VPC con connettori

Puoi consentire al tuo servizio o job Cloud Run di inviare traffico a una rete VPC configurando un connettore di accesso VPC serverless.

Prima di iniziare

  • Se non hai ancora una rete VPC nel tuo progetto, creane una.

  • Se utilizzi il VPC condiviso, consulta Connessione a una rete VPC condivisa.

  • Nella console Google Cloud , assicurati che l'API Serverless VPC Access sia abilitata per il tuo progetto.

    Abilita API

  • Ogni connettore di accesso VPC serverless richiede una propria subnet /28 per posizionare le istanze del connettore. Questa subnet non deve includere altre risorse oltre al connettore. Se non utilizzi il VPC condiviso, puoi creare una subnet da utilizzare per il connettore o specificare un intervallo IP personalizzato non utilizzato per consentire al connettore di creare una subnet da utilizzare. Se scegli l'intervallo IP personalizzato, la subnet creata è nascosta e non può essere utilizzata nelle regole firewall e nelle configurazioni NAT.

Crea connettore

Per inviare richieste alla tua rete VPC e ricevere le risposte corrispondenti senza utilizzare la rete internet pubblica, puoi utilizzare un connettore di accesso VPC serverless.

Se il connettore si trova nello stesso progetto della rete VPC, puoi creare un connettore utilizzando una subnet esistente oppure creare un connettore e una nuova subnet.

Se il connettore si trova in un progetto di servizio e utilizza una rete VPC condivisa, il connettore e la rete VPC associata si trovano in progetti diversi. Quando un connettore e la relativa rete VPC si trovano in progetti diversi, un amministratore di rete VPC condivisa deve creare la subnet del connettore nella rete VPC condivisa prima di poter creare il connettore e devi creare il connettore utilizzando una subnet esistente.

Per saperne di più sui requisiti delle subnet, consulta i requisiti delle subnet dei connettori.

Per informazioni sul throughput del connettore, inclusi il tipo di macchina e la scalabilità, consulta Throughput e scalabilità.

Puoi creare un connettore utilizzando la console Google Cloud , Google Cloud CLI o Terraform.

Console

  1. Vai alla pagina di panoramica di Accesso VPC serverless.

    Vai ad Accesso VPC serverless

  2. Fai clic su Crea connettore.

  3. Nel campo Nome, inserisci un nome per il connettore che rispetti le convenzioni di denominazione di Compute Engine e i seguenti requisiti aggiuntivi: il nome deve contenere meno di 21 caratteri e i trattini (-) vengono conteggiati come due caratteri.

  4. Nel campo Regione, seleziona una regione per il connettore. Deve corrispondere alla regione del tuo servizio serverless.

    Se il tuo servizio o job si trova nella regione us-central o europe-west, utilizza us-central1 o europe-west1.

  5. Nel campo Rete, seleziona la rete VPC a cui collegare il connettore.

  6. Nel campo Subnet, seleziona una delle seguenti opzioni:

    • Crea un connettore utilizzando una subnet esistente: seleziona la subnet esistente nel campo Subnet.

    • Crea un connettore e una nuova subnet: seleziona Intervallo IP personalizzato nel campo Subnet. Quindi, inserisci il primo indirizzo in un CIDR /28 non utilizzato (ad esempio 10.8.0.0/28) da utilizzare come intervallo di indirizzi IPv4 principale di una nuova subnet che Google Cloud crea nella rete VPC del connettore. Assicurati che l'intervallo IP non sia in conflitto con le route esistenti nella rete VPC del connettore. Il nome della nuova subnet inizia con il prefisso "aet-".

  7. (Facoltativo) Per impostare le opzioni di scalabilità per un maggiore controllo del connettore, fai clic su Mostra impostazioni di scalabilità per visualizzare il modulo della scalabilità.

    1. Imposta il numero minimo e massimo di istanze per il connettore oppure utilizza i valori predefiniti, ovvero 2 (minimo) e 10 (massimo). Il connettore viene scalato fino al massimo specificato se l'utilizzo del traffico lo richiede, ma non viene ridimensionato quando il traffico diminuisce. Devi utilizzare valori compresi tra 2 e 10.
    2. Nel menu Tipo di istanza, scegli il tipo di macchina da utilizzare per il connettore o utilizza il valore predefinito e2-micro. Presta attenzione alla barra laterale dei costi a destra quando scegli il tipo di istanza, che mostra le stime della larghezza di banda e dei costi.

  8. Fai clic su Crea.

  9. Quando il connettore è pronto per l'uso, accanto al nome verrà visualizzato un segno di spunta verde.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Aggiorna i componenti di gcloud all'ultima versione:

    gcloud components update

  3. Assicurati che l'API Serverless VPC Access sia abilitata per il tuo progetto:

    gcloud services enable vpcaccess.googleapis.com

  4. Crea il connettore utilizzando una delle seguenti opzioni:

    Per maggiori dettagli e argomenti facoltativi, consulta la documentazione di riferimento di gcloud.

    • Crea un connettore utilizzando una subnet esistente:

      gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
 --region REGION \
 --subnet SUBNET_NAME \
 --subnet-project HOST_PROJECT_ID \
 --min-instances MIN \
 --max-instances MAX \
 --machine-type MACHINE_TYPE

      Sostituisci quanto segue:

      • CONNECTOR_NAME: un nome per il connettore, che rispetti le convenzioni di denominazione di Compute Engine e i seguenti requisiti aggiuntivi: il nome deve contenere meno di 21 caratteri e i trattini (-) vengono conteggiati come due caratteri.
      • REGION: una regione per il connettore, corrispondente alla regione del servizio o del job serverless. Se il tuo servizio o job si trova in us-central o europe-west, utilizza us-central1 o europe-west1.
      • SUBNET_NAME: il nome della subnet esistente.
      • HOST_PROJECT_ID: l'ID progetto host VPC condiviso. Se il connettore e la subnet esistente si trovano nello stesso progetto, ometti il flag --subnet-project.
      • MIN: il numero minimo di istanze da utilizzare per il connettore. Utilizza un numero intero compreso tra 2 (valore predefinito) e 9.
      • MAX: il numero massimo di istanze da utilizzare per il connettore. Utilizza un numero intero compreso tra 3 e 10 (valore predefinito). Se il connettore esegue lo scale up fino al numero massimo di istanze, non esegue lo scale down.
      • MACHINE_TYPE: deve essere uno dei seguenti valori: f1-micro, e2-micro o e2-standard-4.

    • Crea un connettore e una nuova subnet:

      gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
 --region REGION \
 --network VPC_NETWORK \
 --range IP_RANGE
 --min-instances MIN \
 --max-instances MAX \
 --machine-type MACHINE_TYPE

      Sostituisci quanto segue:

      • CONNECTOR_NAME: un nome per il connettore, che rispetti le convenzioni di denominazione di Compute Engine e i seguenti requisiti aggiuntivi: il nome deve contenere meno di 21 caratteri e i trattini (-) vengono conteggiati come due caratteri.
      • REGION: una regione per il connettore, corrispondente alla regione del servizio o del job serverless. Se il tuo servizio o job si trova in us-central o europe-west, utilizza us-central1 o europe-west1.
      • VPC_NETWORK: il nome della rete VPC a cui collegare il connettore. Il connettore e la rete VPC devono trovarsi nello stesso progetto.
      • IP_RANGE: fornisci un CIDR /28 non utilizzato (ad esempio 10.8.0.0/28) da utilizzare come intervallo di indirizzi IPv4 primario di una nuova subnet che Google Cloud crea nella rete VPC del connettore. Assicurati che l'intervallo IP non sia in conflitto con le route esistenti nella rete VPC del connettore. Il nome della nuova subnet inizia con il prefisso "aet-".
      • MIN: il numero minimo di istanze da utilizzare per il connettore. Utilizza un numero intero compreso tra 2 (valore predefinito) e 9.
      • MAX: il numero massimo di istanze da utilizzare per il connettore. Utilizza un numero intero compreso tra 3 e 10 (valore predefinito). Se il connettore esegue lo scale up fino al numero massimo di istanze, non esegue lo scale down.
      • MACHINE_TYPE: deve essere uno dei seguenti valori: f1-micro, e2-micro o e2-standard-4.

  5. Prima di utilizzare il connettore, verifica che si trovi nello stato READY:

    gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \
--region REGION

    Sostituisci quanto segue:

    • CONNECTOR_NAME: il nome del connettore, che hai specificato nel passaggio precedente.
    • REGION: la regione del connettore, che hai specificato nel passaggio precedente.

    L'output dovrebbe contenere la riga state: READY.

    6. Terraform

    Puoi utilizzare una risorsa Terraform per abilitare l'API vpcaccess.googleapis.com.

    resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

    Puoi utilizzare i moduli Terraform per creare una rete VPC e una subnet e poi creare il connettore.

    module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 13.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  version    = "~> 13.0"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

Configura il servizio

Puoi configurare il tuo servizio Cloud Run in modo che utilizzi un connettore di accesso VPC serverless per l'invio del traffico in uscita. Puoi farlo utilizzando la console Google Cloud , Google Cloud CLI o il file YAML quando crei un nuovo servizio o esegui il deployment di una nuova revisione:

Console

  1. Nella console Google Cloud , vai a Cloud Run:

    Vai a Cloud Run

  2. Seleziona Servizi dal menu di navigazione di Cloud Run e fai clic su Esegui il deployment del container per configurare un nuovo servizio. Se stai configurando un servizio esistente, fai clic sul servizio, quindi su Modifica ed esegui il deployment della nuova revisione.

  3. Se stai configurando un nuovo servizio, compila la pagina delle impostazioni iniziali del servizio, poi fai clic su Container, volumi, networking, sicurezza per espandere la pagina di configurazione del servizio.

  4. Fai clic sulla scheda Networking.

    immagine

    • Nel campo Rete, scegli una delle seguenti opzioni dal menu:

      • Per disconnettere il servizio da una rete VPC, seleziona Nessuna.
      • Per utilizzare un connettore esistente, selezionalo dall'elenco a discesa o seleziona Personalizzato per utilizzare un connettore esistente non visualizzato nell'elenco a discesa.
      • Per creare un nuovo connettore, seleziona Aggiungi nuovo connettore VPC. Per informazioni dettagliate sulla creazione di un connettore, consulta Crea un connettore di accesso VPC serverless.
      • Per Routing del traffico, seleziona una delle seguenti opzioni:
        • Instrada al VPC solo richieste a IP privati per inviare solo traffico agli indirizzi interni tramite la rete VPC.
        • Instrada al VPC tutto il traffico per inviare tutto il traffico in uscita attraverso la rete VPC.

  5. Fai clic su Crea o Esegui il deployment.

gcloud

Per specificare un connettore durante il deployment, utilizza il flag --vpc-connector:

gcloud run deploy SERVICE --image IMAGE_URL --vpc-connector CONNECTOR_NAME

Sostituisci quanto segue:

  • SERVICE: il nome del servizio.
  • IMAGE_URL: un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest. Se utilizzi Artifact Registry, il repository REPO_NAME deve essere già stato creato. L'URL segue il formato LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG .
  • CONNECTOR_NAME: il nome del connettore.

Per collegare, aggiornare o rimuovere un connettore per un servizio esistente, utilizza il comando gcloud run services update con uno dei seguenti flag, a seconda delle necessità:

Ad esempio, per allegare o aggiornare un connettore:

gcloud run services update SERVICE --vpc-connector CONNECTOR_NAME

Sostituisci quanto segue:

  • SERVICE: il nome del servizio.
  • CONNECTOR_NAME: il nome del connettore.

YAML

  1. Se stai creando un nuovo servizio, salta questo passaggio. Se stai aggiornando un servizio esistente, scarica la relativa configurazione YAML:

    gcloud run services describe SERVICE --format export > service.yaml

  2. Aggiungi o aggiorna l'attributo run.googleapis.com/vpc-access-connector in annotations sotto l'attributo spec di primo livello:

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: SERVICE
spec:
  template:
    metadata:
      annotations:
        run.googleapis.com/vpc-access-connector: CONNECTOR_NAME
      name: REVISION

    Sostituisci quanto segue:

    • SERVICE: il nome del servizio Cloud Run.
    • CONNECTOR_NAME: il nome del connettore.
    • REVISION con un nuovo nome di revisione o eliminalo (se presente). Se fornisci un nuovo nome di revisione, questo deve soddisfare i seguenti criteri:
      • Inizia con SERVICE-
      • Contiene solo lettere minuscole, numeri e -
      • Non termina con -
      • Non supera i 63 caratteri

  3. Crea o aggiorna il servizio utilizzando il seguente comando:

    gcloud run services replace service.yaml

Terraform

Puoi utilizzare una risorsa Terraform per creare un servizio e configurarlo in modo che utilizzi il connettore.

# Cloud Run service
resource "google_cloud_run_v2_service" "gcr_service" {
  name     = "mygcrservice"
  location = "us-west1"

  deletion_protection = false # set to "true" in production

  template {
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello"
      resources {
        limits = {
          cpu    = "1000m"
          memory = "512Mi"
        }
      }
      # the service uses this SA to call other Google Cloud APIs
      # service_account_name = myservice_runtime_sa
    }

    scaling {
      # Limit scale up to prevent any cost blow outs!
      max_instance_count = 5
    }

    vpc_access {
      # Use the VPC Connector
      connector = google_vpc_access_connector.connector.id
      # all egress from the service should go through the VPC Connector
      egress = "ALL_TRAFFIC"
    }
  }
}

Configura il job

Dopo aver creato un connettore di accesso VPC serverless, puoi configurare il job Cloud Run in modo che lo utilizzi. Puoi farlo utilizzando la console Google Cloud , Google Cloud CLI o YAML quando crei un nuovo job:

Console

  1. Nella console Google Cloud , vai alla pagina Job di Cloud Run:

    Vai a Cloud Run

  2. Fai clic su Esegui il deployment del container per compilare la pagina delle impostazioni iniziali del job. Se stai configurando un job esistente, seleziona il job, quindi fai clic su Visualizza e modifica la configurazione del job.

  3. Fai clic su Container, volumi, connessioni, sicurezza per espandere la pagina delle proprietà del job.

  4. Fai clic sulla scheda Connessioni.

    immagine

    • Nel campo Rete, scegli una delle seguenti opzioni dal menu:

      • Per disconnettere il job da una rete VPC, seleziona Nessuna.
      • Per utilizzare un connettore esistente, selezionalo dall'elenco a discesa o seleziona Personalizzato per utilizzare un connettore esistente non visualizzato nell'elenco a discesa.
      • Per creare un nuovo connettore, seleziona Aggiungi nuovo connettore VPC.

        Per informazioni dettagliate sulla creazione di un connettore, consulta Crea un connettore di accesso VPC serverless.

  5. Fai clic su Crea o Aggiorna.

gcloud

Per specificare un connettore durante il deployment del job, utilizza il flag --vpc-connector:

gcloud run jobs create JOB --image IMAGE_URL --vpc-connector CONNECTOR_NAME

Sostituisci quanto segue:

  • JOB: il nome del job.
  • IMAGE_URL: un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest. Se utilizzi Artifact Registry, il repository REPO_NAME deve essere già stato creato. L'URL segue il formato LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG .
  • CONNECTOR_NAME: il nome del connettore.

Per collegare, aggiornare o rimuovere un connettore per un servizio esistente, utilizza il comando gcloud run jobs update con uno dei seguenti flag, a seconda delle necessità:

Ad esempio, per allegare o aggiornare un connettore:

gcloud run jobs update JOB --vpc-connector CONNECTOR_NAME

Sostituisci quanto segue:

  • JOB: il nome del job.
  • CONNECTOR_NAME: il nome del connettore.

YAML

Puoi scaricare e visualizzare una configurazione del job esistente utilizzando il comando gcloud run jobs describe --format export, che produce risultati puliti in formato YAML. Puoi quindi modificare i campi descritti di seguito e caricare il file YAML modificato utilizzando il comando gcloud run jobs replace. Assicurati di modificare solo i campi come documentato.

  1. Per visualizzare e scaricare la configurazione:

    gcloud run jobs describe JOB --format export > job.yaml

  2. Aggiungi o aggiorna l'attributo run.googleapis.com/vpc-access-connector in annotations sotto l'attributo spec di primo livello:

    apiVersion: serving.knative.dev/v1
  kind: Job
  metadata:
    name: JOB
  spec:
    template:
      metadata:
        annotations:
          run.googleapis.com/vpc-access-connector: CONNECTOR_NAME

    Sostituisci quanto segue:

    • JOB: il nome del job Cloud Run.
    • CONNECTOR_NAME: il nome del connettore. L'attributo run.googleapis.com/vpc-access-connector è obbligatorio quando si specifica un'impostazione di uscita.

  3. Sostituisci il job con la nuova configurazione utilizzando il seguente comando:

    gcloud run jobs replace job.yaml

Accedi alle risorse VPC

Puoi limitare l'accesso dal connettore utilizzando regole e policy firewall e puoi aggiungere ulteriori limitazioni configurando le impostazioni di uscita e ingresso.

Impostazioni delle regole e delle policy firewall

Regole firewall richieste per i connettori nei progetti di servizio

Se crei un connettore in una rete VPC autonoma o nel progetto host di una rete VPC condivisa, Google Cloud crea tutte le regole firewall necessarie per il funzionamento del connettore. Per saperne di più, consulta Regole firewall per i connettori in reti VPC autonome o progetti host VPC condiviso.

Tuttavia, se crei un connettore in un progetto di servizio e il connettore ha come target una rete VPC condivisa nel progetto host, devi aggiungere regole firewall per consentire il traffico necessario per il funzionamento del connettore dai seguenti intervalli:

Questi intervalli vengono utilizzati dall'infrastruttura Google sottostante Cloud Run, Cloud Run Functions e l'ambiente standard di App Engine. Tutte le richieste provenienti da questi indirizzi IP hanno origine dall'infrastruttura Google per garantire che ogni risorsa serverless comunichi solo con il connettore a cui è connessa.

Devi anche consentire il traffico dalla subnet del connettore alle risorse nella tua rete VPC.

Per eseguire questi passaggi, devi disporre di uno dei seguenti ruoli nel progetto host:

Per una configurazione di base, applica le regole per consentire alle risorse serverless in qualsiasi progetto di servizio connesso alla rete VPC condivisa di inviare richieste a qualsiasi risorsa della rete.

Per applicare queste regole, esegui i seguenti comandi nel progetto host:

  1. Crea regole firewall che consentano alle richieste dell'infrastruttura serverless di Google e ai probe di controllo di integrità di raggiungere tutti i connettori nella rete. In questi comandi, le porte UDP e TCP vengono utilizzate rispettivamente come proxy e per i controlli di integrità HTTP. Non modificare le porte specificate.

    gcloud compute firewall-rules create serverless-to-vpc-connector \
    --allow tcp:667,udp:665-666,icmp \
    --source-ranges=35.199.224.0/19 \
    --direction=INGRESS \
    --target-tags vpc-connector \
    --network=VPC_NETWORK
     
    gcloud compute firewall-rules create vpc-connector-to-serverless \
    --allow tcp:667,udp:665-666,icmp \
    --destination-ranges=35.199.224.0/19 \
    --direction=EGRESS \
    --target-tags vpc-connector \
    --network=VPC_NETWORK
     
    gcloud compute firewall-rules create vpc-connector-health-checks \
    --allow tcp:667 \
    --source-ranges=35.191.0.0/16,35.191.192.0/18,130.211.0.0/22 \
    --direction=INGRESS \
    --target-tags vpc-connector \
    --network=VPC_NETWORK

    Sostituisci VPC_NETWORK con il nome della rete VPC a cui collegare il connettore.

  2. Crea una regola firewall in entrata sulla tua rete VPC per consentire le richieste dai connettori che hanno come target questa rete:

    gcloud compute firewall-rules create vpc-connector-requests \
    --allow tcp,udp,icmp \
    --direction=INGRESS \
    --source-tags vpc-connector \
    --network=VPC_NETWORK

    Questa regola concede al connettore l'accesso a ogni risorsa della rete. Per limitare le risorse che il tuo ambiente serverless può raggiungere utilizzando l'accesso VPC serverless, consulta Limita l'accesso a VM del connettore alle risorse di rete VPC.

Crea regole firewall per connettori specifici

Se segui la procedura descritta in Regole firewall richieste per i connettori nei progetti di servizio, le regole firewall risultanti si applicano a tutti i connettori, sia quelli attuali sia quelli creati in futuro. Se non vuoi che questo accada, ma vuoi creare regole solo per connettori specifici, puoi definire l'ambito delle regole in modo che vengano applicate solo a questi connettori.

Per limitare l'ambito delle regole a connettori specifici, puoi utilizzare uno dei seguenti meccanismi:

  • Tag di rete: ogni connettore ha due tag di rete: vpc-connector e vpc-connector-REGION-CONNECTOR_NAME. Utilizza il secondo formato per limitare l'ambito delle regole firewall a un connettore specifico.
  • Intervalli IP: utilizza questo campo solo per le regole in uscita, perché non funziona per le regole in entrata. Puoi utilizzare l'intervallo IP della subnet del connettore per limitare l'ambito delle regole firewall a un singolo connettore VPC.

Limita l'accesso a VM del connettore alle risorse della rete VPC

Puoi limitare l'accesso del connettore alle risorse nella rete VPC target utilizzando le regole firewall VPC o le regole nelle policy firewall. Puoi applicare queste limitazioni utilizzando una delle seguenti strategie:

  • Crea regole in entrata i cui target rappresentano le risorse a cui vuoi limitare l'accesso della VM del connettore e le cui origini rappresentano le VM del connettore.
  • Crea regole in uscita i cui target rappresentano le VM del connettore e le cui destinazioni rappresentano le risorse per le quali vuoi limitare l'accesso delle VM del connettore.

Gli esempi riportati di seguito illustrano ciascuna strategia.

Limita l'accesso utilizzando regole in entrata

Scegli i tag di rete o gli intervalli CIDR per controllare il traffico in entrata nella rete VPC.

Tag di rete

I passaggi seguenti mostrano come creare regole in entrata che limitano l'accesso di un connettore alla tua rete VPC in base ai tag di rete del connettore.

  1. Assicurati di disporre delle autorizzazioni necessarie per inserire regole firewall. Devi disporre di uno dei seguenti ruoli Identity and Access Management (IAM):

  2. Nega il traffico del connettore nella rete VPC.

    Crea una regola firewall in entrata con priorità inferiore a 1000 nella tua rete VPC per negare l'accesso in entrata dal tag di rete del connettore. Questa operazione sostituisce la regola firewall implicita che l'accesso VPC serverless crea per impostazione predefinita nella tua rete VPC.

    gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--rules=PROTOCOL \
--source-tags=VPC_CONNECTOR_NETWORK_TAG \
--direction=INGRESS \
--network=VPC_NETWORK \
--priority=PRIORITY

    Sostituisci quanto segue:

    • RULE_NAME: il nome della nuova regola firewall. Ad esempio, deny-vpc-connector.

    • PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono tcp o udp. Ad esempio, tcp:80,udp consente il traffico TCP tramite la porta 80 e il traffico UDP. Per saperne di più, consulta la documentazione relativa al flag allow.

      Per motivi di sicurezza e convalida, puoi anche configurare regole di negazione per bloccare il traffico per i seguenti protocolli non supportati: ah, all, esp, icmp, ipip e sctp.

    • VPC_CONNECTOR_NETWORK_TAG: il tag di rete del connettore universale se vuoi limitare l'accesso per tutti i connettori (inclusi quelli creati in futuro) o il tag di rete univoco se vuoi limitare l'accesso per un connettore specifico.

      • Tag di rete universale: vpc-connector

      • Tag di rete univoco: vpc-connector-REGION-CONNECTOR_NAME

        Sostituisci:

        • REGION: la regione del connettore che vuoi limitare
        • CONNECTOR_NAME: il nome del connettore che vuoi limitare

      Per saperne di più sui tag di rete del connettore, consulta Tag di rete.

    • VPC_NETWORK: il nome della tua rete VPC

    • PRIORITY: un numero intero compreso tra 0 e 65535. Ad esempio, 0 imposta la priorità più alta.

  3. Consenti il traffico del connettore alla risorsa che deve ricevere il traffico del connettore.

    Utilizza i flag allow e target-tags per creare una regola firewall in entrata che abbia come target la risorsa nella tua rete VPC a cui vuoi che il connettore VPC acceda. Imposta la priorità per questa regola su un valore inferiore rispetto alla priorità della regola creata nel passaggio precedente.

    gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOL \
--source-tags=VPC_CONNECTOR_NETWORK_TAG \
--direction=INGRESS \
--network=VPC_NETWORK \
--target-tags=RESOURCE_TAG \
--priority=PRIORITY

    Sostituisci quanto segue:

    • RULE_NAME: il nome della nuova regola firewall. Ad esempio, allow-vpc-connector-for-select-resources.

    • PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono tcp o udp. Ad esempio, tcp:80,udp consente il traffico TCP tramite la porta 80 e il traffico UDP. Per saperne di più, consulta la documentazione relativa al flag allow.

    • VPC_CONNECTOR_NETWORK_TAG: il tag di rete del connettore universale se vuoi limitare l'accesso per tutti i connettori (inclusi quelli creati in futuro) o il tag di rete univoco se vuoi limitare l'accesso per un connettore specifico. Deve corrispondere al tag di rete che hai specificato nel passaggio precedente.

      • Tag di rete universale: vpc-connector

      • Tag di rete univoco: vpc-connector-REGION-CONNECTOR_NAME

        Sostituisci:

        • REGION: la regione del connettore che vuoi limitare
        • CONNECTOR_NAME: il nome del connettore che vuoi limitare

      Per saperne di più sui tag di rete del connettore, consulta Tag di rete.

    • VPC_NETWORK: il nome della tua rete VPC

    • RESOURCE_TAG: il tag di rete per la risorsa VPC a cui vuoi che il connettore VPC acceda

    • PRIORITY: un numero intero inferiore alla priorità impostata nel passaggio precedente. Ad esempio, se imposti la priorità della regola che hai creato nel passaggio precedente su 990, prova 980.

Per saperne di più sui flag obbligatori e facoltativi per la creazione di regole firewall, consulta la documentazione relativa a gcloud compute firewall-rules create.

Intervallo CIDR

I passaggi seguenti mostrano come creare regole in entrata che limitano l'accesso di un connettore alla tua rete VPC in base all'intervallo CIDR del connettore.

  1. Assicurati di disporre delle autorizzazioni necessarie per inserire regole firewall. Devi disporre di uno dei seguenti ruoli Identity and Access Management (IAM):

  2. Nega il traffico del connettore nella rete VPC.

    Crea una regola firewall in entrata con priorità inferiore a 1000 nella tua rete VPC per negare l'accesso in entrata dall'intervallo CIDR del connettore. Questa operazione sostituisce la regola firewall implicita che l'accesso VPC serverless crea per impostazione predefinita nella tua rete VPC.

    gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--rules=PROTOCOL \
--source-ranges=VPC_CONNECTOR_CIDR_RANGE \
--direction=INGRESS \
--network=VPC_NETWORK \
--priority=PRIORITY

    Sostituisci quanto segue:

    • RULE_NAME: il nome della nuova regola firewall. Ad esempio, deny-vpc-connector.

    • PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono tcp o udp. Ad esempio, tcp:80,udp consente il traffico TCP tramite la porta 80 e il traffico UDP. Per saperne di più, consulta la documentazione relativa al flag allow.

      Per motivi di sicurezza e convalida, puoi anche configurare regole di negazione per bloccare il traffico per i seguenti protocolli non supportati: ah, all, esp, icmp, ipip e sctp.

    • VPC_CONNECTOR_CIDR_RANGE: l'intervallo CIDR per il connettore di cui stai limitando l'accesso

    • VPC_NETWORK: il nome della tua rete VPC

    • PRIORITY: un numero intero compreso tra 0 e 65535. Ad esempio, 0 imposta la priorità più alta.

  3. Consenti il traffico del connettore alla risorsa che deve ricevere il traffico del connettore.

    Utilizza i flag allow e target-tags per creare una regola firewall in entrata che abbia come target la risorsa nella tua rete VPC a cui vuoi che il connettore VPC acceda. Imposta la priorità per questa regola su un valore inferiore rispetto alla priorità della regola creata nel passaggio precedente.

    gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOL \
--source-ranges=VPC_CONNECTOR_CIDR_RANGE \
--direction=INGRESS \
--network=VPC_NETWORK \
--target-tags=RESOURCE_TAG \
--priority=PRIORITY

    Sostituisci quanto segue:

    • RULE_NAME: il nome della nuova regola firewall. Ad esempio, allow-vpc-connector-for-select-resources.

    • PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono tcp o udp. Ad esempio, tcp:80,udp consente il traffico TCP tramite la porta 80 e il traffico UDP. Per saperne di più, consulta la documentazione relativa al flag allow.

    • VPC_CONNECTOR_CIDR_RANGE: l'intervallo CIDR per il connettore di cui stai limitando l'accesso

    • VPC_NETWORK: il nome della tua rete VPC

    • RESOURCE_TAG: il tag di rete per la risorsa VPC a cui vuoi che il connettore VPC acceda

    • PRIORITY: un numero intero inferiore alla priorità impostata nel passaggio precedente. Ad esempio, se imposti la priorità della regola che hai creato nel passaggio precedente su 990, prova 980.

Per saperne di più sui flag obbligatori e facoltativi per la creazione di regole firewall, consulta la documentazione relativa a gcloud compute firewall-rules create.

Limita l'accesso utilizzando regole in uscita

I passaggi riportati di seguito mostrano come creare regole in uscita per limitare l'accesso al connettore.

  1. Assicurati di disporre delle autorizzazioni necessarie per inserire regole firewall. Devi disporre di uno dei seguenti ruoli Identity and Access Management (IAM):

  2. Nega il traffico in uscita dal connettore.

    Crea una regola firewall in uscita sul connettore di accesso VPC serverless per impedirgli di inviare traffico in uscita, ad eccezione delle risposte stabilite, a qualsiasi destinazione.

    gcloud compute firewall-rules create RULE_NAME \
--action=DENY \
--rules=PROTOCOL \
--direction=EGRESS \
--target-tags=VPC_CONNECTOR_NETWORK_TAG \
--network=VPC_NETWORK \
--priority=PRIORITY

    Sostituisci quanto segue:

    • RULE_NAME: il nome della nuova regola firewall. Ad esempio, deny-vpc-connector.

    • PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono tcp o udp. Ad esempio, tcp:80,udp consente il traffico TCP tramite la porta 80 e il traffico UDP. Per saperne di più, consulta la documentazione relativa al flag allow.

      Per motivi di sicurezza e convalida, puoi anche configurare regole di negazione per bloccare il traffico per i seguenti protocolli non supportati: ah, all, esp, icmp, ipip e sctp.

    • VPC_CONNECTOR_NETWORK_TAG: il tag di rete del connettore VPC universale se vuoi che la regola venga applicata a tutti i connettori VPC esistenti e a tutti i connettori VPC creati in futuro. In alternativa, il tag di rete del connettore VPC univoco se vuoi controllare un connettore specifico.

    • VPC_NETWORK: il nome della tua rete VPC

    • PRIORITY: un numero intero compreso tra 0 e 65535. Ad esempio, 0 imposta la priorità più alta.

  3. Consenti il traffico in uscita quando la destinazione si trova nell'intervallo CIDR a cui vuoi che il connettore acceda.

    Utilizza i flag allow e destination-ranges per creare una regola firewall che consenta il traffico in uscita dal connettore per un intervallo di destinazione specifico. Imposta l'intervallo di destinazione sull'intervallo CIDR della risorsa nella tua rete VPC a cui vuoi che il connettore possa accedere. Imposta la priorità per questa regola su un valore inferiore rispetto alla priorità della regola creata nel passaggio precedente.

    gcloud compute firewall-rules create RULE_NAME \
--allow=PROTOCOL \
--destination-ranges=RESOURCE_CIDR_RANGE \
--direction=EGRESS \
--network=VPC_NETWORK \
--target-tags=VPC_CONNECTOR_NETWORK_TAG \
--priority=PRIORITY

    Sostituisci quanto segue:

    • RULE_NAME: il nome della nuova regola firewall. Ad esempio, allow-vpc-connector-for-select-resources.

    • PROTOCOL: uno o più protocolli che vuoi consentire dal connettore VPC. I protocolli supportati sono tcp o udp. Ad esempio, tcp:80,udp consente il traffico TCP tramite la porta 80 e il traffico UDP. Per saperne di più, consulta la documentazione relativa al flag allow.

    • RESOURCE_CIDR_RANGE: l'intervallo CIDR per il connettore di cui stai limitando l'accesso

    • VPC_NETWORK: il nome della tua rete VPC

    • VPC_CONNECTOR_NETWORK_TAG: il tag di rete del connettore VPC universale se vuoi che la regola venga applicata a tutti i connettori VPC esistenti e a tutti i connettori VPC creati in futuro. In alternativa, il tag di rete del connettore VPC univoco se vuoi controllare un connettore specifico. Se hai utilizzato il tag di rete univoco nel passaggio precedente, utilizza il tag di rete univoco.

    • PRIORITY: un numero intero inferiore alla priorità impostata nel passaggio precedente. Ad esempio, se imposti la priorità della regola che hai creato nel passaggio precedente su 990, prova 980.

Per saperne di più sui flag obbligatori e facoltativi per la creazione di regole firewall, consulta la documentazione relativa a gcloud compute firewall-rules create.

Gestisci il connettore

Per impostazione predefinita, solo le richieste a determinate destinazioni di indirizzi IPv4 interni (incluse le destinazioni IPv4 interne risolte dalle risposte DNS) vengono instradate tramite un connettore di accesso VPC serverless. In alcuni casi, tuttavia, potresti voler instradare tutte le richieste in uscita dal tuo servizio o job alla tua rete VPC.

L'accesso VPC serverless supporta solo il routing del traffico IPv4. Il traffico IPv6 non è supportato, anche se nella tua rete VPC sono presenti route IPv6.

Per controllare il routing delle richieste in uscita dal tuo servizio o job, puoi impostare l'uscita VPC su una delle seguenti opzioni:

  • Instrada al VPC solo richieste a IP privati: valore predefinito. Il traffico viene instradato tramite la rete VPC solo se i pacchetti che trasportano il traffico hanno destinazioni che corrispondono a quanto segue:

    I pacchetti verso qualsiasi altra destinazione vengono instradati da Cloud Run a internet (non tramite una rete VPC).

  • Instrada tutto il traffico al VPC: il traffico viene sempre instradato attraverso la rete VPC associata al connettore, per tutte le destinazioni dei pacchetti. Devi utilizzare questa opzione nelle seguenti circostanze:

    • Se devi inviare traffico a intervalli di subnet VPC con intervalli di indirizzi IP esterni utilizzati privatamente. Per saperne di più sugli intervalli di subnet VPC, consulta Intervalli IPv4 validi nella panoramica delle subnet.
    • Se devi inviare traffico a un endpoint Private Service Connect per le API di Google il cui indirizzo è un indirizzo IP esterno utilizzato privatamente. Per saperne di più sugli endpoint Private Service Connect per le API di Google, consulta Accedi alle API Google tramite endpoint.
    • Se devi inviare traffico a qualsiasi altra destinazione con indirizzo IP esterno utilizzato privatamente instradabile all'interno della rete VPC del connettore. Esempi di altre destinazioni che coprono indirizzi IP esterni utilizzati privatamente potrebbero includere intervalli di subnet di peering (e intervalli di subnet di peering creati da intervalli di indirizzi IP allocati per i servizi) e le destinazioni accessibili utilizzando route personalizzate nella rete VPC.

    Se la tua rete VPC include una route predefinita, i pacchetti possono comunque essere instradati a internet dopo essere stati elaborati dal connettore se configuri un gateway Cloud NAT per fornire servizi NAT alla subnet utilizzata dal connettore. Questi pacchetti sono soggetti alle route nella tua rete VPC e alle regole firewall che si applicano alla tua rete VPC. Puoi utilizzare la configurazione di route e firewall per controllare il traffico in uscita da internet per tutte le richieste in uscita inviate dalla tua funzione tramite un connettore di accesso VPC serverless.

Controlla il traffico del servizio in uscita

Puoi specificare un'impostazione di uscita VPC utilizzando la consoleGoogle Cloud , Google Cloud CLI o un file YAML quando crei un nuovo servizio o esegui il deployment di una nuova revisione:

Console

  1. Nella console Google Cloud , vai a Cloud Run:

    Vai a Cloud Run

  2. Seleziona Servizi dal menu di navigazione di Cloud Run e fai clic su Esegui il deployment del container per configurare un nuovo servizio. Se stai configurando un servizio esistente, fai clic sul servizio, quindi su Modifica ed esegui il deployment della nuova revisione.

  3. Se stai configurando un nuovo servizio, compila la pagina delle impostazioni iniziali del servizio, poi fai clic su Container, volumi, networking, sicurezza per espandere la pagina di configurazione del servizio.

  4. Fai clic sulla scheda Networking.

    immagine

    • Dopo aver selezionato un connettore VPC, seleziona Instrada al VPC solo richieste a IP privati o Instrada tutto il traffico al VPC.

  5. Fai clic su Crea o Esegui il deployment.

gcloud

Per specificare un'impostazione di uscita, utilizza il flag --vpc-egress. Puoi specificare un'impostazione di uscita durante il deployment:

gcloud run deploy SERVICE \
--image IMAGE_URL \
--vpc-connector CONNECTOR_NAME \
--vpc-egress EGRESS_SETTING

Sostituisci quanto segue:

  • SERVICE: il nome del servizio.
  • IMAGE_URL: un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest. Se utilizzi Artifact Registry, il repository REPO_NAME deve essere già stato creato. L'URL segue il formato LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG .
  • CONNECTOR_NAME: il nome del connettore.
  • EGRESS_SETTING: un valore dell'impostazione di uscita:
    • all-traffic: invia tutto il traffico in uscita tramite il connettore.
    • private-ranges-only: Invia solo il traffico agli indirizzi interni tramite il connettore VPC.

Puoi anche aggiornare un servizio esistente e modificare l'impostazione di uscita:

gcloud run services update SERVICE --vpc-egress EGRESS_SETTING

Sostituisci quanto segue:

YAML

  1. Se stai creando un nuovo servizio, salta questo passaggio. Se stai aggiornando un servizio esistente, scarica la relativa configurazione YAML:

    gcloud run services describe SERVICE --format export > service.yaml

  2. Aggiungi o aggiorna l'attributo run.googleapis.com/vpc-access-egress in annotations sotto l'attributo spec di primo livello:

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: SERVICE
spec:
  template:
    metadata:
      annotations:
        run.googleapis.com/vpc-access-connector: CONNECTOR_NAME
        run.googleapis.com/vpc-access-egress: EGRESS_SETTING
      name: REVISION

    Sostituisci quanto segue:

    • SERVICE: il nome del tuo servizio Cloud Run.
    • CONNECTOR_NAME: il nome del connettore. L'attributo run.googleapis.com/vpc-access-connector è obbligatorio quando si specifica un'impostazione di uscita.
    • EGRESS_SETTING: uno dei seguenti valori:
      • all-traffic: invia tutto il traffico in uscita tramite il connettore.
      • private-ranges-only: Invia solo il traffico agli indirizzi interni tramite il connettore VPC.
      • REVISION con un nuovo nome di revisione o eliminalo (se presente). Se fornisci un nuovo nome di revisione, questo deve soddisfare i seguenti criteri:
        • Inizia con SERVICE-
        • Contiene solo lettere minuscole, numeri e -
        • Non termina con -
        • Non supera i 63 caratteri

  3. Crea o aggiorna il servizio utilizzando il seguente comando:

    gcloud run services replace service.yaml

Controllare il traffico dei job in uscita

Puoi specificare un'impostazione di uscita VPC utilizzando la consoleGoogle Cloud , Google Cloud CLI o un file YAML quando crei o aggiorni un job:

Console

  1. Nella console Google Cloud , vai alla pagina Job di Cloud Run:

    Vai a Cloud Run

  2. Fai clic su Esegui il deployment del container per compilare la pagina delle impostazioni iniziali del job. Se stai configurando un job esistente, seleziona il job, quindi fai clic su Visualizza e modifica la configurazione del job.

  3. Fai clic su Container, volumi, connessioni, sicurezza per espandere la pagina delle proprietà del job.

  4. Fai clic sulla scheda Connessioni.

    immagine

    • Dopo aver selezionato un connettore, seleziona Instrada solo le richieste a IP privati al VPC o Instrada tutto il traffico al VPC.

  5. Fai clic su Crea o Aggiorna.

gcloud

Per specificare un'impostazione di uscita, utilizza il flag --vpc-egress. Puoi specificare un'impostazione di uscita durante la procedura di deployment del job:

gcloud run jobs create JOB \
--image IMAGE_URL \
--vpc-connector CONNECTOR_NAME \
--vpc-egress EGRESS_SETTING

Sostituisci quanto segue:

  • JOB: il nome del job.
  • IMAGE_URL: un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest. Se utilizzi Artifact Registry, il repository REPO_NAME deve essere già stato creato. L'URL segue il formato LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG .
  • CONNECTOR_NAME: il nome del connettore.
  • EGRESS_SETTING: un valore dell'impostazione di uscita:
    • all-traffic: invia tutto il traffico in uscita tramite il connettore.
    • private-ranges-only: Invia solo il traffico agli indirizzi interni tramite il connettore VPC.

Puoi anche aggiornare un job esistente e modificare l'impostazione di uscita:

gcloud run jobs update JOB --vpc-egress EGRESS_SETTING

Sostituisci quanto segue:

YAML

Puoi scaricare e visualizzare una configurazione del job esistente utilizzando il comando gcloud run jobs describe --format export, che produce risultati puliti in formato YAML. Puoi quindi modificare i campi descritti di seguito e caricare il file YAML modificato utilizzando il comando gcloud run jobs replace. Assicurati di modificare solo i campi come documentato.

  1. Sostituisci il job con la nuova configurazione utilizzando il seguente comando:

    gcloud run jobs replace job.yaml

  2. Aggiungi o aggiorna l'attributo run.googleapis.com/vpc-access-egress in annotations sotto l'attributo spec di primo livello:

    apiVersion: serving.knative.dev/v1
  kind: Job
  metadata:
    name: JOB
  spec:
    template:
      metadata:
        annotations:
          run.googleapis.com/vpc-access-connector: CONNECTOR_NAME
          run.googleapis.com/vpc-access-egress: EGRESS_SETTING

    Sostituisci quanto segue:

    • JOB: il nome del job Cloud Run.
    • CONNECTOR_NAME: il nome del connettore. L'attributo run.googleapis.com/vpc-access-connector è obbligatorio quando si specifica un'impostazione di uscita.
    • EGRESS_SETTING: uno dei seguenti valori:
      • all-traffic: invia tutto il traffico in uscita tramite il connettore.
      • private-ranges-only: Invia solo il traffico agli indirizzi interni tramite il connettore VPC.

  3. Sostituisci il job con la nuova configurazione utilizzando il seguente comando:

    gcloud run jobs replace job.yaml

Visualizzare le impostazioni del connettore

Puoi visualizzare le impostazioni attuali del connettore di accesso VPC serverless per il tuo servizio o job utilizzando la console Google Cloud o lo strumento a riga di comando gcloud:

Console

  1. Vai a Cloud Run

  2. Fai clic sul servizio o sul lavoro che ti interessa per aprire la pagina dei dettagli.

    • Per un servizio, fai clic sulla scheda Revisioni.

    • Per un job, fai clic sulla scheda Configurazione.

L'impostazione del connettore di accesso VPC serverless è elencata nella scheda Networking.

gcloud

  1. Utilizza questo comando per visualizzare le impostazioni del servizio:

    gcloud run services describe SERVICE

  2. Utilizza il seguente comando per visualizzare le impostazioni del job:

    gcloud run jobs describe JOB

  3. Individua l'impostazione del connettore di accesso VPC serverless nella configurazione restituita.

Disconnettersi da una rete VPC

Disconnettere un servizio

Puoi disconnettere un servizio dalla tua rete VPC utilizzando la console Google Cloud o Google Cloud CLI:

Console

  1. Nella console Google Cloud , vai a Cloud Run:

    Vai a Cloud Run

  2. Seleziona Servizi dal menu di navigazione di Cloud Run e fai clic su Esegui il deployment del container per configurare un nuovo servizio. Se stai configurando un servizio esistente, fai clic sul servizio, quindi su Modifica ed esegui il deployment della nuova revisione.

  3. Se stai configurando un nuovo servizio, compila la pagina delle impostazioni iniziali del servizio, poi fai clic su Container, volumi, networking, sicurezza per espandere la pagina di configurazione del servizio.

  4. Fai clic sulla scheda Networking.

    immagine

    • Nel campo Rete, seleziona Nessuna per disconnettere il servizio da una rete VPC.

  5. Fai clic su Crea o Esegui il deployment.

gcloud

Per disconnettere un servizio, utilizza il comando gcloud run services update con il seguente flag:

gcloud run services update SERVICE --clear-vpc-connector
  • Sostituisci SERVICE con il nome del servizio.

I connettori continuano a generare addebiti anche se non hanno traffico e sono disconnessi. Per i dettagli, consulta Prezzi. Se non hai più bisogno del connettore, assicurati di eliminarlo per evitare la fatturazione continua.

Scollegare un job

Puoi disconnettere un job dalla tua rete VPC utilizzando la console Google Cloud o Google Cloud CLI:

Console

  1. Nella console Google Cloud , vai alla pagina Job di Cloud Run:

    Vai a Cloud Run

  2. Fai clic su Esegui il deployment del container per compilare la pagina delle impostazioni iniziali del job. Se stai configurando un job esistente, seleziona il job, quindi fai clic su Visualizza e modifica la configurazione del job.

  3. Fai clic su Container, volumi, connessioni, sicurezza per espandere la pagina delle proprietà del job.

  4. Fai clic sulla scheda Connessioni.

    immagine

    • Nel campo Rete, seleziona Nessuna per disconnettere il job da una rete VPC.

  5. Fai clic su Crea o Aggiorna.

gcloud

Per disconnettere un job, utilizza il comando gcloud run jobs update con il seguente flag:

--clear-vpc-connector

gcloud run jobs update JOB --clear-vpc-connector

Sostituisci JOB con il nome del job.

I connettori continuano a generare addebiti anche se non hanno traffico e sono disconnessi. Per i dettagli, consulta Prezzi. Se non hai più bisogno del connettore, assicurati di eliminarlo per evitare la fatturazione continua.

Aggiorna un connettore

Puoi aggiornare e monitorare i seguenti attributi del connettore utilizzando la console Google Cloud , Google Cloud CLI o l'API:

  • Tipo di macchina (istanza)
  • Numero minimo e massimo di istanze
  • Throughput recente, numero di istanze e utilizzo della CPU

Aggiorna tipo di macchina

Console

  1. Vai alla pagina di panoramica di Accesso VPC serverless.

    Vai ad Accesso VPC serverless

  2. Seleziona il connettore da modificare e fai clic su Modifica.

  3. Nell'elenco Tipo di istanza, seleziona il tipo di macchina (istanza) che preferisci. Per scoprire di più sui tipi di macchina disponibili, consulta la documentazione su Throughput e scalabilità.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Per aggiornare il tipo di macchina del connettore, esegui questo comando nel terminale: 

    gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --machine-type=MACHINE_TYPE
     Sostituisci quanto segue:

    • CONNECTOR_NAME: il nome del connettore
    • REGION: il nome della regione del connettore
    • MACHINE_TYPE: il tipo di macchina che preferisci. Per scoprire di più sui tipi di macchina disponibili, consulta la documentazione su Throughput e scalabilità.

Diminuisci il numero minimo e massimo di istanze

Per diminuire il numero minimo e massimo di istanze, completa le seguenti operazioni:

  1. Crea un nuovo connettore con i valori che preferisci.
  2. Aggiorna il servizio o la funzione per utilizzare il nuovo connettore.
  3. Elimina il vecchio connettore dopo aver spostato il traffico.

Aumenta il numero minimo e massimo di istanze

Console

  1. Vai alla pagina di panoramica di Accesso VPC serverless.

    Vai ad Accesso VPC serverless

  2. Seleziona il connettore da modificare e fai clic su Modifica.

  3. Nel campo Numero minimo di istanze, seleziona il numero minimo di istanze che preferisci.

    Il valore più piccolo possibile per questo campo è il valore attuale. Il valore più grande possibile per questo campo è il valore attuale nel campo Numero massimo di istanze meno 1. Ad esempio, se il valore nel campo Numero massimo di istanze è 8, il valore massimo possibile per il campo Numero massimo di istanze è 7.

  4. Nel campo Numero massimo di istanze, seleziona il numero massimo di istanze che preferisci.

    Il valore più piccolo possibile per questo campo è il valore attuale. Il valore massimo possibile per questo campo è 10.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Per aumentare il numero minimo o massimo di istanze per il connettore, esegui questo comando nel terminale: 

    gcloud beta compute networks vpc-access connectors update CONNECTOR_NAME --region=REGION --min-instances=MIN_INSTANCES --max-instances=MAX_INSTANCES
     Sostituisci quanto segue:

    • CONNECTOR_NAME: il nome del connettore
    • REGION: il nome della regione del connettore
    • MIN_INSTANCES: il numero minimo di istanze che preferisci.
      • Il valore più piccolo possibile per questo campo è il valore attuale di min_instances. Per trovare il valore attuale, consulta Trova i valori degli attributi correnti.
      • Il valore massimo possibile per questo campo è il valore attuale di max_instances meno 1, perché min_instances deve essere inferiore a max_instances. Ad esempio, se max_instances è 8, il valore più grande possibile per questo campo è 7. Se il connettore utilizza il valore predefinito per max-instances di 10, il valore massimo possibile di questo campo è 9. Per trovare il valore di max-instances, consulta Trova i valori degli attributi correnti.

    • MAX_INSTANCES:

      • Il valore più piccolo possibile per questo campo è il valore attuale di max_instances. Per trovare il valore attuale, consulta Trova i valori degli attributi correnti.
      • Il valore massimo possibile per questo campo è 10.

      Se vuoi aumentare solo il numero minimo di istanze, ma non quello massimo, devi comunque specificare il numero massimo di istanze. Allo stesso modo, se vuoi aggiornare solo il numero massimo di istanze, ma non quello minimo, devi comunque specificare il numero minimo di istanze. Per mantenere il numero minimo o massimo di istanze al valore attuale, specifica il valore attuale. Per trovare il valore attuale, consulta Trova i valori degli attributi correnti.

Trova i valori degli attributi correnti

Per trovare i valori degli attributi correnti per il connettore, esegui il seguente comando nel terminale: 

gcloud compute networks vpc-access connectors describe CONNECTOR_NAME --region=REGION --project=PROJECT
 Sostituisci quanto segue:

  • CONNECTOR_NAME: il nome del connettore
  • REGION: il nome della regione del connettore
  • PROJECT: il nome del progetto Google Cloud

Monitora l'utilizzo dei connettori

Il monitoraggio dell'utilizzo nel tempo può aiutarti a determinare quando modificare le impostazioni di un connettore. Ad esempio, se l'utilizzo della CPU ha un picco improvviso, potresti provare ad aumentare il numero massimo di istanze per ottenere risultati migliori. In alternativa, se stai raggiungendo il limite di throughput, potresti decidere di passare a un tipo di macchina più grande.

Puoi visualizzare i grafici relativi al throughput, al numero di istanze e alle metriche di utilizzo della CPU del connettore nel tempo utilizzando la console Google Cloud :

  1. Vai alla pagina di panoramica di Accesso VPC serverless.

    Vai ad Accesso VPC serverless

  2. Fai clic sul nome del connettore che vuoi monitorare.

  3. Seleziona il numero di giorni da visualizzare, compreso tra 1 e 90 giorni.

  4. Nel grafico Throughput, tieni il puntatore sopra il grafico per visualizzare il throughput recente del connettore.

  5. Nel grafico Numero di istanze, tieni il puntatore sopra il grafico per visualizzare il numero di istanze utilizzate di recente dal connettore.

  6. Nel grafico Utilizzo CPU, tieni il puntatore sopra il grafico per visualizzare l'utilizzo recente della CPU del connettore. Il grafico mostra l'utilizzo della CPU distribuito tra le istanze per il 50°, 95° e 99° percentile.

Elimina un connettore

Prima di eliminare un connettore, devi rimuoverlo da tutte le risorse serverless che lo utilizzano ancora. L'eliminazione di un connettore prima di rimuoverlo dalle risorse serverless ti impedisce di eliminare la rete VPC in un secondo momento.

Per gli utenti del VPC condiviso che configurano i connettori nel progetto host del VPC condiviso, puoi utilizzare il comando gcloud compute networks vpc-access connectors describe per elencare i progetti in cui sono presenti risorse serverless che utilizzano un determinato connettore.

Per eliminare un connettore, utilizza la console Google Cloud o Google Cloud CLI:

Console

  1. Vai alla pagina di panoramica di Accesso VPC serverless nella consoleGoogle Cloud :

    Vai ad Accesso VPC serverless

  2. Seleziona il connettore da eliminare.

  3. Fai clic su Elimina.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Utilizza il seguente comando gcloud per eliminare un connettore:

    gcloud compute networks vpc-access connectors delete CONNECTOR_NAME --region=REGION

    Sostituisci quanto segue:

    • CONNECTOR_NAME con il nome del connettore che vuoi eliminare
    • REGION con la regione in cui si trova il connettore

Gestire i vincoli personalizzati per i progetti

Questa sezione descrive come creare vincoli personalizzati per i connettori di accesso VPC serverless e applicarli a livello di progetto. Per informazioni sulle policy dell'organizzazione personalizzate, vedi Creazione e gestione delle policy dell'organizzazione personalizzate.

La policy dell'organizzazioneGoogle Cloud offre un controllo centralizzato e programmatico sulle risorse della tua organizzazione. In qualità di amministratore della policy dell'organizzazione, puoi definire una policy dell'organizzazione, ovvero un insieme di limitazioni chiamate vincoli che si applicano alle risorseGoogle Cloud e ai discendenti di queste risorse nella gerarchia delle risorseGoogle Cloud . Puoi applicare le policy dell'organizzazione a livello di organizzazione, cartella o progetto.

La policy dell'organizzazione fornisce vincoli predefiniti per vari serviziGoogle Cloud . Tuttavia, se cerchi un controllo più granulare e personalizzabile sui campi specifici limitati nelle policy dell'organizzazione, puoi anche creare policy dell'organizzazione personalizzate.

Vantaggi

L'accesso VPC serverless consente di scrivere un numero qualsiasi di vincoli personalizzati utilizzando la maggior parte dei campi configurati dall'utente nell'API Serverless VPC Access. Ad esempio, puoi creare un vincolo personalizzato che specifica le subnet che un connettore di accesso VPC serverless può utilizzare.

Una volta applicate, le richieste che violano una policy che applica un vincolo personalizzato mostrano un messaggio di errore nella gcloud CLI e nei log di accesso VPC serverless. Il messaggio di errore contiene l'ID vincolo e la descrizione del vincolo personalizzato violato.

Ereditarietà delle policy

Per impostazione predefinita, le policy dell'organizzazione vengono ereditate dai discendenti delle risorse su cui applichi la policy. Ad esempio, se applichi una policy a una cartella, Google Cloud applica la policy a tutti i progetti contenuti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.

Limitazioni

La specifica del tipo di macchina, del numero minimo di istanze o del numero massimo di istanze non è supportata.

Prima di iniziare

Assicurati di conoscere il tuo ID organizzazione.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Organization Policy Administrator (roles/orgpolicy.policyAdmin) sulla risorsa organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea un vincolo personalizzato

Un vincolo personalizzato è definito in un file YAML dalle risorse, dai metodi, dalle condizioni e dalle azioni supportati dal servizio a cui stai applicando la policy dell'organizzazione. Le condizioni per i vincoli personalizzati vengono definite utilizzando il Common Expression Language (CEL). Per saperne di più su come creare condizioni nei vincoli personalizzati utilizzando il CEL, consulta la sezione relativa al CEL di Creazione e gestione di vincoli personalizzati.

Per creare un file YAML per un vincolo personalizzato di accesso VPC serverless, consulta il seguente esempio:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- vpcaccess.googleapis.com/Connector
methodTypes:
- CREATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione, ad esempio 123456789.

  • CONSTRAINT_NAME: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempio custom.defaultNetworkConstraint. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso.

  • CONDITION: una condizione CEL scritta in base a una rappresentazione di una risorsa di servizio supportata. Questo campo ha una lunghezza massima di 1000 caratteri. Ad esempio "resource.network == default".

  • ACTION: l'azione da eseguire se condition è soddisfatta. Può essere ALLOW o DENY.

  • DISPLAY_NAME: un nome facile da ricordare per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri.

  • DESCRIPTION: una descrizione chiara del vincolo da visualizzare come messaggio di errore in caso di violazione della policy, ad esempio "Require network to not be set to default." Questo campo ha una lunghezza massima di 2000 caratteri.

Per saperne di più su come creare un vincolo personalizzato, consulta Definizione di vincoli personalizzati.

Configura un vincolo personalizzato

Console

Per creare un vincolo personalizzato:

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel selettore di progetti, seleziona il progetto per cui vuoi impostare la policy dell'organizzazione.
  3. Fai clic su Vincolo personalizzato.
  4. Nella casella Nome visualizzato, inserisci un nome leggibile per il vincolo. Questo nome viene utilizzato nei messaggi di errore e può essere impiegato per l'identificazione e il debug. Non utilizzare PII o dati sensibili nei nomi visualizzati perché potrebbero essere esposti nei messaggi di errore. Questo campo può contenere fino a 200 caratteri.
  5. Nella casella ID vincolo, inserisci il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato può contenere solo lettere (maiuscole e minuscole) o numeri, ad esempio custom.disableGkeAutoUpgrade. Questo campo può contenere fino a 70 caratteri, senza contare il prefisso (custom.), ad esempio organizations/123456789/customConstraints/custom. Non includere PII o dati sensibili nell'ID vincolo perché potrebbero essere esposti nei messaggi di errore.
  6. Nella casella Descrizione, inserisci una descrizione leggibile del vincolo. Questa descrizione viene utilizzata come messaggio di errore in caso di violazione della policy. Includi dettagli sul motivo della violazione della policy e su come risolverla. Non includere PII o dati sensibili nella descrizione perché potrebbero essere esposti nei messaggi di errore. Questo campo può contenere fino a 2000 caratteri.
  7. Nella casella Tipo di risorsa, seleziona il nome della risorsa REST Google Cloud contenente l'oggetto e il campo che vuoi limitare, ad esempio container.googleapis.com/NodePool. La maggior parte dei tipi di risorse supporta fino a 20 vincoli personalizzati. Se tenti di creare altri vincoli personalizzati, l'operazione non riesce.
  8. In Metodo di applicazione forzata, seleziona se applicare il vincolo a un metodo REST CREATE o a entrambi i metodi CREATE e UPDATE. Se applichi il vincolo con il metodo UPDATE a una risorsa che viola il vincolo, le modifiche a quella risorsa vengono bloccate dalla policy dell'organizzazione, a meno che la modifica non risolva la violazione.

    9. Non tutti i servizi Google Cloud supportano entrambi i metodi. Per visualizzare i metodi supportati per ogni servizio, individualo in Servizi supportati.

  9. Per definire una condizione, fai clic su Modifica condizione.
    1. Nel riquadro Aggiungi condizione, crea una condizione CEL che fa riferimento a una risorsa di servizio supportata, ad esempio resource.management.autoUpgrade == false. Questo campo può contenere fino a 1000 caratteri. Per informazioni dettagliate sull'utilizzo del CEL, consulta Common Expression Language. Per saperne di più sulle risorse di servizio che puoi utilizzare nei vincoli personalizzati, consulta Servizi supportati dai vincoli personalizzati.
    2. Fai clic su Salva.
  10. In Azione, seleziona se consentire o negare il metodo valutato se la condizione viene soddisfatta.

    11. L'azione per negare fa sì che l'operazione di creazione o aggiornamento della risorsa viene bloccata se la condizione restituisce il valore true.

    L'azione per consentire fa sì che l'operazione di creazione o aggiornamento della risorsa è consentita solo se la condizione restituisce il valore true. Tutti gli altri casi, tranne quelli elencati esplicitamente nella condizione, vengono bloccati.

  11. Fai clic su Crea vincolo.

    12. Dopo aver inserito un valore in ogni campo, a destra viene visualizzata la configurazione YAML equivalente per questo vincolo personalizzato.

gcloud

  1. Per creare un vincolo personalizzato, crea un file YAML utilizzando il seguente formato: 
    2.       name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
      resourceTypes:
      - RESOURCE_NAME
      methodTypes:
      - CREATE
      condition: "CONDITION"
      actionType: ACTION
      displayName: DISPLAY_NAME
      description: DESCRIPTION

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID della tua organizzazione, ad esempio 123456789.
    • CONSTRAINT_NAME: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato può contenere solo lettere (maiuscole e minuscole) o numeri, ad esempio custom.defaultNetworkConstraint. Questo campo può contenere fino a 70 caratteri.
    • RESOURCE_NAME: il nome completo della risorsa Google Cloudcontenente l'oggetto e il campo che vuoi limitare. Ad esempio, vpcaccess.googleapis.com/Connector.
    • CONDITION: una condizione CEL scritta in base a una rappresentazione di una risorsa di servizio supportata. Questo campo può contenere fino a 1000 caratteri. Ad esempio, "resource.network == default".

      • Per saperne di più sulle risorse disponibili in base alle quali scrivere condizioni, consulta Risorse supportate.

    • ACTION: l'azione da eseguire se condition è soddisfatta. Può essere solo ALLOW.

      • L'azione ALLOW (Consenti) indica che, se la condizione restituisce il valore true, l'operazione di creazione o aggiornamento della risorsa è consentita. Ciò significa anche che tutti gli altri casi, tranne quello elencato esplicitamente nella condizione, sono bloccati.

    • DISPLAY_NAME: un nome facile da ricordare per il vincolo. Questo campo può contenere fino a 200 caratteri.
    • DESCRIPTION: una descrizione chiara del vincolo da visualizzare come messaggio di errore in caso di violazione della policy. Questo campo può contenere fino a 2000 caratteri.
  2. Dopo aver creato il file YAML per un nuovo vincolo personalizzato, devi configurarlo per renderlo disponibile per le policy dell'organizzazione. Per impostare un vincolo personalizzato, utilizza il comando gcloud org-policies set-custom-constraint: 
    3.         gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    Sostituisci CONSTRAINT_PATH con il percorso completo del file del vincolo personalizzato. Ad esempio, /home/user/customconstraint.yaml.

    Al termine di questa operazione, i vincoli personalizzati sono disponibili come policy dell'organizzazione nel tuo elenco di policy dell'organizzazione Google Cloud .

  3. Per verificare che il vincolo personalizzato esista, utilizza il comando gcloud org-policies list-custom-constraints: 
    4.       gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    Sostituisci ORGANIZATION_ID con l'ID della risorsa della tua organizzazione.

    Per saperne di più, consulta Visualizzazione delle policy dell'organizzazione.

Applica un vincolo personalizzato

Puoi applicare un vincolo creando una policy dell'organizzazione che lo richiami e poi applicando questa policy dell'organizzazione a una risorsa Google Cloud .

Console

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel selettore di progetti, seleziona il progetto per cui vuoi impostare la policy dell'organizzazione.
  3. Nell'elenco della pagina Policy dell'organizzazione, seleziona il vincolo per visualizzare la pagina Dettagli policy relativa al vincolo in questione.
  4. Per configurare la policy dell'organizzazione per questa risorsa, fai clic su Gestisci policy.
  5. Nella pagina Modifica policy, seleziona Esegui override della policy dell'unità organizzativa principale.
  6. Fai clic su Aggiungi una regola.
  7. Nella sezione Applicazione, seleziona se questa policy dell'organizzazione viene applicata o meno.
  8. (Facoltativo) Per rendere la policy dell'organizzazione condizionale su un tag, fai clic su Aggiungi condizione. Tieni presente che, se aggiungi una regola condizionale a una policy dell'organizzazione, devi aggiungere almeno una regola non condizionale, altrimenti la policy non può essere salvata. Per saperne di più, consulta Impostazione di una policy dell'organizzazione con tag.
  9. Fai clic su Testa modifiche per simulare l'effetto della policy dell'organizzazione. Per saperne di più, consulta Testa le modifiche alla policy dell'organizzazione con Policy Simulator.
  10. Per applicare la policy dell'organizzazione in modalità dry run, fai clic su Imposta policy dry run. Per saperne di più, consulta Crea una policy dell'organizzazione in modalità dry run.
  11. Dopo aver verificato che la policy dell'organizzazione in modalità dry run funziona come previsto, imposta la policy attiva facendo clic su Imposta policy.

gcloud

  1. Per creare una policy dell'organizzazione con regole booleane, crea un file YAML della policy che faccia riferimento al vincolo: 
    2.         name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
        spec:
          rules:
          - enforce: true
        
        dryRunSpec:
          rules:
          - enforce: true

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto in cui vuoi applicare il vincolo.
    • CONSTRAINT_NAME: il nome definito per il vincolo personalizzato. Ad esempio: custom.defaultNetworkConstraint.
  2. Per applicare la policy dell'organizzazione in modalità dry run, esegui il seguente comando con il flag dryRunSpec: 
    3.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=dryRunSpec

    Sostituisci POLICY_PATH con il percorso completo del file YAML della policy dell'organizzazione. L'applicazione della policy può richiedere fino a 15 minuti.

  3. Dopo aver verificato che la policy dell'organizzazione in modalità dry run funziona come previsto, imposta la policy attiva con il comando org-policies set-policy e il flag spec: 
    4.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=spec

    Sostituisci POLICY_PATH con il percorso completo del file YAML della policy dell'organizzazione. L'applicazione della policy può richiedere fino a 15 minuti.

Testa il vincolo personalizzato

Per testare l'esempio che limita le impostazioni di ingresso, implementa un connettore nel progetto con la rete impostata su default:

gcloud compute networks vpc-access connectors create org-policy-test \
    --project=PROJECT_ID \
    --region=REGION_ID \
    --network=default

L'output è il seguente:

Operation denied by custom org policies: ["customConstraints/custom.defaultNetworkConstraint": "Require network to not be set to default."]

Esempi di policy dell'organizzazione personalizzate per casi d'uso comuni

La tabella seguente fornisce esempi di vincoli personalizzati che potresti trovare utili con i connettori di accesso VPC serverless:

Descrizione Sintassi del vincolo
Richiedi che i connettori di accesso VPC serverless possano utilizzare solo una rete specifica. 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.allowlistNetworks
    resourceTypes:
    - vpcaccess.googleapis.com/Connector
    methodTypes:
    - CREATE
    condition: "resource.network == 'allowlisted-network'"
    actionType: ALLOW
    displayName: allowlistNetworks
    description: Require connectors to use a specific network.
Descrizione Sintassi del vincolo
Richiedi che i connettori di accesso VPC serverless abbiano accesso solo a una subnet specifica. 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictSubnetForProject
    resourceTypes:
    - vpcaccess.googleapis.com/Connector
    methodTypes:
    - CREATE
    condition: "resource.subnet.name == 'allocated-subnet'"
    actionType: ALLOW
    displayName: restrictSubnetForProject
    description: This project is only allowed to use the subnet "allocated-subnet".

Risoluzione dei problemi

Autorizzazioni service account

Per eseguire operazioni nel tuo progetto Google Cloud , l'accesso VPC serverless utilizza il service account Serverless VPC Access Service Agent. L'indirizzo email di questo service account ha il seguente formato:

service-PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com

Per impostazione predefinita, questo service account dispone del ruolo Serverless VPC Access Service Agent (roles/vpcaccess.serviceAgent). Le operazioni di accesso VPC serverless potrebbero non riuscire se modifichi le autorizzazioni di questo account.

Scarse prestazioni di rete o utilizzo elevato della CPU quando inattivo

L'utilizzo di un singolo connettore per migliaia di istanze può causare un peggioramento delle prestazioni e un utilizzo elevato della CPU inattiva. Per risolvere il problema, distribuisci i servizi tra più connettori.

Problemi con la MTU personalizzata

Se riscontri problemi con una MTU personalizzata, assicurati di utilizzare l'impostazione MTU predefinita per Cloud Run.

Errori

Errore Il service account richiede il ruolo Service Agent

Se utilizzi il vincolo della policy dell'organizzazione Limita utilizzo servizi delle risorse per bloccare Cloud Deployment Manager (deploymentmanager.googleapis.com), potresti visualizzare il seguente messaggio di errore:

Serverless VPC Access service account (service-<PROJECT_NUMBER>@gcp-sa-vpcaccess.iam.gserviceaccount.com) needs Serverless VPC Access Service Agent role in the project.

Imposta la policy dell'organizzazione per rimuovere Deployment Manager dalla lista bloccata o aggiungerlo alla lista consentita.

Errore di creazione del connettore

Se la creazione di un connettore genera un errore, prova a procedere nel seguente modo:

  • Specifica un intervallo IP interno RFC 1918 che non si sovrapponga a nessuna prenotazione di indirizzi IP esistente nella rete VPC.
  • Concedi al tuo progetto l'autorizzazione per utilizzare le immagini VM di Compute Engine dal progetto con ID serverless-vpc-access-images. Per saperne di più su come aggiornare la policy dell'organizzazione di conseguenza, consulta Imposta limitazioni di accesso alle immagini.

Impossibile accedere alle risorse

Se hai specificato un connettore, ma non riesci comunque ad accedere alle risorse nella tua rete VPC, assicurati che non siano presenti regole firewall nella tua rete VPC con una priorità inferiore a 1000 che negano l'entrata dall'intervallo di indirizzi IP del connettore.

Se configuri un connettore in un progetto di servizio VPC condiviso, assicurati che le regole firewall consentano l'entrata dalla tua infrastruttura serverless al connettore.

Errore di connessione rifiutata

Se ricevi errori connection refused o connection timeout che peggiorano le prestazioni della rete, le tue connessioni potrebbero aumentare senza limiti nelle chiamate della tua applicazione serverless. Per limitare il numero massimo di connessioni utilizzate per istanza, utilizza una libreria client che supporti i pool di connessioni. Per esempi dettagliati su come utilizzare i pool di connessioni, vedi Gestisci le connessioni ai database.

Errore di risorsa non trovata

Quando elimini una rete VPC o una regola firewall, potresti visualizzare un messaggio simile al seguente: The resource "aet-uscentral1-subnet--1-egrfw" was not found.

Per informazioni su questo errore e sulla relativa soluzione, consulta Errore di risorsa non trovata nella documentazione sulle regole firewall VPC.

Passaggi successivi