Jika Anda membuat fungsi baru, lihat Panduan Memulai Konsol di Cloud Run. Konten di halaman ini hanya berlaku untuk fungsi lama yang ada dan dibuat dengan Cloud Functions v1 API.

Mengonfigurasi konektor di project host VPC Bersama

Jika organisasi Anda menggunakan VPC Bersama, Anda dapat menyiapkan konektor Akses VPC Serverless di project layanan atau project host. Panduan ini menunjukkan cara menyiapkan konektor di project host.

Jika Anda perlu menyiapkan konektor di project layanan, lihat Mengonfigurasi konektor di project layanan. Untuk mempelajari keuntungan dari setiap metode, lihat Menghubungkan ke jaringan VPC Bersama.

Sebelum memulai

Periksa peran Identity and Access Management (IAM) untuk akun yang sedang Anda gunakan. Akun aktif harus memiliki peran berikut di project host:
Pilih project host di lingkungan pilihan Anda.

Konsol

Buka dasbor konsol Google Cloud .

Buka dasbor konsol Google Cloud
Pada panel menu di bagian atas dasbor, klik menu dropdown project, lalu pilih project host.

gcloud

Tetapkan project default di gcloud CLI ke project host dengan menjalankan perintah berikut di terminal Anda:

gcloud config set project HOST_PROJECT_ID

Ganti kode berikut:

HOST_PROJECT_ID: ID project host VPC Bersama

Membuat konektor Akses VPC Serverless

Untuk mengirim permintaan ke jaringan VPC dan menerima respons yang sesuai, Anda harus membuat konektor Akses VPC Serverless. Anda dapat membuat konektor menggunakan konsol Google Cloud , Google Cloud CLI, atau Terraform:

Konsol

Aktifkan Serverless VPC Access API untuk project Anda.

Aktifkan API
Buka halaman Serverless VPC Access overview.

Buka Serverless VPC Access
Klik Create connector.
Di kolom Name, masukkan nama untuk konektor Anda. Nama ini harus mengikuti konvensi penamaan Compute Engine dan kurang dari 21 karakter. Tanda hubung (-) dihitung sebagai dua karakter.
Di kolom Region, pilih region untuk konektor Anda. Region ini harus cocok dengan region layanan serverless Anda.

Jika layanan Anda berada di region us-central atau europe-west, gunakan us-central1 atau europe-west1.
Di kolom Network, pilih jaringan VPC yang akan dihubungkan dengan konektor.
Klik menu pull-down Subnetwork:

Pilih subnet /28 yang tidak digunakan.
- Subnet harus digunakan secara eksklusif oleh konektor. Subnet tidak dapat digunakan oleh resource lain seperti VM, Private Service Connect, atau load balancer.
- Untuk mengonfirmasi bahwa subnet Anda tidak digunakan untuk Private Service Connect atau Cloud Load Balancing, pastikan subnet purpose adalah PRIVATE dengan menjalankan perintah berikut di gcloud CLI:
```
gcloud compute networks subnets describe SUBNET_NAME
```
  Ganti SUBNET_NAME dengan nama subnet Anda.
(Opsional) Guna menetapkan opsi penskalaan untuk mendapatkan kontrol tambahan atas konektor, klik Show Scaling Settings untuk menampilkan formulir penskalaan.
1. Tetapkan jumlah minimum dan maksimum instance untuk konektor Anda, atau gunakan default, yaitu 2 (minimum) dan 10 (maksimum). Konektor diskalakan hingga batas maksimum yang ditentukan saat traffic meningkat, tetapi konektor tidak diskalakan kembali saat traffic menurun. Anda harus menggunakan nilai antara 2 dan 10, serta nilai MIN harus kurang dari nilai MAX.
2. Di menu pull-down Instance Type, pilih jenis mesin yang akan digunakan untuk konektor, atau gunakan e2-micro default. Perhatikan sidebar biaya di sisi kanan saat Anda memilih jenis instance, yang menampilkan estimasi biaya dan bandwidth.
Klik Create.
Tanda centang berwarna hijau akan muncul di samping nama konektor saat konektor siap digunakan.

gcloud

Update komponen gcloud ke versi terbaru:
```
gcloud components update
```
Aktifkan Serverless VPC Access API untuk project Anda:
```
gcloud services enable vpcaccess.googleapis.com
```
Buat konektor Akses VPC Serverless:
```
gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
--region=REGION \
--subnet=SUBNET \
--subnet-project=HOST_PROJECT_ID \
# Optional: specify minimum and maximum instance values between 2 and 10, default is 2 min, 10 max.
--min-instances=MIN \
--max-instances=MAX \
# Optional: specify machine type, default is e2-micro
--machine-type=MACHINE_TYPE
```
Ganti kode berikut:
- CONNECTOR_NAME: nama untuk konektor Anda. Nama ini harus mengikuti konvensi penamaan Compute Engine dan kurang dari 21 karakter. Tanda hubung (-) dihitung sebagai dua karakter.
- REGION: region untuk konektor Anda. Region ini harus cocok dengan region layanan serverless Anda. Jika layanan Anda berada di region us-central atau europe-west, gunakan us-central1 atau europe-west1.
- SUBNET: nama subnet /28 yang tidak digunakan.
  - Subnet harus digunakan secara eksklusif oleh konektor. Subnet tidak dapat digunakan oleh resource lain seperti VM, Private Service Connect, atau load balancer.
  - Untuk mengonfirmasi bahwa subnet Anda tidak digunakan untuk Private Service Connect atau Cloud Load Balancing, pastikan subnet purpose adalah PRIVATE dengan menjalankan perintah berikut di gcloud CLI:
```
gcloud compute networks subnets describe SUBNET_NAME
```
    Ganti kode berikut:
    - SUBNET_NAME: nama subnet Anda
- HOST_PROJECT_ID: ID project host
- MIN: jumlah minimum instance yang akan digunakan untuk konektor. Gunakan bilangan bulat antara 2 dan 9. Default-nya adalah 2. Untuk mempelajari penskalaan konektor, lihat Throughput dan penskalaan.
- MAX: jumlah maksimum instance yang akan digunakan untuk konektor. Gunakan bilangan bulat antara 3 dan 10. Default-nya adalah 10. Jika traffic memerlukannya, konektor akan diskalakan ke instance [MAX], tetapi tidak diskalakan kembali. Untuk mempelajari penskalaan konektor, lihat Throughput dan penskalaan.
- MACHINE_TYPE: f1-micro, e2-micro, atau e2-standard-4. Untuk mempelajari throughput konektor, termasuk jenis mesin dan penskalaan, lihat Throughput dan penskalaan.
Untuk mengetahui detail dan argumen opsional, lihat referensi gcloud.
Pastikan konektor Anda berstatus READY sebelum menggunakannya:
```
gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \
--region=REGION
```
Ganti kode berikut:
- CONNECTOR_NAME: nama konektor Anda. Nama ini adalah nama yang Anda tentukan di langkah sebelumnya
- REGION: region konektor Anda. Region ini adalah region yang Anda tentukan di langkah sebelumnya
Output harus berisi baris state: READY.

Terraform

Anda dapat menggunakan resource Terraform untuk mengaktifkan API vpcaccess.googleapis.com.

resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

Anda dapat menggunakan modul Terraform untuk membuat jaringan VPC dan subnet, lalu membuat konektor.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 13.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  version    = "~> 13.0"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

Mengaktifkan Cloud Run Functions untuk project layanan

Aktifkan Cloud Run Functions API untuk project layanan. Hal ini diperlukan untuk menambahkan peran IAM pada langkah berikutnya dan agar project layanan dapat menggunakan Cloud Run Functions.

Konsol

Buka halaman untuk Cloud Run Functions API.

Cloud Run Functions API
Pada panel menu di bagian atas dasbor, klik menu dropdown project, lalu pilih service project.
Klik Enable.

gcloud

Jalankan perintah berikut di terminal Anda:

gcloud services enable cloudfunctions.googleapis.com --project=SERVICE_PROJECT_ID

Ganti kode berikut:

SERVICE_PROJECT_ID: ID project layanan

Memberikan akses ke konektor

Berikan akses ke konektor dengan memberi Agen Layanan Cloud Run Functions peran IAM Serverless VPC Access User ke project layanan di project host.

Konsol

Buka halaman IAM.

Buka IAM
Klik menu dropdown project, lalu pilih host project.
Klik Grant access.
Di kolom New principals, masukkan alamat email Agen Layanan Cloud Run Functions untuk project layanan:
```
service-SERVICE_PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com
```
Ganti kode berikut:
- SERVICE_PROJECT_NUMBER: nomor project yang terkait dengan project layanan. Nomor ini berbeda dengan project ID. Anda dapat menemukan nomor project di halaman Project Settings untuk project layanan di konsolGoogle Cloud .
Di kolom Role, pilih Serverless VPC Access User.
Klik Save.

gcloud

Jalankan perintah berikut di terminal.
```
gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com \
--role=roles/vpcaccess.user
```
Ganti kode berikut:
- HOST_PROJECT_ID: ID project host VPC Bersama
- SERVICE_PROJECT_NUMBER: nomor project yang terkait dengan project layanan. Nomor ini berbeda dengan project ID. Anda dapat menemukan nomor project dengan menjalankan perintah berikut:
```
gcloud projects describe SERVICE_PROJECT_ID
```

Membuat konektor dapat ditemukan

Di kebijakan IAM project host, Anda harus memberikan dua peran yang telah ditetapkan berikut ke principal yang men-deploy layanan Cloud Run:

Serverless VPC Access Viewer (vpcaccess.viewer): Wajib.
Compute Network Viewer (compute.networkViewer): Opsional tetapi direkomendasikan. Memungkinkan principal IAM menghitung subnet di jaringan VPC Bersama.

Atau, Anda dapat menggunakan peran khusus atau peran lain yang telah ditetapkan, yang mencakup semua izin peran Serverless VPC Access Viewer (vpcaccess.viewer).

Konsol

Buka halaman IAM.

Buka IAM
Klik menu dropdown project, lalu pilih host project.
Klik Grant access.
Di kolom New principals, masukkan alamat email principal yang akan dapat melihat konektor dari project layanan. Anda dapat memasukkan beberapa email di kolom ini.
Di kolom Role, pilih kedua peran berikut:
- Serverless VPC Access Viewer
- Compute Network Viewer
Klik Save.

gcloud

Jalankan perintah berikut di terminal Anda:

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/vpcaccess.viewer

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/compute.networkViewer

Ganti kode berikut:

HOST_PROJECT_ID: ID project host VPC Bersama
PRINCIPAL: principal yang men-deploy layanan Cloud Run. Pelajari selengkapnya tentang flag --member.

Mengonfigurasi layanan Anda menggunakan konektor

Untuk setiap fungsi yang memerlukan akses ke VPC Bersama, Anda harus menentukan konektor untuk fungsi tersebut. Langkah-langkah berikut menunjukkan cara mengonfigurasi fungsi Anda untuk menggunakan konektor.

Konsol

Buka halaman Cloud Run Functions overview.

Buka Cloud Run Functions
Klik menu dropdown project, lalu pilih service project.
Klik Create function. Atau, klik fungsi yang ada untuk membuka halaman detailnya, lalu klik Edit.
Luaskan setelan lanjutan dengan mengklik Runtime, build....
Di tab Connections di bagian setelan Egress, pilih konektor Anda di kolom VPC connector.

gcloud

Tetapkan gcloud CLI untuk menggunakan project yang berisi fungsi:
```
gcloud config set project PROJECT_ID
```
Ganti kode berikut:
- PROJECT_ID: ID project berisi fungsi yang memerlukan akses ke VPC Bersama. Jika fungsi ada dalam project host, ini adalah project ID host. Jika fungsi ada dalam project layanan, ini adalah project ID layanan.

Gunakan flag --vpc-connector, lalu deploy fungsi Anda:

gcloud functions deploy FUNCTION_NAME --vpc-connector=CONNECTOR_NAME

Ganti kode berikut:

FUNCTION_NAME: nama fungsi Anda
CONNECTOR_NAME: nama konektor Anda Gunakan nama yang sepenuhnya memenuhi syarat saat men-deploy dari project layanan VPC Bersama (bukan project host), misalnya:
```
projects/HOST_PROJECT_ID/locations/CONNECTOR_REGION/connectors/CONNECTOR_NAME
```
dengan HOST_PROJECT_ID sebagai ID project host, CONNECTOR_REGION sebagai region konektor Anda, dan CONNECTOR_NAME sebagai nama yang Anda berikan untuk konektor.

Untuk kontrol lebih lanjut atas permintaan yang dirutekan melalui konektor, lihat Egress settings.

Langkah berikutnya

Hubungkan ke Memorystore dari Cloud Run Functions.
Konfigurasi setelan jaringan untuk Cloud Run Functions.
Pantau aktivitas admin dengan Logging audit Akses VPC Serverless.
Lindungi resource dan data dengan membuat perimeter layanan dengan Kontrol Layanan VPC.
Pelajari peran Identity and Access Management (IAM) yang terkait dengan Akses VPC Serverless. Lihat peran Akses VPC Serverless dalam dokumentasi IAM untuk mengetahui daftar izin yang terkait dengan setiap peran.