \ --allow tcp:667,udp:665-666,icmp \ --destination-ranges=35.199.224.0/19 \ --direction=EGRESS \ --target-tags vpc-connector \ --network=VPC_NETWORK
gcloud compute firewall-rules create vpc-connector-health-checks \ --allow tcp:667 \ --source-ranges=35.191.0.0/16,35.191.192.0/18,130.211.0.0/22 \ --direction=INGRESS \ --target-tags vpc-connector \ --network=VPC_NETWORK
Sostituisci
VPC_NETWORK
con il nome della rete VPC a cui collegare il connettore.Crea una regola firewall in entrata sulla rete VPC per consentire le richieste provenienti da connettori che hanno come target questa rete:
gcloud compute firewall-rules create vpc-connector-requests \ --allow tcp,udp,icmp \ --direction=INGRESS \ --source-tags vpc-connector \ --network=VPC_NETWORK
Questa regola concede al connettore l'accesso a ogni risorsa della rete. Per limitare le risorse che il tuo ambiente serverless può raggiungere utilizzando l'accesso VPC serverless, consulta Limitare l'accesso della VM del connettore alle risorse di rete VPC.
Crea regole firewall per connettori specifici
Se segui la procedura descritta in Regole firewall richieste per i connettori nei progetti di servizi, vengono applicate regole firewall a tutti i connettori, sia quelli attuali sia quelli creati in futuro. Se non vuoi, ma vuoi invece creare regole solo per connettori specifici, puoi definire l'ambito delle regole in modo che si applichino solo a questi connettori.
Per limitare l'ambito delle regole a connettori specifici, puoi utilizzare uno dei seguenti meccanismi:
- Tag di rete: ogni connettore ha due tag di rete:
vpc-connector
evpc-connector-REGION-CONNECTOR_NAME
. Utilizza quest'ultimo formato per limitare l'ambito delle regole firewall a un connettore specifico. - Intervalli IP: da utilizzare solo per le regole di uscita, in quanto non funzionano per le regole di ingresso. Puoi utilizzare l'intervallo IP della sottorete del connettore per limitare l'ambito delle regole firewall a un singolo connettore VPC.
Limita l'accesso della VM del connettore alle risorse di rete VPC
Puoi limitare l'accesso del connettore alle risorse nella rete VPC di destinazione utilizzando le regole del firewall VPC o le regole nelle policy firewall. Puoi applicare queste limitazioni utilizzando una delle seguenti strategie:
- Crea regole di ingresso le cui destinazioni rappresentano le risorse a cui vuoi limitare l'accesso delle VM del connettore e le cui origini rappresentano le VM del connettore.
- Crea regole di uscita i cui target rappresentano le VM di connettore e le cui destinazioni rappresentano le risorse a cui vuoi limitare l'accesso delle VM di connettore.
Gli esempi riportati di seguito illustrano ciascuna strategia.
Limitare l'accesso utilizzando le regole per il traffico in entrata
Scegli tag di rete o intervalli CIDR per controllare il traffico in entrata nella rete VPC.
Tag di rete
I passaggi riportati di seguito mostrano come creare regole di ingresso che limitano l'accesso di un connettore alla rete VPC in base ai tag di rete del connettore.
Assicurati di disporre delle autorizzazioni necessarie per inserire le regole del firewall. Devi disporre di uno dei seguenti ruoli Identity and Access Management (IAM):
- Ruolo Compute Security Admin
- Ruolo IAM personalizzato con l'autorizzazione
compute.firewalls.create
attivata
Nega il traffico del connettore sulla rete VPC.
Crea una regola firewall in entrata con priorità inferiore a 1000 sulla rete VPC per negare l'ingresso dal tag di rete del connettore. Questa operazione sostituisce la regola firewall implicita creata da Accesso VPC serverless sulla rete VPC per impostazione predefinita.
gcloud compute firewall-rules create RULE_NAME \ --action=DENY \ --rules=PROTOCOL \ --source-tags=VPC_CONNECTOR_NETWORK_TAG \ --direction=INGRESS \ --network=VPC_NETWORK \ --priority=PRIORITY
Sostituisci quanto segue:
RULE_NAME: il nome della nuova regola firewall. Ad esempio,
deny-vpc-connector
.PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono
tcp
oudp
. Ad esempio,tcp:80,udp
consente il traffico TCP attraverso la porta 80 e il traffico UDP. Per ulteriori informazioni, consulta la documentazione relativa al flagallow
.Per motivi di sicurezza e convalida, puoi anche configurare regole di rifiuto per bloccare il traffico per i seguenti protocolli non supportati:
ah
,all
,esp
,icmp
,ipip
esctp
.VPC_CONNECTOR_NETWORK_TAG: il tag della rete del connettore universale se vuoi limitare l'accesso per tutti i connettori (inclusi eventuali connettori creati in futuro) oppure il tag di rete univoco se vuoi limitare l'accesso per un connettore specifico.
- Tag di rete universale:
vpc-connector
Tag di rete univoco:
vpc-connector-REGION-CONNECTOR_NAME
Sostituisci:
- REGION: la regione del connettore che vuoi limitare
- CONNECTOR_NAME: il nome del connettore che vuoi limitare
Per scoprire di più sui tag di rete dei connettori, consulta Tag di rete.
- Tag di rete universale:
VPC_NETWORK: il nome della rete VPC
PRIORITY: un numero intero compreso tra 0 e 65535. Ad esempio, 0 imposta la priorità più elevata.
Consenti il traffico del connettore alla risorsa che deve riceverlo.
Utilizza i flag
allow
etarget-tags
per creare una regola del firewall di ingresso che abbia come target la risorsa nella rete VPC a cui vuoi che acceda il connettore VPC. Imposta la priorità di questa regola su un valore inferiore a quello della regola creata nel passaggio precedente.gcloud compute firewall-rules create RULE_NAME \ --allow=PROTOCOL \ --source-tags=VPC_CONNECTOR_NETWORK_TAG \ --direction=INGRESS \ --network=VPC_NETWORK \ --target-tags=RESOURCE_TAG \ --priority=PRIORITY
Sostituisci quanto segue:
RULE_NAME: il nome della nuova regola firewall. Ad esempio,
allow-vpc-connector-for-select-resources
.PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono
tcp
oudp
. Ad esempio,tcp:80,udp
consente il traffico TCP attraverso la porta 80 e il traffico UDP. Per ulteriori informazioni, consulta la documentazione relativa al flagallow
.VPC_CONNECTOR_NETWORK_TAG: il tag della rete del connettore universale se vuoi limitare l'accesso per tutti i connettori (inclusi eventuali connettori creati in futuro) oppure il tag di rete univoco se vuoi limitare l'accesso per un connettore specifico. Deve corrispondere al tag di rete specificato nel passaggio precedente.
- Tag di rete universale:
vpc-connector
Tag di rete univoco:
vpc-connector-REGION-CONNECTOR_NAME
Sostituisci:
- REGION: la regione del connettore che vuoi limitare
- CONNECTOR_NAME: il nome del connettore che vuoi limitare
Per scoprire di più sui tag di rete dei connettori, consulta Tag di rete.
- Tag di rete universale:
VPC_NETWORK: il nome della rete VPC
RESOURCE_TAG: il tag di rete per la risorsa VPC a cui vuoi che acceda il connettore VPC
PRIORITY: un numero intero inferiore alla priorità impostata nel passaggio precedente. Ad esempio, se hai impostato la priorità della regola creata nel passaggio precedente su 990, prova 980.
Per ulteriori informazioni sugli indicatori obbligatori e facoltativi per la creazione di regole firewall, consulta la documentazione di gcloud compute firewall-rules create
.
Intervallo CIDR
I passaggi che seguono mostrano come creare regole di ingresso che limitano l'accesso di un connettore alla rete VPC in base all'intervallo CIDR del connettore.
Assicurati di disporre delle autorizzazioni necessarie per inserire le regole del firewall. Devi disporre di uno dei seguenti ruoli Identity and Access Management (IAM):
- Ruolo Compute Security Admin
- Ruolo IAM personalizzato con l'autorizzazione
compute.firewalls.create
attivata
Nega il traffico del connettore sulla rete VPC.
Crea una regola firewall di ingresso con priorità inferiore a 1000 sulla rete VPC per negare l'ingresso dall'intervallo CIDR del connettore. Questa operazione sostituisce la regola firewall implicita creata da Accesso VPC serverless sulla rete VPC per impostazione predefinita.
gcloud compute firewall-rules create RULE_NAME \ --action=DENY \ --rules=PROTOCOL \ --source-ranges=VPC_CONNECTOR_CIDR_RANGE \ --direction=INGRESS \ --network=VPC_NETWORK \ --priority=PRIORITY
Sostituisci quanto segue:
RULE_NAME: il nome della nuova regola firewall. Ad esempio,
deny-vpc-connector
.PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono
tcp
oudp
. Ad esempio,tcp:80,udp
consente il traffico TCP attraverso la porta 80 e il traffico UDP. Per ulteriori informazioni, consulta la documentazione relativa al flagallow
.Per motivi di sicurezza e convalida, puoi anche configurare regole di rifiuto per bloccare il traffico per i seguenti protocolli non supportati:
ah
,all
,esp
,icmp
,ipip
esctp
.VPC_CONNECTOR_CIDR_RANGE: l'intervallo CIDR del connettore di cui stai limitando l'accesso
VPC_NETWORK: il nome della rete VPC
PRIORITY: un numero intero compreso tra 0 e 65535. Ad esempio, 0 imposta la priorità più elevata.
Consenti il traffico del connettore alla risorsa che deve riceverlo.
Utilizza i flag
allow
etarget-tags
per creare una regola del firewall di ingresso che abbia come target la risorsa nella rete VPC a cui vuoi che acceda il connettore VPC. Imposta la priorità di questa regola su un valore inferiore a quello della regola creata nel passaggio precedente.gcloud compute firewall-rules create RULE_NAME \ --allow=PROTOCOL \ --source-ranges=VPC_CONNECTOR_CIDR_RANGE \ --direction=INGRESS \ --network=VPC_NETWORK \ --target-tags=RESOURCE_TAG \ --priority=PRIORITY
Sostituisci quanto segue:
RULE_NAME: il nome della nuova regola firewall. Ad esempio,
allow-vpc-connector-for-select-resources
.PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono
tcp
oudp
. Ad esempio,tcp:80,udp
consente il traffico TCP attraverso la porta 80 e il traffico UDP. Per ulteriori informazioni, consulta la documentazione relativa al flagallow
.VPC_CONNECTOR_CIDR_RANGE: l'intervallo CIDR per il connettore di cui stai limitando l'accesso
VPC_NETWORK: il nome della rete VPC
RESOURCE_TAG: il tag di rete per la risorsa VPC a cui vuoi che acceda il connettore VPC
PRIORITY: un numero intero inferiore alla priorità impostata nel passaggio precedente. Ad esempio, se hai impostato la priorità della regola creata nel passaggio precedente su 990, prova 980.
Per ulteriori informazioni sugli indicatori obbligatori e facoltativi per la creazione di regole firewall, consulta la documentazione di gcloud compute firewall-rules create
.
Limitare l'accesso utilizzando le regole di uscita
I passaggi riportati di seguito mostrano come creare regole di uscita per limitare l'accesso del connettore.
Assicurati di disporre delle autorizzazioni necessarie per inserire le regole del firewall. Devi disporre di uno dei seguenti ruoli Identity and Access Management (IAM):
- Ruolo Compute Security Admin
- Ruolo IAM personalizzato con l'autorizzazione
compute.firewalls.create
attivata
Rifiuta il traffico in uscita dal connettore.
Crea una regola firewall in uscita sul connettore di accesso VPC serverless per impedire l'invio di traffico in uscita, ad eccezione delle risposte stabilite, a qualsiasi destinazione.
gcloud compute firewall-rules create RULE_NAME \ --action=DENY \ --rules=PROTOCOL \ --direction=EGRESS \ --target-tags=VPC_CONNECTOR_NETWORK_TAG \ --network=VPC_NETWORK \ --priority=PRIORITY
Sostituisci quanto segue:
RULE_NAME: il nome della nuova regola firewall. Ad esempio,
deny-vpc-connector
.PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono
tcp
oudp
. Ad esempio,tcp:80,udp
consente il traffico TCP attraverso la porta 80 e il traffico UDP. Per ulteriori informazioni, consulta la documentazione relativa al flagallow
.Per motivi di sicurezza e convalida, puoi anche configurare regole di rifiuto per bloccare il traffico per i seguenti protocolli non supportati:
ah
,all
,esp
,icmp
,ipip
esctp
.VPC_CONNECTOR_NETWORK_TAG: il tag di rete del connettore VPC universale se vuoi che la regola venga applicata a tutti i connettori VPC esistenti e a eventuali connettori VPC creati in futuro. In alternativa, il tag di rete del connettore VPC univoco se vuoi controllare un connettore specifico.
VPC_NETWORK: il nome della rete VPC
PRIORITY: un numero intero compreso tra 0 e 65535. Ad esempio, 0 imposta la priorità più elevata.
Consenti il traffico in uscita quando la destinazione è nell'intervallo CIDR a cui vuoi che acceda il connettore.
Utilizza i flag
allow
edestination-ranges
per creare una regola firewall che consenta il traffico in uscita dal connettore per un intervallo di destinazioni specifico. Imposta l'intervallo di destinazione sull'intervallo CIDR della risorsa nella rete VPC a cui vuoi che il connettore possa accedere. Imposta la priorità di questa regola su un valore inferiore a quello della regola creata nel passaggio precedente.gcloud compute firewall-rules create RULE_NAME \ --allow=PROTOCOL \ --destination-ranges=RESOURCE_CIDR_RANGE \ --direction=EGRESS \ --network=VPC_NETWORK \ --target-tags=VPC_CONNECTOR_NETWORK_TAG \ --priority=PRIORITY
Sostituisci quanto segue:
RULE_NAME: il nome della nuova regola firewall. Ad esempio,
allow-vpc-connector-for-select-resources
.PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono
tcp
oudp
. Ad esempio,tcp:80,udp
consente il traffico TCP attraverso la porta 80 e il traffico UDP. Per ulteriori informazioni, consulta la documentazione relativa al flagallow
.RESOURCE_CIDR_RANGE: l'intervallo CIDR per il connettore di cui stai limitandone l'accesso
VPC_NETWORK: il nome della rete VPC
VPC_CONNECTOR_NETWORK_TAG: il tag di rete del connettore VPC universale se vuoi che la regola venga applicata a tutti i connettori VPC esistenti e a eventuali connettori VPC creati in futuro. In alternativa, il tag di rete del connettore VPC univoco se vuoi controllare un connettore specifico. Se hai utilizzato il tag rete univoco nel passaggio precedente, utilizza il tag rete univoco.
PRIORITY: un numero intero inferiore alla priorità impostata nel passaggio precedente. Ad esempio, se hai impostato la priorità della regola creata nel passaggio precedente su 990, prova 980.
Per ulteriori informazioni sugli indicatori obbligatori e facoltativi per la creazione di regole firewall, consulta la documentazione di gcloud compute firewall-rules create
.
Aggiornare un connettore
Puoi aggiornare e monitorare i seguenti attributi del connettore utilizzando la console Google Cloud, Google Cloud CLI o l'API:
- Tipo di macchina (istanza)
- Numero minimo e massimo di istanze
- Prestazioni recenti, numero di istanze e utilizzo della CPU
Aggiorna tipo di macchina
Console
Vai alla pagina Panoramica di Accesso VPC serverless.
Seleziona il connettore da modificare e fai clic su Modifica.
Nell'elenco Tipo di istanza, seleziona il tipo di macchina (istanza) preferito. Per informazioni sui tipi di macchine disponibili, consulta la documentazione su throughput e scalabilità.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Per aggiornare il tipo di macchina del connettore, esegui il seguente comando nel terminal:
Sostituisci quanto segue:gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --machine-type=MACHINE_TYPE
CONNECTOR_NAME
: il nome del connettoreREGION
: il nome della regione del connettoreMACHINE_TYPE
: il tipo di macchina che preferisci. Per informazioni sui tipi di macchine disponibili, consulta la documentazione su Throughput e scalabilità.
Riduci il numero minimo e massimo di istanze
Per ridurre il numero minimo e massimo di istanze, devi svolgere quanto segue:
- Crea un nuovo connettore con i valori che preferisci.
- Aggiorna il servizio o la funzione per utilizzare il nuovo connettore.
- Elimina il vecchio connettore dopo aver spostato il relativo traffico.
Per ulteriori informazioni, consulta Creare un connettore di accesso VPC serverless.
Aumenta il numero minimo e massimo di istanze
Console
Vai alla pagina Panoramica di Accesso VPC serverless.
Seleziona il connettore da modificare e fai clic su Modifica.
Nel campo Istanze minime, seleziona il numero minimo di istanze che preferisci.
Il valore più piccolo possibile per questo campo è il valore corrente. Il valore possibile più elevato per questo campo è il valore corrente nel campo Istanze massime meno 1. Ad esempio, se il valore nel Numero massimo di istanze è 8, il valore più grande possibile per il Numero minimo di istanze è 7.
Nel campo Istanze massime, seleziona il numero massimo di istanze preferito.
Il valore più piccolo possibile per questo campo è il valore corrente. Il valore massimo possibile per questo campo è 10.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Per aumentare il numero minimo o massimo di istanze per il connettore, esegui il seguente comando nel terminale:
Sostituisci quanto segue:gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --min-instances=MIN_INSTANCES --max-instances=MAX_INSTANCES
CONNECTOR_NAME
: il nome del connettoreREGION
: il nome della regione del connettoreMIN_INSTANCES
: il numero minimo di istanze preferito.- Il valore più piccolo possibile per questo campo è il valore corrente di
min_instances
. Per trovare il valore corrente, consulta Trovare i valori degli attributi attuali. - Il valore massimo possibile per questo campo è il valore
max_instances
corrente meno 1, perchémin_instances
deve essere inferiore amax_instances
. Ad esempio, semax_instances
è 8, il valore più grande possibile per questo campo è 7. Se il connettore utilizza il valore predefinito dimax-instances
di 10, il valore massimo possibile di questo campo è 9. Per trovare il valore dimax-instances
, consulta Trovare i valori degli attributi attuali.
- Il valore più piccolo possibile per questo campo è il valore corrente di
MAX_INSTANCES
:- Il valore più piccolo possibile per questo campo è il valore corrente di
max_instances
. Per trovare il valore corrente, consulta Trovare i valori degli attributi attuali. - Il valore massimo possibile per questo campo è 10.
Se vuoi aumentare solo il numero minimo di istanze, ma non il numero massimo, devi comunque specificare il numero massimo di istanze. Al contrario, se vuoi aggiornare solo il numero massimo di istanze, ma non il numero minimo, devi comunque specificare il numero minimo di istanze. Per mantenere invariato il numero minimo o massimo di istanze, specifica il valore corrente. Per trovare il loro valore corrente, consulta Trovare i valori degli attributi attuali.
- Il valore più piccolo possibile per questo campo è il valore corrente di
Trovare i valori degli attributi correnti
Per trovare i valori degli attributi attuali per il connettore, esegui quanto segue nel terminale:
gcloud compute networks vpc-access connectors describe CONNECTOR_NAME --region=REGION --project=PROJECT
CONNECTOR_NAME
: il nome del connettoreREGION
: il nome della regione del connettorePROJECT
: il nome del tuo progetto Google Cloud
Monitorare l'utilizzo del connettore
Monitorare l'utilizzo nel tempo può aiutarti a determinare quando modificare le impostazioni di un connettore. Ad esempio, se si verificano picchi di utilizzo della CPU, puoi provare ad aumentare il numero massimo di istanze per ottenere risultati migliori. In alternativa, se stai raggiungendo il picco di throughput, puoi decidere di passare a un tipo di macchina più grande.
Per visualizzare i grafici relativi al throughput, al numero di istanze e alle metriche di utilizzo della CPU del connettore nel tempo utilizzando la console Google Cloud:
Vai alla pagina Panoramica di Accesso VPC serverless.
Fai clic sul nome del connettore che vuoi monitorare.
Seleziona il numero di giorni da visualizzare tra 1 e 90 giorni.
Nel grafico Velocità effettiva, passa il mouse sopra il grafico per visualizzare la velocità effettiva recente del connettore.
Nel grafico Numero di istanze, passa il mouse sopra il grafico per visualizzare il numero di istanze utilizzate di recente dal connettore.
Nel grafico Utilizzo della CPU, passa il mouse sopra il grafico per visualizzare l'utilizzo della CPU recente del connettore. Il grafico mostra l'utilizzo della CPU distribuito tra le istanze per i percentile 50, 95 e 99.
Eliminare un connettore
Prima di eliminare un connettore, assicurati che non siano ancora collegati servizi o job.
Per gli utenti VPC condiviso che configurano i connettori nel progetto host VPC condiviso, puoi utilizzare il comando
gcloud compute networks vpc-access connectors describe
per elencare i progetti in cui sono presenti servizi o job che utilizzano un determinato
connettore.
Per eliminare un connettore, utilizza la console Google Cloud o Google Cloud CLI:
Console
Vai alla pagina Panoramica di Accesso VPC serverless nella console Google Cloud:
Seleziona il connettore da eliminare.
Fai clic su Elimina.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Utilizza il seguente comando
gcloud
per eliminare un connettore:gcloud compute networks vpc-access connectors delete CONNECTOR_NAME --region=REGION
Sostituisci quanto segue:
- CONNECTOR_NAME con il nome del connettore da eliminare
- REGION con la regione in cui si trova il connettore
Gestire vincoli personalizzati per i progetti
Questa sezione descrive come creare vincoli personalizzati per i connettori di accesso VPC serverless e applicarli a livello di progetto. Per informazioni sui criteri per le organizzazioni personalizzate, consulta Creare e gestire criteri per le organizzazioni personalizzate.
I criteri dell'organizzazione Google Cloud ti offrono un controllo centralizzato e programmatico sulle risorse della tua organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi definire un criterio dell'organizzazione, ovvero un insieme di limitazioni chiamate vincoli che si applicano alle risorse Google Cloud e ai relativi discendenti nella gerarchia delle risorse Google Cloud. Puoi applicare i criteri dell'organizzazione a livello di organizzazione, cartella o progetto.
I criteri dell'organizzazione forniscono vincoli predefiniti per vari servizi Google Cloud. Tuttavia, se vuoi un controllo più granulare e personalizzabile sui campi specifici limitati nelle norme dell'organizzazione, puoi anche creare norme dell'organizzazione personalizzate.
Vantaggi
Accesso VPC serverless ti consente di scrivere un numero qualsiasi di vincoli personalizzati utilizzando la maggior parte dei campi configurati dall'utente nell'API Serverless VPC Access. Ad esempio, puoi creare un vincolo personalizzato che specifichi le subnet che un connettore di accesso VPC serverless può utilizzare.
Una volta applicati, le richieste che violano un criterio che applica una limitazione personalizzata mostrano un messaggio di errore nella gcloud CLI e nei log di accesso VPC serverless. Il messaggio di errore contiene l'ID e la descrizione del vincolo personalizzato violato.
Ereditarietà delle norme
Per impostazione predefinita, i criteri dell'organizzazione vengono ereditati dai discendenti delle risorse su cui applichi i criteri. Ad esempio, se applichi un criterio a una cartella, Google Cloud lo applica a tutti i progetti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.
Limitazioni
La specifica del tipo di macchina, delle istanze minime o massime non è supportata.
Prima di iniziare
Assicurati di conoscere il ID organizzazione.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione,
chiedi all'amministratore di concederti il ruolo IAM Amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin
) nella risorsa dell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Creare un vincolo personalizzato
Un vincolo personalizzato viene definito in un file YAML dalle risorse, dai metodi, dalle condizioni e dalle azioni supportate dal servizio su cui stai applicando il criterio dell'organizzazione. Le condizioni per i vincoli personalizzati vengono definite utilizzando Common Expression Language (CEL). Per ulteriori informazioni su come creare condizioni nei vincoli personalizzati utilizzando CEL, consulta la sezione CEL di Creare e gestire vincoli personalizzati.
Per creare un file YAML per un vincolo personalizzato di accesso VPC serverless, consulta il seguente esempio:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- vpcaccess.googleapis.com/Connector
methodTypes:
- CREATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
Sostituisci quanto segue:
ORGANIZATION_ID
: l'ID della tua organizzazione, ad esempio123456789
.CONSTRAINT_NAME
: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare concustom.
e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempio custom.defaultNetworkConstraint. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso.CONDITION
: una condizione CEL scritta in base a una rappresentazione di una risorsa di servizio supportata. Questo campo ha una lunghezza massima di 1000 caratteri. Ad esempio,"resource.network == default"
.ACTION
: l'azione da intraprendere se viene soddisfatto il criteriocondition
. Può essereALLOW
oDENY
.DISPLAY_NAME
: un nome facile da ricordare per la limitazione. Questo campo ha una lunghezza massima di 200 caratteri.DESCRIPTION
: una descrizione chiara del vincolo da visualizzare come messaggio di errore in caso di violazione del criterio, ad esempio"Require network to not be set to default."
. Questo campo ha una lunghezza massima di 2000 caratteri.
Per saperne di più su come creare un vincolo personalizzato, consulta Definire vincoli personalizzati.
Configurare un vincolo personalizzato
Dopo aver creato il file YAML per un nuovo vincolo personalizzato, devi configurarlo per renderlo disponibile per i criteri dell'organizzazione nella tua organizzazione. Per impostare un vincolo personalizzato, utilizza il comandogcloud org-policies set-custom-constraint
:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
con il percorso completo del
file delle limitazioni personalizzate. Ad esempio: /home/user/customconstraint.yaml
.
Al termine, i vincoli personalizzati sono disponibili come criteri dell'organizzazione
nell'elenco dei criteri dell'organizzazione di Google Cloud.
Per verificare che la limitazione personalizzata esista, utilizza il comando gcloud org-policies list-custom-constraints
:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
con l'ID della risorsa della tua organizzazione.
Per ulteriori informazioni, consulta
Visualizzare i criteri dell'organizzazione.
Applicare un vincolo personalizzato
Puoi applicare un vincolo booleano creando un criterio dell'organizzazione che lo richiami e poi applicando questo criterio dell'organizzazione a una risorsa Google Cloud.Console
- Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.
- Nel selettore di progetti, seleziona il progetto per cui vuoi impostare il criterio dell'organizzazione.
- Nell'elenco della pagina Criteri organizzazione, seleziona il vincolo per visualizzare la pagina Dettagli criteri relativa al vincolo in questione.
- Per configurare il criterio dell'organizzazione per questa risorsa, fai clic su Gestisci criterio.
- Nella pagina Modifica criterio, seleziona Ignora criterio della risorsa padre.
- Fai clic su Aggiungi una regola.
- Nella sezione Applicazione, seleziona se l'applicazione di questo criterio dell'organizzazione è attivata o disattivata.
- (Facoltativo) Per rendere il criterio dell'organizzazione condizionale su un tag, fai clic su Aggiungi condizione. Tieni presente che se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola non condizionale, altrimenti il criterio non può essere salvato. Per ulteriori informazioni, consulta Impostare un criterio dell'organizzazione con tag.
- Se si tratta di un vincolo personalizzato, puoi fare clic su Prova modifiche per simulare l'effetto di questo criterio dell'organizzazione. Per ulteriori informazioni, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.
- Per completare e applicare il criterio dell'organizzazione, fai clic su Imposta criterio. L'applicazione del criterio può richiedere fino a 15 minuti.
gcloud
Per creare un criterio dell'organizzazione che applichi un vincolo booleano, crea un file YAML del criterio che faccia riferimento al vincolo:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Sostituisci quanto segue:
-
PROJECT_ID
: il progetto su cui vuoi applicare il vincolo. -
CONSTRAINT_NAME
: il nome definito per il vincolo personalizzato. Ad esempio,custom.defaultNetworkConstraint
.
Per applicare il criterio dell'organizzazione contenente la limitazione, esegui il seguente comando:
gcloud org-policies set-policy POLICY_PATH
Sostituisci POLICY_PATH
con il percorso completo del file YAML del criterio dell'organizzazione. L'applicazione del criterio può richiedere fino a 15 minuti.
Testa il vincolo personalizzato
Per testare l'esempio che limita le impostazioni di importazione, esegui il deployment di un connettore nel progetto con la rete impostata su default
:
gcloud compute networks vpc-access connectors create org-policy-test \
--project=PROJECT_ID \
--region=REGION_ID \
--network=default
L'output è il seguente:
Operation denied by custom org policies: ["customConstraints/custom.defaultNetworkConstraint": "Require network to not be set to default."]
Esempi di criteri dell'organizzazione personalizzati per casi d'uso comuni
La tabella seguente fornisce esempi di vincoli personalizzati che potresti trovare utili con i connettori di accesso VPC serverless:
Descrizione | Sintassi dei vincoli |
---|---|
Richiedi che i connettori di accesso VPC serverless possano utilizzare solo una rete specifica. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.allowlistNetworks resourceTypes: - vpcaccess.googleapis.com/Connector methodTypes: - CREATE condition: "resource.network == 'allowlisted-network'" actionType: ALLOW displayName: allowlistNetworks description: Require connectors to use a specific network. |
Descrizione | Sintassi dei vincoli |
Richiedi che i connettori di accesso VPC serverless abbiano accesso solo a una sottorete specifica. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictSubnetForProject resourceTypes: - vpcaccess.googleapis.com/Connector methodTypes: - CREATE condition: "resource.subnet.name == 'allocated-subnet'" actionType: ALLOW displayName: restrictSubnetForProject description: This project is only allowed to use the subnet "allocated-subnet". |
Configurare l'ambiente Cloud Run per utilizzare il VPC diretto anziché un connettore
Puoi attivare il servizio Cloud Run per inviare il traffico in uscita direttamente a una rete VPC, consentendo l'accesso alle istanze VM Compute Engine, alle istanze Memorystore e a qualsiasi altra risorsa con un indirizzo IP interno.
Configurare il servizio per utilizzare il VPC diretto
Il traffico VPC diretto in uscita consente al servizio Cloud Run di inviare traffico a una rete VPC senza un connettore di accesso VPC serverless. I costi di rete si azzerano, così come il servizio stesso. Puoi anche aggiungere tag di rete direttamente nelle revisioni del servizio Cloud Run per una sicurezza di rete più granulare, ad esempio applicando regole del firewall VPC.
Puoi configurare l'egress diretto della VPC con un servizio utilizzando la console Google Cloud, Google Cloud CLI, YAML o Terraform.
Console
Fai clic su Crea servizio se stai configurando un nuovo servizio di destinazione del deployment. Se stai configurando ed eseguendo il deployment di un servizio esistente, fai clic sul servizio, quindi su Modifica ed esegui il deployment di una nuova revisione.
Se stai configurando un nuovo servizio, compila la pagina iniziale delle impostazioni del servizio in base alle tue esigenze, quindi fai clic su Contenitori, volumi, networking, sicurezza per espandere la pagina di configurazione del servizio.
Fai clic sulla scheda Networking.
Fai clic su Connettiti a un VPC per il traffico in uscita.
Fai clic su Invia il traffico direttamente a un VPC.
Nel campo Rete, seleziona la rete VPC a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il servizio riceve gli indirizzi IP. Puoi eseguire il deployment di più servizi nella stessa subnet.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare al tuo servizio o ai tuoi servizi. I tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere diversi tag di rete, ad esempio
network-tag-2
.Per Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo richieste a IP privati per inviare solo trafico agli indirizzi interni tramite la rete VPC.
- Instrada tutto il traffico al VPC per inviare tutto il traffico in uscita tramite la rete VPC.
Fai clic su Crea o Esegui il deployment.
Per verificare che il servizio si trovi sulla rete VPC, fai clic sul servizio, quindi sulla scheda Networking. La rete e la subnet sono elencate nella scheda VPC.
Ora puoi inviare richieste dal tuo servizio Cloud Run a qualsiasi risorsa sulla rete VPC, come consentito dalle regole del firewall.
gcloud
Per eseguire il deployment di un servizio Cloud Run senza un connettore da Google Cloud CLI:
Aggiorna i componenti di
gcloud
alla versione più recente:gcloud components update
Assicurati che l'API Compute Engine sia abilitata per il tuo progetto:
gcloud services enable compute.googleapis.com
Esegui il deployment del servizio Cloud Run con il seguente comando:
gcloud run deploy SERVICE_NAME \ --image=IMAGE_URL \ --network=NETWORK \ --subnet=SUBNET \ --network-tags=NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region=REGION
Sostituisci:
- SERVICE_NAME con il nome del servizio Cloud Run.
- IMAGE_URL con un riferimento all'immagine del container, ad esempio
us-docker.pkg.dev/cloudrun/container/hello:latest
. Se utilizzi Artifact Registry, il repository REPO_NAME deve essere già stato creato. L'URL ha la formaLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
- NETWORK con il nome della rete VPC.
-
SUBNET con il nome della subnet. La subnet deve essere di almeno
/26
. L'egress VPC diretto supporta gli intervalli IPv4 RFC 1918, RFC 6598 e la classe E. Puoi eseguire il deployment o l'esecuzione di più servizi o job nella stessa subnet, ma la subnet non può essere condivisa da connettori esistenti. - (Facoltativo) NETWORK_TAG_NAMES con i nomi separati da virgole dei tag di rete che vuoi associare a un servizio. Per i servizi, i tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere diversi tag di rete, ad esempio
network-tag-2
. - EGRESS_SETTING con un
valore dell'impostazione di uscita:
all-traffic
: invia tutto il traffico in uscita tramite la rete VPC.private-ranges-only
: invia solo traffico agli indirizzi interni tramite la rete VPC.
- REGION con una regione per il tuo servizio.
Per verificare che il servizio si trovi nella rete VPC, esegui il seguente comando:
gcloud run services describe SERVICE_NAME \ --region=REGION
Sostituisci:
SERVICE_NAME
con il nome del servizio.REGION
con la regione del servizio specificata nel passaggio precedente.
L'output deve contenere il nome della rete, della sottorete e dell'impostazione di uscita, ad esempio:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ora puoi inviare richieste dal tuo servizio Cloud Run a qualsiasi risorsa sulla rete VPC, come consentito dalle regole del firewall.
YAML
Se stai creando un nuovo servizio, salta questo passaggio. Se stai aggiornando un servizio esistente, scarica la relativa configurazione YAML:
gcloud run services describe SERVICE --format export > service.yaml
Aggiorna i seguenti attributi:
apiVersion: serving.knative.dev/v1 kind: Service metadata: name: SERVICE_NAME labels: cloud.googleapis.com/location: REGION spec: template: metadata: annotations: run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET","tags":"NETWORK_TAG_NAMES"}]' run.googleapis.com/vpc-access-egress: EGRESS_SETTING spec: containers: - image: IMAGE
Sostituisci:
- SERVICE_NAME con il nome del servizio Cloud Run. I nomi dei servizi devono avere una lunghezza massima di 49 caratteri e devono essere univoci per regione e progetto.
- REGION con la regione del servizio Cloud Run, che deve corrispondere alla regione della sottorete.
- NETWORK con il nome della rete VPC.
-
SUBNET con il nome della subnet. La subnet deve essere di almeno
/26
. L'egress VPC diretto supporta gli intervalli IPv4 RFC 1918, RFC 6598 e la classe E. Puoi eseguire il deployment o l'esecuzione di più servizi o job nella stessa subnet, ma la subnet non può essere condivisa da connettori esistenti. - (Facoltativo) NETWORK_TAG_NAMES con i nomi dei
tag di rete
che vuoi associare a un servizio. Per i servizi, i tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere diversi tag di rete, ad esempio
network-tag-2
. - EGRESS_SETTING con un
valore dell'impostazione di uscita:
all-traffic
: invia tutto il traffico in uscita tramite la rete VPC.private-ranges-only
: invia solo traffico agli indirizzi interni tramite la rete VPC.
- IMAGE con l'URL dell'immagine del container del servizio.
Puoi anche specificare ulteriori configurazioni, come variabili di ambiente o limiti di memoria.
Crea o aggiorna il servizio utilizzando il seguente comando:
gcloud run services replace service.yaml
Terraform
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.
Aggiungi quanto segue al tuo file
main.tf
:
Se vuoi, rendete pubblico il servizio per consentire l'accesso non autenticato al servizio.
Configurare il job per utilizzare il VPC diretto
L'uscita VPC diretta consente al tuo job Cloud Run di inviare traffico a una rete VPC senza un connettore di accesso VPC serverless. Puoi anche aggiungere tag di rete direttamente ai job Cloud Run per una sicurezza di rete più granulare, ad esempio l'applicazione di regole firewall VPC.
Puoi configurare l'uscita diretta VPC con un job utilizzando la console Google Cloud, Google Cloud CLI o YAML.
Console
Se stai configurando un nuovo job, fai clic sulla scheda Job e compila la pagina delle impostazioni iniziali del job in base alle tue esigenze. Se stai configurando un job esistente, fai clic sul job e poi su Modifica.
Fai clic su Contenitore, variabili e secret, connessioni, sicurezza per espandere la pagina delle proprietà del job.
Fai clic sulla scheda Connessioni.
Fai clic su Connettiti a un VPC per il traffico in uscita.
Fai clic su Invia il traffico direttamente a un VPC.
Nel campo Rete, seleziona la rete VPC a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il job riceve gli indirizzi IP. Puoi eseguire più job nella stessa subnet.
Per Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo richieste a IP privati per inviare solo trafico agli indirizzi interni tramite la rete VPC.
- Instrada tutto il traffico al VPC per inviare tutto il traffico in uscita tramite la rete VPC.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare al tuo servizio o ai tuoi servizi. I tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere diversi tag di rete, ad esempio
network-tag-2
.(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare al tuo job o ai tuoi job. Per i job, i tag di rete vengono specificati a livello di esecuzione. Ogni esecuzione del job può avere diversi tag di rete, ad esempio
network-tag-2
.Fai clic su Crea o Aggiorna.
Per verificare che il job si trovi sulla tua rete VPC, fai clic sul job e poi sulla scheda Configurazione. La rete e la subnet sono elencate nella scheda VPC.
Ora puoi eseguire il tuo job Cloud Run e inviare richieste dal job a qualsiasi risorsa sulla rete VPC, come consentito dalle regole del firewall.
gcloud
Per creare un job Cloud Run senza un connettore da Google Cloud CLI:
Aggiorna i componenti di
gcloud
alla versione più recente:gcloud components update
Assicurati che l'API Compute Engine sia abilitata per il tuo progetto:
gcloud services enable compute.googleapis.com
Crea un job Cloud Run con il seguente comando:
gcloud run jobs create JOB_NAME \ --image=IMAGE_URL \ --network=NETWORK \ --subnet=SUBNET \ --network-tags=NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region=REGION
Sostituisci:
- JOB_NAME con il nome del tuo job Cloud Run.
- IMAGE_URL con un riferimento all'immagine del container, ad esempio
us-docker.pkg.dev/cloudrun/container/job:latest
- NETWORK con il nome della rete VPC.
-
SUBNET con il nome della subnet. La subnet deve essere di almeno
/26
. L'egress VPC diretto supporta gli intervalli IPv4 RFC 1918, RFC 6598 e la classe E. Puoi eseguire il deployment o l'esecuzione di più servizi o job nella stessa subnet, ma la subnet non può essere condivisa da connettori esistenti. - (Facoltativo) NETWORK_TAG_NAMES con i nomi dei
tag di rete
che vuoi associare a un job. Per i job, i tag di rete vengono specificati
a livello di esecuzione. Ogni esecuzione del job può avere tag di rete diversi, ad esempio
network-tag-2
. - EGRESS_SETTING con un
valore dell'impostazione di uscita:
all-traffic
: invia tutto il traffico in uscita tramite la rete VPC.private-ranges-only
: invia solo traffico agli indirizzi interni tramite la rete VPC.
- REGION con una regione per il job.
Per verificare che il job si trovi nella tua rete VPC, esegui questo comando:
gcloud run jobs describe JOB_NAME \ --region=REGION
Sostituisci:
JOB_NAME
con il nome del job.REGION
con la regione per il tuo job specificata nel passaggio precedente.
L'output deve contenere il nome della rete e della subnet, ad esempio:
VPC network: Network: default Subnet: default
Ora puoi eseguire il tuo job Cloud Run e inviare richieste dal job a qualsiasi risorsa sulla rete VPC, come consentito dalle regole del firewall.
YAML
Se stai creando un nuovo job, salta questo passaggio. Se stai aggiornando un job esistente, scarica la relativa configurazione YAML:
gcloud run jobs describe JOB_NAME --format export > job.yaml
Aggiorna i seguenti attributi:
apiVersion: run.googleapis.com/v1 kind: Job metadata: name: JOB_NAME annotations: run.googleapis.com/launch-stage: BETA labels: cloud.googleapis.com/location: REGION spec: template: metadata: annotations: run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET","tags":"NETWORK_TAG_NAMES"}]' run.googleapis.com/vpc-access-egress: EGRESS_SETTING spec: containers: - image: IMAGE
Sostituisci:
- JOB_NAME con il nome del tuo job Cloud Run. I nomi dei job devono avere una lunghezza massima di 49 caratteri e devono essere univoci per regione e progetto.
- REGION con la regione del tuo job Cloud Run, che deve corrispondere alla regione della tua sottorete.
- NETWORK con il nome della rete VPC.
-
SUBNET con il nome della subnet. La subnet deve essere di almeno
/26
. L'egress VPC diretto supporta gli intervalli IPv4 RFC 1918, RFC 6598 e la classe E. Puoi eseguire il deployment o l'esecuzione di più servizi o job nella stessa subnet, ma la subnet non può essere condivisa da connettori esistenti. - (Facoltativo) NETWORK_TAG_NAMES con i nomi dei
tag di rete
che vuoi associare a un job. Per i job, i tag di rete vengono specificati
a livello di esecuzione. Ogni esecuzione del job può avere tag di rete diversi, ad esempio
network-tag-2
. - EGRESS_SETTING con un
valore dell'impostazione di uscita:
all-traffic
: invia tutto il traffico in uscita tramite la rete VPC.private-ranges-only
: invia solo traffico agli indirizzi interni tramite la rete VPC.
- IMAGE con l'URL dell'immagine del container del job.
Crea o aggiorna il job utilizzando il seguente comando:
gcloud run jobs replace job.yaml
Risoluzione dei problemi
Autorizzazioni service account
Per eseguire operazioni nel progetto Google Cloud, Accesso VPC serverless utilizza l'account di servizio Agente di servizio Accesso VPC serverless. L'indirizzo email di questo account di servizio ha il seguente formato:
service-PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com
Per impostazione predefinita, questo account di servizio dispone del ruolo
Agente di servizio di accesso VPC serverless
(roles/vpcaccess.serviceAgent
). Le operazioni di accesso VPC serverless
potrebbero non riuscire se modifichi le autorizzazioni di questo account.
Scarse prestazioni della rete o utilizzo elevato della CPU in stato inattivo
L'utilizzo di un singolo connettore per migliaia di istanze può causare un calo delle prestazioni e un utilizzo elevato della CPU inattiva. Per risolvere il problema, suddividi i servizi tra più connettori.
Errori
Errore: all'account di servizio serve il ruolo Agente di servizio
Se utilizzi il vincolo dei criteri dell'organizzazione Limita l'utilizzo del servizio delle risorse
per bloccare Cloud Deployment Manager (deploymentmanager.googleapis.com
), potresti visualizzare il seguente messaggio di errore:
Serverless VPC Access service account (service-<PROJECT_NUMBER>@gcp-sa-vpcaccess.iam.gserviceaccount.com) needs Serverless VPC Access Service Agent role in the project.
Imposta il criterio dell'organizzazione per rimuovere Deployment Manager dalla lista di blocco o aggiungerlo alla lista consentita.
Errore durante la creazione del connettore
Se la creazione di un connettore genera un errore, prova a procedere nel seguente modo:
- Specifica un intervallo IP interno RFC 1918 che non si sovrapponga a prenotazioni di indirizzi IP esistenti nella rete VPC.
- Concedi al tuo progetto l'autorizzazione a utilizzare le immagini VM di Compute Engine dal progetto con ID
serverless-vpc-access-images
. Per saperne di più su come aggiornare di conseguenza i criteri dell'organizzazione, consulta Impostare limitazioni di accesso alle immagini.
Impossibile accedere alle risorse
Se hai specificato un connettore, ma non riesci ancora ad accedere alle risorse nella tua rete VPC, assicurati che nella tua rete VPC non siano presenti regole firewall con una priorità inferiore a 1000 che negano l'ingresso dall'intervallo di indirizzi IP del connettore.
Se configuri un connettore in un progetto di servizio VPC condiviso, assicurati che le regole del firewall consentano l'ingresso dal tuo connettore all'infrastruttura serverless.
Errore di connessione rifiutata
Se ricevi errori connection refused
o connection timeout
che riducono le prestazioni della rete, le connessioni potrebbero aumentare senza limiti tra le chiamate dell'applicazione serverless. Per limitare il numero massimo di connessioni utilizzate per istanza, utilizza una libreria client che supporti i pool di connessioni. Per esempi dettagliati su come utilizzare i pool di connessioni, consulta
Gestire le connessioni ai database.
Errore di risorsa non trovata
Quando elimini una rete VPC o una regola firewall, potresti visualizzare un messaggio simile al seguente: The resource
"aet-uscentral1-subnet--1-egrfw" was not found.
Per informazioni su questo errore e sulla relativa soluzione, consulta Errore: risorsa non trovata nella documentazione delle regole firewall VPC.
Passaggi successivi
- Monitora l'attività di amministrazione con gli audit log di accesso VPC serverless.
- Proteggi le risorse e i dati creando un perimetro di servizio con Controlli di servizio VPC.
- Scopri i ruoli Identity and Access Management (IAM) associati all'accesso VPC serverless. Consulta la sezione Ruoli di accesso VPC serverless nella documentazione IAM per un elenco delle autorizzazioni associate a ciascun ruolo.
- Scopri come connetterti a Memorystore da: