連線至 Shared VPC 網路
如果貴組織使用 Shared VPC,您可以透過無伺服器 VPC 存取,將 Cloud Run 函式直接連線至 Shared VPC 網路。這樣一來,Cloud Run 函式就能存取 Shared VPC 網路中的資源,例如 Compute Engine VM 執行個體、Memorystore 執行個體,以及其他任何具有內部 IP 位址的資源。
如果貴組織未使用 Shared VPC,請參閱「連線至虛擬私有雲網路」。
設定方法比較
針對 Shared VPC,無伺服器 VPC 存取連接器有兩種設定方式。您可以在 Cloud Run 函式資源需要存取網路的每個服務專案中設定連接器,也可以在主專案中設定共用連接器。兩種方法都各有優點。
服務專案
在服務專案中建立連接器的優點:
- 隔離:每個連接器都有專屬頻寬,不會受到其他服務專案中連接器頻寬用量的影響。如果服務流量會突然暴增,或需要確保每個服務專案都不會因其他服務使用連接器而受影響,這點很有幫助。
- 內部計費:連接器產生的費用會歸到含有連接器的服務專案,讓內部計費更方便。
- 安全性:幫助您遵循「最小權限原則」。 連接器必須取得權限,才能存取 Shared VPC 網路中需要的資源。在服務專案中建立連接器,就能使用防火牆規則限制專案中服務可存取的項目。
- 團隊獨立性:團隊可減少對主專案管理員的依賴,自己建立及管理與服務專案相關聯的連接器。即使具有 Compute Engine 安全管理員角色,或具有自訂 Identity and Access Management (IAM) 角色且已啟用主專案
compute.firewalls.create權限,使用者仍需管理連接器的防火牆規則。
如要在服務專案中設定連接器,請參閱「在服務專案設定連接器」。
主專案
在主專案中建立連接器的優點:
- 集中式網路管理:依照 Shared VPC 模式,將網路設定資源集中到主專案。
- IP 位址空間:保留更多 IP 位址空間。連接器需要每個執行個體的 IP 位址,因此減少連接器 (以及每個連接器中的執行個體) 數量,就能減少使用 IP 位址。如果擔心 IP 位址用盡,這點很有幫助。
- 維護:建立的每個連接器都可供多個服務專案使用,因此可減少維護作業。如果擔心維護工作量太大,這點很有幫助。
- 閒置時間費用:可減少連接器閒置時間和相關費用。即使連接器未處理流量,仍會產生費用 (請參閱定價)。如果連接器數量較少,或許可以減少未處理流量時支付的資源費用,具體取決於連接器類型和執行個體數量。假如用途涉及大量服務,這些服務又不常使用,這種做法往往比較經濟實惠。
如要在主專案中設定連接器,請參閱「在主專案設定連接器」。