Configura i connettori nel progetto host del VPC condiviso

Se la tua organizzazione utilizza il VPC condiviso, puoi configurare i connettori di accesso VPC serverless nel progetto di servizio o nel progetto host. Questa guida mostra come configurare un connettore nel progetto host.

Se devi configurare un connettore in un progetto di servizio, consulta Configura i connettori nei progetti di servizio. Per scoprire di più sui vantaggi di ciascun metodo, consulta Connettiti a una rete VPC condivisa.

Prima di iniziare

  1. Verifica i ruoli Identity and Access Management (IAM) per l'account che stai utilizzando. L'account attivo deve avere i ruoli seguenti nel progetto host:

  2. Seleziona il progetto host nell'ambiente che preferisci.

Console

  1. Apri la dashboard della console Google Cloud .

    Vai alla dashboard della console Google Cloud

  2. Nella barra dei menu nella parte superiore della dashboard, fai clic sul menu a discesa dei progetti e seleziona il progetto host.

gcloud

Imposta il progetto predefinito in gcloud CLI sul progetto host eseguendo il comando seguente nel terminale: 

gcloud config set project HOST_PROJECT_ID

Sostituisci quanto segue:

  • HOST_PROJECT_ID: l'ID del progetto host del VPC condiviso

Crea un connettore di accesso VPC serverless

Per inviare richieste alla tua rete VPC e ricevere le risposte corrispondenti, devi creare un connettore di accesso VPC serverless. Puoi creare un connettore utilizzando la console Google Cloud , Google Cloud CLI o Terraform:

Console

  1. Abilita l'API Serverless VPC Access per il tuo progetto.

    Abilita API

  2. Vai alla pagina di panoramica di Accesso VPC serverless.

    Vai ad Accesso VPC serverless

  3. Fai clic su Crea connettore.

  4. Nel campo Nome, inserisci un nome per il connettore. Il nome deve seguire la convenzione di denominazione di Compute Engine e contenere meno di 21 caratteri. I trattini (-) vengono conteggiati come due caratteri.

  5. Nel campo Regione, seleziona una regione per il connettore. Deve corrispondere alla regione del tuo servizio serverless.

    Se il tuo servizio si trova nella regione us-central o europe-west, utilizza us-central1 o europe-west1.

  6. Nel campo Rete, seleziona la rete VPC a cui collegare il connettore.

  7. Fai clic sul menu a discesa Subnet:

    Seleziona una subnet /28 non in uso.

    • Le subnet devono essere utilizzate esclusivamente dal connettore. Non possono essere utilizzate da altre risorse come VM, Private Service Connect o bilanciatori del carico.
    • Per verificare che la subnet non venga utilizzata per Private Service Connect o Cloud Load Balancing, controlla che il valore purpose della subnet sia PRIVATE eseguendo questo comando in gcloud CLI: 
      gcloud compute networks subnets describe SUBNET_NAME
      Sostituisci SUBNET_NAME con il nome della subnet.

  8. (Facoltativo) Per impostare le opzioni di scalabilità per un maggiore controllo del connettore, fai clic su Mostra impostazioni di scalabilità per visualizzare il modulo della scalabilità.

    1. Imposta il numero minimo e massimo di istanze per il connettore oppure utilizza i valori predefiniti, ovvero 2 (minimo) e 10 (massimo). Il connettore fa lo scale out fino al massimo specificato all'aumentare del traffico, ma non fa lo scale down quando il traffico diminuisce. Devi utilizzare valori compresi tra 2 e 10 e il valore MIN deve essere inferiore al valore MAX.
    2. Nel menu a discesa Tipo di istanza, scegli il tipo di macchina da utilizzare per il connettore o utilizza il valore predefinito e2-micro. Presta attenzione alla barra laterale dei costi a destra quando scegli il tipo di istanza, che mostra le stime della larghezza di banda e dei costi.

  9. Fai clic su Crea.

  10. Quando il connettore è pronto per l'uso, accanto al nome verrà visualizzato un segno di spunta verde.

gcloud

  1. Aggiorna i componenti gcloud all'ultima versione:

    gcloud components update

  2. Abilita l'API Serverless VPC Access per il tuo progetto:

    gcloud services enable vpcaccess.googleapis.com

  3. Crea un connettore di accesso VPC serverless:

    gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
--region=REGION \
--subnet=SUBNET \
--subnet-project=HOST_PROJECT_ID \
# Optional: specify minimum and maximum instance values between 2 and 10, default is 2 min, 10 max.
--min-instances=MIN \
--max-instances=MAX \
# Optional: specify machine type, default is e2-micro
--machine-type=MACHINE_TYPE

    Sostituisci quanto segue:

    • CONNECTOR_NAME: un nome per il connettore. Il nome deve seguire la convenzione di denominazione di Compute Engine e contenere meno di 21 caratteri. I trattini (-) vengono conteggiati come due caratteri.
    • REGION: una regione per il connettore; deve corrispondere alla regione del tuo servizio serverless. Se il tuo servizio si trova nella regione us-central o europe-west, utilizza us-central1 o europe-west1.
    • SUBNET: il nome di una subnet /28 non in uso.
      • Le subnet devono essere utilizzate esclusivamente dal connettore. Non possono essere utilizzate da altre risorse come VM, Private Service Connect o bilanciatori del carico.
      • Per verificare che la subnet non venga utilizzata per Private Service Connect o Cloud Load Balancing, controlla che il valore purpose della subnet sia PRIVATE eseguendo questo comando in gcloud CLI: 
        gcloud compute networks subnets describe SUBNET_NAME
        Sostituisci quanto segue:
        • SUBNET_NAME: il nome della subnet
    • HOST_PROJECT_ID: l'ID del progetto host
    • MIN: il numero minimo di istanze da utilizzare per il connettore. Scegli un numero intero compreso tra 2 e 9. Il valore predefinito è 2. Per scoprire di più sulla scalabilità dei connettori, consulta Throughput e scalabilità.
    • MAX: il numero massimo di istanze da utilizzare per il connettore. Scegli un numero intero compreso tra 3 e 10. Il valore predefinito è 10. Se il traffico lo richiede, il connettore fa lo scale out fino a [MAX] istanze, ma non fa lo scale down quando il traffico diminuisce. Per scoprire di più sulla scalabilità dei connettori, consulta Throughput e scalabilità.
    • MACHINE_TYPE: f1-micro, e2-micro o e2-standard-4. Per informazioni sul throughput del connettore, inclusi il tipo di macchina e la scalabilità, consulta Throughput e scalabilità.

    Per maggiori dettagli e argomenti facoltativi, consulta la documentazione di riferimento di gcloud.

  4. Prima di utilizzare il connettore, verifica che si trovi nello stato READY:

    gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \
--region=REGION

    Sostituisci quanto segue:

    • CONNECTOR_NAME: il nome del connettore, che hai specificato nel passaggio precedente
    • REGION: la regione del connettore, che hai specificato nel passaggio precedente

    L'output dovrebbe contenere la riga state: READY.

Terraform

Puoi utilizzare una risorsa Terraform per abilitare l'API vpcaccess.googleapis.com.

resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

Puoi utilizzare i moduli Terraform per creare una rete VPC e una subnet e poi creare il connettore.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 13.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  version    = "~> 13.0"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

Abilita Cloud Run Functions per il progetto di servizio

Abilita l'API Cloud Run Functions per il progetto di servizio. Questo passaggio è necessario per aggiungere i ruoli IAM nei passaggi successivi e perché il progetto di servizio utilizzi Cloud Run Functions.

Console

  1. Apri la pagina dell'API Cloud Run Functions.

    API Cloud Run Functions

  2. Nella barra dei menu nella parte superiore della dashboard, fai clic sul menu a discesa dei progetti e seleziona il progetto di servizio.

  3. Fai clic su Abilita.

gcloud

Esegui questo comando nel terminale:

gcloud services enable cloudfunctions.googleapis.com --project=SERVICE_PROJECT_ID

Sostituisci quanto segue:

  • SERVICE_PROJECT_ID: l'ID del progetto di servizio

Fornisci l'accesso al connettore

Fornisci l'accesso al connettore concedendo il ruolo IAM Cloud Run functions Service Agent Serverless VPC Access User al progetto di servizio sul progetto host.

Console

  1. Apri la pagina IAM.

    Vai a IAM

  2. Fai clic sul menu a discesa dei progetti e seleziona il progetto host.

  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci l'indirizzo email del service agent Cloud Run Functions per il progetto di servizio: 

    service-SERVICE_PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com

    Sostituisci quanto segue:

    • SERVICE_PROJECT_NUMBER: il numero di progetto associato al progetto di servizio. Questo valore è diverso dall'ID progetto. Puoi trovare il numero di progetto nella pagina Impostazioni progetto del progetto di servizio nella consoleGoogle Cloud .

  5. Nel campo Ruolo, seleziona Serverless VPC Access User.

  6. Fai clic su Salva.

gcloud

  1. Esegui questo comando nel terminale:

    gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com \
--role=roles/vpcaccess.user

    Sostituisci quanto segue:

    • HOST_PROJECT_ID: l'ID del progetto host del VPC condiviso

    • SERVICE_PROJECT_NUMBER: il numero di progetto associato al progetto di servizio. Questo valore è diverso dall'ID progetto. Puoi trovare il numero di progetto eseguendo questo comando:

      gcloud projects describe SERVICE_PROJECT_ID

Rendi rilevabile il connettore

Nella policy IAM del progetto host, devi concedere questi due ruoli predefiniti alle entità che eseguono il deployment dei servizi Cloud Run:

In alternativa, puoi utilizzare ruoli personalizzati o altri ruoli predefiniti che includono tutte le autorizzazioni del ruolo Serverless VPC Access Viewer (vpcaccess.viewer).

Console

  1. Apri la pagina IAM.

    Vai a IAM

  2. Fai clic sul menu a discesa dei progetti e seleziona il progetto host.

  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci l'indirizzo email dell'entità che deve essere in grado di visualizzare il connettore dal progetto di servizio. Puoi inserire più indirizzi email in questo campo.

  5. Nel campo Ruolo, seleziona entrambi i ruoli seguenti:

    • Serverless VPC Access Viewer
    • Compute Network Viewer

  6. Fai clic su Salva.

gcloud

Esegui questi comandi nel terminale:

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/vpcaccess.viewer

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/compute.networkViewer

Sostituisci quanto segue:

  • HOST_PROJECT_ID: l'ID del progetto host del VPC condiviso.
  • PRINCIPAL: l'entità che esegue il deployment dei servizi Cloud Run. Scopri di più sul flag --member.

Configura la funzione per utilizzare il connettore

Devi specificare il connettore per ogni funzione che richiede l'accesso al VPC condiviso. I passaggi seguenti mostrano come configurare la funzione per utilizzare un connettore.

Console

  1. Apri la pagina della panoramica di Cloud Run Functions.

    Vai a Cloud Run Functions

  2. Fai clic sul menu a discesa dei progetti e seleziona il progetto di servizio.

  3. Fai clic su Crea funzione. In alternativa, fai clic su una funzione esistente per andare alla relativa pagina dei dettagli e fai clic su Modifica.

  4. Espandi le impostazioni avanzate facendo clic su Impostazioni di runtime, build….

  5. Nella scheda Connessioni in Impostazioni traffico in uscita, seleziona il tuo connettore nel campo Connettore VPC.

gcloud

  1. Imposta gcloud CLI in modo che utilizzi il progetto contenente la funzione: 

    gcloud config set project PROJECT_ID
     Sostituisci quanto segue:

    • PROJECT_ID: l'ID del progetto contenente la funzione che richiede l'accesso al tuo VPC condiviso. Se la funzione si trova nel progetto host, corrisponde all'ID progetto host. Se la funzione si trova in un progetto di servizio, corrisponde all'ID del progetto di servizio.

  2. Utilizza il flag --vpc-connector ed esegui il deployment della funzione:

    gcloud functions deploy FUNCTION_NAME --vpc-connector=CONNECTOR_NAME

Sostituisci quanto segue:

  • FUNCTION_NAME: il nome della funzione.
  • CONNECTOR_NAME: il nome del connettore. Utilizza il nome completo quando esegui il deployment da un progetto di servizio del VPC condiviso (anziché dal progetto host), ad esempio: 
    projects/HOST_PROJECT_ID/locations/CONNECTOR_REGION/connectors/CONNECTOR_NAME
     dove HOST_PROJECT_ID è l'ID del progetto host, CONNECTOR_REGION è la regione del connettore e CONNECTOR_NAME è il nome che hai assegnato al connettore.

Per un maggiore controllo sulle richieste instradate tramite il connettore, consulta Impostazioni del traffico in uscita.

Passaggi successivi