Serverloser VPC-Zugriff
Mit dem Serverloser VPC-Zugriff können Sie eine Verbindung direkt zu Ihrem Virtual Private Cloud-Netzwerk (VPC) aus serverlosen Umgebungen wie Cloud Run, App Engine oder Cloud Run-Funktionen herstellen. Wenn Sie den serverlosen VPC-Zugriff konfigurieren, kann Ihre serverlose Umgebung Anfragen über interne DNS- und interne IP-Adressen (gemäß RFC 1918 und RFC 6598) an Ihr VPC-Netzwerk senden. Die Antworten auf diese Anfragen verwenden auch Ihr internes Netzwerk.
Der serverlose VPC-Zugriff bietet zwei Hauptvorteile:
- An Ihr VPC-Netzwerk gesendete Anfragen sind niemals über das Internet zugänglich.
- Die Kommunikation über den serverlosen VPC-Zugriff kann im Vergleich zum Internet eine geringere Latenz haben.
Der serverlose VPC-Zugriff sendet nur dann internen Traffic von Ihrem VPC-Netzwerk an Ihre serverlose Umgebung, wenn der Traffic eine Antwort auf eine Anfrage ist, die von Ihrer serverlosen Umgebung über den Connector für serverlosen VPC-Zugriff gesendet wurde. Informationen zum Senden von anderem internen Traffic an Ihre serverlose Umgebung finden Sie unter Privater Google-Zugriff.
Für den Zugriff auf Ressourcen über mehrere VPC-Netzwerke und Google Cloud-Projekte müssen Sie auch eine freigegebene VPC oder VPC-Netzwerk-Peering konfigurieren.
So gehts:
Der serverlose VPC-Zugriff basiert auf einer Ressource, die als Connector bezeichnet wird. Ein Connector verarbeitet den Traffic zwischen der serverlosen Umgebung und Ihrem VPC-Netzwerk. Wenn Sie einen Connector in Ihrem Google Cloud-Projekt erstellen, hängen Sie ihn an ein bestimmtes VPC-Netzwerk und eine Region an. Anschließend konfigurieren Sie Ihre serverlosen Dienste so, dass sie diesen Connector für ausgehenden Netzwerktraffic verwenden.
IP-Adressbereiche
Es gibt zwei Möglichkeiten, den IP-Adressbereich für einen Connector festzulegen:
- Subnetz: Sie können ein vorhandenes
/28-Subnetz angeben, wenn noch keine Ressourcen das Subnetz verwenden. - CIDR-Bereich: Sie können einen nicht verwendeten CIDR-Bereich von
/28angeben. Achten Sie bei der Angabe dieses Bereichs darauf, dass er sich nicht mit bereits genutzten CIDR-Bereichen überschneidet.
Traffic, der über den Connector an Ihr VPC-Netzwerk gesendet wird, stammt aus dem von Ihnen angegebenen Subnetz oder CIDR-Bereich.
Firewallregeln
Firewallregeln sind für den Betrieb des Connectors und die Kommunikation mit anderen Ressourcen erforderlich, einschließlich Ressourcen in Ihrem Netzwerk.
Firewallregeln für Konnektoren in eigenständigen VPC-Netzwerken oder freigegebene VPC-Hostprojekten
Wenn Sie einen Connector in einem eigenständigen VPC-Netzwerk oder im Hostprojekt eines freigegebene VPC-Netzwerks erstellen, werden in Google Cloud alle erforderlichen Firewallregeln erstellt. Diese Firewallregeln sind nur vorhanden, solange der zugehörige Connector vorhanden ist. Sie sind in der Google Cloud Console sichtbar, können aber nicht bearbeitet oder gelöscht werden.
| Zweck der Firewallregel | Namensformat | Typ | Aktion | Priorität | Protokolle und Ports |
|---|---|---|---|---|---|
Ermöglicht Traffic von den Bereichen für Systemdiagnosen (35.191.0.0/16, 35.191.192.0/18, 130.211.0.0/22) auf bestimmten Ports zu den VM-Instanzen des Connectors |
aet-CONNECTOR_REGION-CONNECTOR_NAME-hcfw |
Eingehender Traffic | Zulassen | 100 | TCP:667 |
Ermöglicht Traffic von der untergeordneten serverlosen Infrastruktur von Google (35.199.224.0/19) über bestimmte Ports an die VM-Instanzen des Connectors |
aet-CONNECTOR_REGION-CONNECTOR_NAME-rsgfw |
Eingehender Traffic | Zulassen | 100 | TCP:667, UDP:665–666, ICMP |
Ermöglicht Traffic von den VM-Instanzen des Connectors zur untergeordneten serverlosen Infrastruktur von Google (35.199.224.0/19) über bestimmte Ports |
aet-CONNECTOR_REGION-CONNECTOR_NAME-earfw |
Ausgehender Traffic | Zulassen | 100 | TCP:667, UDP:665–666, ICMP |
Blockiert den Traffic von den VM-Instanzen des Connectors zur untergeordneten serverlosen Infrastruktur von Google (35.199.224.0/19) für alle anderen Ports |
aet-CONNECTOR_REGION-CONNECTOR_NAME-egrfw |
Ausgehender Traffic | Ablehnen | 100 | TCP:1–666, 668–65535, UDP:1–664, 667–65535 |
| Lässt den gesamten Traffic von den VM-Instanzen des Connectors (basierend auf ihrer IP-Adresse) zu allen Ressourcen im VPC-Netzwerk des Connectors zu. | aet-CONNECTOR_REGION-CONNECTOR_NAME-sbntfw |
Eingehender Traffic | Zulassen | 1000 | TCP, UDP, ICMP |
| Ermöglicht allen Traffic von den VM-Instanzen des Connectors (basierend auf ihrem Netzwerk-Tag) zu allen Ressourcen im VPC-Netzwerk des Connectors | aet-CONNECTOR_REGION-CONNECTOR_NAME-tagfw |
Eingehender Traffic | Zulassen | 1000 | TCP, UDP, ICMP |
Sie können den Zugriff des Connectors auf Ressourcen im Ziel-VPC-Netzwerk mithilfe von VPC-Firewallregeln oder Regeln in Firewallrichtlinien weiter einschränken. Achten Sie beim Hinzufügen von Firewallregeln darauf, dass sie eine Priorität von über 100 haben, damit sie nicht mit ausgeblendeten Firewallregeln von Google Cloud in Konflikt stehen. Weitere Informationen finden Sie unter VPC-VPC-Netzwerk des Connector-VM-Zugriffs einschränken.
Firewallregeln für Connectors in freigegebene VPC-Dienstprojekten
Wenn Sie einen Connector in einem Dienstprojekt erstellen und der Connector auf ein freigegebene VPC-Netzwerk im Hostprojekt abzielt, müssen Sie Firewallregeln hinzufügen, um den erforderlichen Traffic für den Betrieb des Connectors zuzulassen.
Sie können den Zugriff des Connectors auf Ressourcen im Ziel-VPC-Netzwerk auch mithilfe von VPC-Firewallregeln oder Regeln in Firewallrichtlinien einschränken. Weitere Informationen finden Sie unter Zugriff auf VPC-Ressourcen.
Durchsatz und Skalierung
Ein Connector für serverlosen VPC-Zugriff besteht aus Connector-Instanzen. Connector-Instanzen können einen von mehreren Maschinentypen verwenden. Größere Maschinentypen bieten einen höheren Durchsatz. Sie können den geschätzten Durchsatz und die Kosten für jeden Maschinentyp in der Google Cloud Console und in der folgenden Tabelle ansehen.
| Maschinentyp | Geschätzter Durchsatzbereich in Mbit/s* | Preis (Connector-Instanz plus Kosten für ausgehende Netzwerkdatenübertragung) |
|---|---|---|
f1-micro |
100-500 | f1-micro-Preise |
e2-micro |
200-1000 | e2-micro-Preise |
e2-standard-4 |
3200-16000 | e2-Standardpreise |
* Maximale Durchsatzbereiche sind Schätzungen, die auf dem regulären Vorgang basieren. Der tatsächliche Durchsatz hängt von vielen Faktoren ab. Siehe VM-Netzwerkbandbreite.
Sie können die minimale und maximale Anzahl an Connector-Instanzen festlegen, die für Ihren Connector zulässig sind. Der Mindestwert muss mindestens 2 sein. Der Höchstwert darf maximal 10 sein und muss größer als der Mindestwert sein. Wenn Sie für den Connector keine Mindest- und Höchstzahl von Instanzen angeben, gilt die Standardanzahl von 2 und die Standardanzahl von 10. Ein Connector kann den festgelegten Wert für die maximale Anzahl von Instanzen vorübergehend überschreiten, wenn Google alle zwei Wochen Wartungsarbeiten wie Sicherheitsupdates durchführt. Während der Wartung können zusätzliche Instanzen hinzugefügt werden, um einen unterbrechungsfreien Dienst zu gewährleisten. Nach der Wartung werden die Connectors an die gleiche Anzahl von Instanzen zurückgegeben wie vor dem Wartungszeitraum. Die Wartung dauert in der Regel einige Minuten. Verwenden Sie Verbindungspools, um die Auswirkungen während der Wartung zu minimieren, und verlassen Sie sich nicht auf Verbindungen, die länger als eine Minute dauern. Innerhalb einer Minute vor dem Herunterfahren nehmen Instanzen keine Anfragen mehr an.
Beim serverlosen VPC-Zugriff wird die Anzahl der Instanzen in Ihrem Connector automatisch horizontal skaliert, wenn der Traffic zunimmt. Die hinzugefügten Instanzen haben den Typ, den Sie für Ihren Connector angegeben haben. Connectors können keine Maschinentypen kombinieren. Connectors skalieren nicht horizontal herunter. Wenn Sie verhindern möchten, dass Connectors mehr als gewünscht horizontal skalieren, legen Sie die maximale Anzahl von Instanzen auf eine niedrige Anzahl fest. Wenn der Connector horizontal skaliert wurde und Sie weniger Instanzen verwenden möchten, erstellen Sie den Connector mit der erforderlichen Anzahl von Instanzen neu.
Beispiel
Wenn Sie für Ihren Maschinentyp f1-micro wählen und die Standardwerte für die minimale und maximale Anzahl von Instanzen (2 bzw. 10) verwenden, beträgt der geschätzte Durchsatz für Ihren Connector 100 Mbit/s bei der Standard-Mindestanzahl von Instanzen und 500 Mbit/s bei der maximalen Standardanzahl von Instanzen.
Durchsatzdiagramm
Sie können den aktuellen Durchsatz auf der Seite „Connector-Details“ in der Google Cloud Console überwachen. Das Durchsatzdiagramm auf dieser Seite zeigt eine detaillierte Ansicht der Durchsatzmesswerte des Connectors an.
Netzwerk-Tags
Mit Netzwerk-Tags für serverlosen VPC-Zugriff können Sie auf VPC-Connectors in Firewallregeln und Routen verweisen.
Jeder Connector für serverlosen VPC-Zugriff erhält automatisch diese zwei Netzwerk-Tags (manchmal als Instanz-Tags bezeichnet):
Universelles Netzwerk-Tag: (
vpc-connector) gilt für alle vorhandenen Connectors und zukünftigen ConnectorsEindeutiges Netzwerk-Tag (
vpc-connector-REGION-CONNECTOR_NAME): Gilt für den Connector CONNECTOR_NAME in der Region REGION.
Diese Netzwerk-Tags können nicht gelöscht werden. Neue Netzwerk-Tags können nicht hinzugefügt werden.
Anwendungsfälle
Sie können den serverlosen VPC-Zugriff verwenden, um auf Compute Engine-VM-Instanzen, Memorystore-Instanzen und alle anderen Ressourcen mit interner DNS- oder interner IP-Adresse zuzugreifen. Dazu einige Beispiele:
- Sie speichern Daten für einen serverlosen Dienst mit Memorystore.
- Ihre serverlosen Arbeitslasten verwenden Drittanbieter-Software, die Sie auf einer Compute Engine-VM ausführen.
- Sie führen einen Back-End-Dienst für eine verwaltete Instanzgruppe in Compute Engine aus und Ihre serverlose Umgebung muss mit diesem Back-End kommunizieren, ohne in Kontakt mit dem Internet zu kommen.
- Ihre serverlose Umgebung muss über Cloud VPN auf Daten in Ihrer lokalen Datenbank zugreifen.
Beispiel
In diesem Beispiel führt ein Google Cloud-Projekt mehrere Dienste in den folgenden serverlosen Umgebungen aus: App Engine, Cloud Run-Funktionen und Cloud Run.
Ein Connector für serverlosen VPC-Zugriff wurde erstellt und dem IP-Bereich 10.8.0.0/28 zugewiesen. Daher befindet sich die Quell-IP-Adresse für jede vom Connector gesendete Anfrage in diesem Bereich.
Das VPC-Netzwerk enthält zwei Ressourcen. Eine der Ressourcen hat die interne IP-Adresse 10.0.0.4. Die andere Ressource hat die interne IP-Adresse 10.1.0.2 und befindet sich in einer anderen Region als der Connector für serverlosen VPC-Zugriff.
Der Connector übernimmt das Senden und Empfangen der Anfragen und Antworten direkt von diesen internen IP-Adressen. Wenn der Connector Anfragen an die Ressource mit der internen IP-Adresse 10.1.0.2 sendet, fallen Kosten für die ausgehende Datenübertragung an, da sich diese Ressource in einer anderen Region befindet.
Alle Anfragen und Antworten zwischen den serverlosen Umgebungen und den Ressourcen im VPC-Netzwerk werden intern weitergeleitet.
Anfragen an externe IP-Adressen werden weiterhin über das Internet übertragen und verwenden nicht den Connector für Serverloser VPC-Zugriff.
Das folgende Diagramm zeigt diese Konfiguration.
Preise
Informationen zu den Preisen für serverlosen VPC-Zugriff finden Sie auf der Seite „VPC-Preise“ unter Serverloser VPC-Zugriff.
Unterstützte Dienste
In der nachstehenden Tabelle sind die Netzwerktypen aufgeführt, die Sie über den serverlosen VPC-Zugriff erreichen können:
| Verbindungsdienst | Unterstützung für serverlosen VPC-Zugriff |
|---|---|
| VPC | |
| Shared VPC | |
| Legacy-Netzwerke | |
| Mit Cloud Interconnect verbundene Netzwerke | |
| Mit Cloud VPN verbundene Netzwerke | |
| Mit VPC-Netzwerk-Peering verbundene Netzwerke |
In der nachstehenden Tabelle sind die serverlosen Umgebungen aufgeführt, die den serverlosen VPC-Zugriff unterstützen:
| Serverlose Umgebung | Unterstützung für serverlosen VPC-Zugriff |
|---|---|
| Cloud Run | |
| Knative Serving* | |
| Cloud Run Functions | |
| App Engine-Standardumgebung | Alle Laufzeiten außer PHP 5 |
| Flexible App Engine-Umgebung* |
* Wenn Sie für die Verbindung von Knative Serving oder der flexiblen App Engine-Umgebung interne IP-Adressen verwenden möchten, müssen Sie den serverlosen VPC-Zugriff nicht konfigurieren. In diesem Fall muss nur gewährleistet werden, dass der Dienst in einem VPC-Netzwerk mit Verbindung zu den Ressourcen bereitgestellt wird, die Sie erreichen möchten.
Unterstützte Netzwerkprotokolle
In der folgenden Tabelle werden die von den Connectors für serverlosen VPC-Zugriff unterstützten Netzwerkprotokolle beschrieben.
| Protokoll | Nur Anfragen an private IP-Adressen über den Connector weiterleiten | Gesamten Traffic über den Connector weiterleiten |
|---|---|---|
| TCP | ||
| UDP | ||
| ICMP | Wird nur für externe IP-Adressen unterstützt |
Unterstützte Regionen
Connectors für Serverloser VPC-Zugriff werden in jeder Region unterstützt, die Cloud Run, Cloud Run-Funktionen oder die App Engine-Standardumgebung unterstützt.
So rufen Sie verfügbare Regionen auf:
gcloud compute networks vpc-access locations list
Nächste Schritte
- Weitere Informationen zum Konfigurieren des serverlosen VPC-Zugriffs finden Sie unter Serverlosen VPC-Zugriff konfigurieren.