שליחת תעבורה של serverless לרשת VPC
מומלץ להפעיל בשירות או בעבודה של Cloud Run את האפשרות לשלוח תנועה לרשת VPC באמצעות יציאה ישירה מ-VPC – בלי שנדרש מחבר של חיבור לרשת (VPC) מאפליקציית serverless.
עם זאת, אם אי אפשר להשתמש ביציאה ישירה מרשת ה-VPC, אפשר להשתמש בחיבור לרשת (VPC) מאפליקציית serverless כדי להתחבר ישירות לרשת ה-VPC מסביבות serverless כמו Cloud Run ו-App Engine. הגדרת חיבור לרשת (VPC) מאפליקציית serverless מאפשרת לסביבת ה-serverless לשלוח בקשות לרשת ה-VPC באמצעות DNS פנימי וכתובות IP פנימיות (כפי שמוגדר ב-RFC 1918 וב-RFC 6598). התשובות לבקשות האלה מבוססות גם על הרשת הפנימית שלכם.
יש שני יתרונות עיקריים לשימוש בחיבור לרשת (VPC) מאפליקציית serverless:
- בקשות שנשלחות לרשת ה-VPC שלכם אף פעם לא נחשפות לאינטרנט.
- התקשורת דרך חיבור לרשת (VPC) מאפליקציית serverless יכולה להיות עם השהיה נמוכה יותר בהשוואה לאינטרנט.
התכונה 'חיבור לרשת (VPC) מאפליקציית serverless' שולחת תנועה פנימית מרשת ה-VPC לסביבת ה-serverless רק אם התנועה הזו היא תגובה לבקשה שנשלחה מסביבת ה-serverless דרך מחבר ה-VPC של ה-serverless. מידע על שליחת תנועה פנימית אחרת זמין במאמר בנושא גישה פרטית ל-Google.
כדי לגשת למשאבים בכמה רשתות VPC וGoogle Cloud פרויקטים, צריך גם להגדיר VPC משותף או קישור בין רשתות VPC שכנות.
איך זה עובד
החיבור לרשת (VPC) מאפליקציית serverless מבוסס על משאב שנקרא מחבר. מחבר מטפל בתנועה בין סביבת ה-serverless לבין רשת ה-VPC. כשיוצרים מחבר בGoogle Cloud פרויקט, מצמידים אותו לרשת ולמיקום ספציפיים של VPC. לאחר מכן תוכלו להגדיר את השירותים בלי שרת (serverless) כך שישתמשו במחבר לתנועה יוצאת ברשת.
טווחי כתובות IP
יש שתי אפשרויות להגדרת טווח כתובות ה-IP למחבר:
- תת-רשת: אפשר לציין
/28תת-רשת קיימת אם אין משאבים שכבר משתמשים בתת-הרשת. - טווח CIDR: אפשר לציין טווח CIDR שלא נמצא בשימוש
/28. כשמציינים את הטווח הזה, חשוב לוודא שהוא לא חופף לטווחים אחרים של CIDR שנמצאים בשימוש.
תעבורת נתונים שנשלחת דרך המחבר לרשת ה-VPC מגיעה מרשת המשנה או מטווח ה-CIDR שאתם מציינים.
כללי חומת אש
כללים לחומת אש נחוצים כדי שהמחבר יפעל ויוכל לתקשר עם משאבים אחרים, כולל משאבים ברשת שלכם.
כללי חומת אש למחברים ברשתות VPC עצמאיות או בפרויקטים מארחים של VPC משותף
אם יוצרים מחבר ברשת VPC עצמאית או בפרויקט המארח של רשת VPC משותפת, Google Cloud יוצר את כל כללי חומת האש הנדרשים. כללי חומת האש האלה קיימים רק כל עוד קיים המחבר המשויך. הם מוצגים במסוף Google Cloud , אבל אי אפשר לערוך או למחוק אותם.
| מטרת כלל חומת האש | פורמט השם | סוג | פעולה | עדיפות | פרוטוקולים ויציאות |
|---|---|---|---|---|---|
מאפשר תעבורה למכונות וירטואליות של המחבר מטווחים של בדיקות תקינות (35.191.0.0/16, 130.211.0.0/22) ביציאות מסוימות |
aet-CONNECTOR_REGION-CONNECTOR_NAME-hcfw |
תעבורת נתונים נכנסת (Ingress) | אישור | 100 | TCP:667 |
מאפשר תנועה למכונות הווירטואליות של המחבר מהתשתית הבסיסית בלי שרת (serverless) של Google (35.199.224.0/19) ביציאות מסוימות |
aet-CONNECTOR_REGION-CONNECTOR_NAME-rsgfw |
תעבורת נתונים נכנסת (Ingress) | אישור | 100 | TCP:667, UDP:665-666, ICMP |
מאפשר תעבורה ממכונות וירטואליות של המחבר אל התשתית הבסיסית בלי שרת (serverless) של Google (35.199.224.0/19) ביציאות מסוימות |
aet-CONNECTOR_REGION-CONNECTOR_NAME-earfw |
תעבורת נתונים יוצאת (egress) | אישור | 100 | TCP:667, UDP:665-666, ICMP |
חסימת תעבורה ממכונות וירטואליות של המחבר אל תשתית הבסיס בלי שרת (serverless) של Google (35.199.224.0/19) לכל היציאות האחרות |
aet-CONNECTOR_REGION-CONNECTOR_NAME-egrfw |
תעבורת נתונים יוצאת (egress) | דחייה | 100 | TCP:1-666, 668-65535, UDP:1-664, 667-65535 |
| מאפשרת את כל התנועה ממכונות וירטואליות של המחבר (על סמך כתובת ה-IP שלהן) לכל המשאבים ברשת ה-VPC של המחבר | aet-CONNECTOR_REGION-CONNECTOR_NAME-sbntfw |
תעבורת נתונים נכנסת (Ingress) | אישור | 1000 | TCP, UDP, ICMP |
| מאפשרת את כל התנועה ממופעי ה-VM של מחבר (על סמך תג הרשת שלהם) לכל המשאבים ברשת ה-VPC של המחבר | aet-CONNECTOR_REGION-CONNECTOR_NAME-tagfw |
תעבורת נתונים נכנסת (Ingress) | אישור | 1000 | TCP, UDP, ICMP |
אפשר להגביל עוד יותר את הגישה של המחבר למשאבים ברשת ה-VPC של היעד באמצעות כללי חומת אש של VPC או כללים במדיניות חומת האש. כשמוסיפים כללים לחומת האש, חשוב לוודא שהעדיפות שלהם גבוהה מ-100, כדי שלא יהיה ביניהם לבין כללים מוסתרים לחומת האש שהוגדרו על ידי Google Cloudקונפליקט. מידע נוסף זמין במאמר הגבלת הגישה של מכונות וירטואליות של מחברים למשאבי רשת VPC.
כללי חומת אש למחברים בפרויקטים של שירות VPC משותף
אם יוצרים מחבר בפרויקט שירות והמחבר מכוון לרשת VPC משותפת בפרויקט המארח, צריך להוסיף כללי חומת אש כדי לאפשר את התנועה הנדרשת להפעלת המחבר.
אפשר גם להגביל את הגישה של המחבר למשאבים ברשת ה-VPC של היעד באמצעות כללי חומת אש של VPC או כללים במדיניות חומת האש. מידע נוסף זמין במאמר גישה למשאבי VPC.
תפוקה ושינוי קנה מידה
מחבר של חיבור לרשת (VPC) מאפליקציית serverless מורכב ממופעי מחבר. מופעים של מחברים יכולים להשתמש באחד מכמה סוגי מכונות. סוגי מכונות גדולים יותר מספקים תפוקה גבוהה יותר. אפשר לראות את קצב העברת הנתונים המשוער ואת העלות של כל סוג מכונה במסוף Google Cloud ובטבלה הבאה.
| סוג המכונה | טווח התפוקה המשוערת ב-Mbps* | מחיר (מופע של מחבר בתוספת עלויות של העברת נתונים יוצאת ברשת) |
|---|---|---|
f1-micro |
100-500 | תמחור של f1-micro |
e2-micro |
200-1000 | התמחור של e2-micro |
e2-standard-4 |
3200-16000 | תמחור רגיל של e2 |
* טווח התפוקה המקסימלי הוא אומדן שמבוסס על פעולה רגילה. התפוקה בפועל תלויה בגורמים רבים. רוחב הפס של רשת מכונות ה-VM
אפשר להגדיר את המספר המינימלי והמקסימלי של מופעי מחבר שמותרים למחבר. הערך המינימלי חייב להיות לפחות 2. הערך המקסימלי יכול להיות עד 10, והוא חייב להיות גדול מהערך המינימלי. אם לא מציינים את מספר המכונות המינימלי והמקסימלי למחבר, חלים ערכי ברירת המחדל: מינימום 2 ומקסימום 10. יכול להיות שמחבר יחרוג באופן זמני מהערך שהוגדר למספר המופעים המקסימלי כש-Google מבצעת תחזוקה דו-שבועית, כמו עדכוני אבטחה. במהלך התחזוקה, יכול להיות שיוספו מופעים נוספים כדי להבטיח שירות ללא הפרעות. אחרי התחזוקה, המחברים חוזרים למספר המופעים שהיה להם לפני תקופת התחזוקה. בדרך כלל התחזוקה נמשכת כמה דקות. כדי לצמצם את ההשפעה במהלך תחזוקה, כדאי להשתמש במאגרי חיבורים ולא להסתמך על חיבורים שנמשכים יותר מדקה. מופעים מפסיקים לקבל בקשות דקה לפני הכיבוי.
החיבור לרשת (VPC) מאפליקציית serverless מרחיב באופן אוטומטי את מספר המופעים במחבר ככל שהתנועה גדלה. המופעים שנוספו הם מהסוג שציינתם למחבר. אי אפשר לשלב בין סוגי מכונות בחיבורים. אי אפשר להקטין את מספר המחברים. כדי למנוע ממחברים להתרחב יותר ממה שרוצים, מגדירים את המספר המקסימלי של המופעים למספר נמוך. אם מחבר הנתונים שלכם התרחב ואתם מעדיפים שיהיו פחות מופעים, צריך ליצור מחדש את מחבר הנתונים עם מספר המופעים הנדרש.
דוגמה
אם בוחרים f1-micro כסוג המכונה ומשתמשים בערכי ברירת המחדל למספר המינימלי והמקסימלי של המופעים (2 ו-10 בהתאמה), קצב העברת הנתונים המשוער של המחבר הוא 100Mbps במספר המינימלי של המופעים שמוגדר כברירת מחדל ו-500Mbps במספר המקסימלי של המופעים שמוגדר כברירת מחדל.
תרשים תפוקה
אפשר לעקוב אחרי קצב העברת הנתונים הנוכחי בדף הפרטים של מחבר בGoogle Cloud מסוף. בתרשים Throughput בדף הזה מוצגת תצוגה מפורטת של מדדי התפוקה של המחבר.
תגים ברשת
תגי רשת של Serverless VPC Access מאפשרים לכם להפנות למחברי VPC בכללי חומת אש ובנתיבים.
כל מחבר של חיבור לרשת (VPC) מאפליקציית serverless מקבל באופן אוטומטי את שני תגי הרשת הבאים (לפעמים נקראים תגי מופע):
תג רשת אוניברסלי (
vpc-connector): חל על כל המחברים הקיימים ועל כל המחברים שייווצרו בעתיד.תג רשת ייחודי (
vpc-connector-REGION-CONNECTOR_NAME): רלוונטי למחבר CONNECTOR_NAME באזור REGION.
אי אפשר למחוק את תגי הרשת האלה. אי אפשר להוסיף תגי רשת חדשים. משתמשים בתגי רשת כדי להגביל את הגישה של מכונת ה-VM של המחבר למשאבי VPC.
תרחישים לדוגמה
אתם יכולים להשתמש ב-Serverless VPC Access כדי לגשת למכונות וירטואליות של Compute Engine, למופעים של Memorystore ולכל משאב אחר עם DNS פנימי או כתובת IP פנימית. דוגמאות:
- אתם משתמשים ב-Memorystore כדי לאחסן נתונים בשירות ללא שרת.
- עומסי העבודה שלכם ב-Serverless משתמשים בתוכנות של צד שלישי שאתם מריצים במכונה וירטואלית ב-Compute Engine.
- אתם מריצים שירות לקצה העורפי בקבוצת מופעי מכונה מנוהלים ב-Compute Engine, ואתם צריכים שהסביבה בלי שרת (serverless) תתקשר עם הבק-אנד הזה בלי חשיפה לאינטרנט.
- הסביבה ללא שרתים צריכה לגשת לנתונים ממסד הנתונים המקומי דרך Cloud VPN.
דוגמה
בדוגמה הזו, בפרויקט Google Cloud פועלים כמה שירותים בסביבות ללא שרת (serverless) הבאות: App Engine, פונקציות Cloud Run ו-Cloud Run.
נוצר מחבר של חיבור לרשת (VPC) מאפליקציית serverless והוקצה לו טווח כתובות ה-IP 10.8.0.0/28. לכן, כתובת ה-IP של המקור לכל בקשה שנשלחת מהמחבר היא בטווח הזה.
יש שני משאבים ברשת ה-VPC. לאחד מהמשאבים יש כתובת IP פנימית 10.0.0.4. למשאב השני יש כתובת IP פנימית 10.1.0.2, והוא נמצא באזור אחר ממחבר החיבור לרשת (VPC) מאפליקציית serverless.
המחבר מטפל בשליחה ובקבלה של הבקשות והתגובות ישירות מכתובות ה-IP הפנימיות האלה. כשהמחבר שולח בקשות למשאב עם כתובת IP פנימית 10.1.0.2, חלים עלויות על העברת נתונים יוצאת כי המשאב הזה נמצא באזור אחר.
כל הבקשות והתגובות בין הסביבות ללא שרתים לבין המשאבים ברשת ה-VPC עוברות באופן פנימי.
בקשות שנשלחות לכתובות IP חיצוניות עדיין עוברות דרך האינטרנט ולא משתמשות במחבר Serverless VPC Access.
התרשים הבא מציג את ההגדרה הזו.
תמחור
למידע על תמחור של חיבור לרשת (VPC) מאפליקציית serverless, אפשר לעיין בקטע חיבור לרשת (VPC) מאפליקציית serverless בדף התמחור של VPC.
שירותים נתמכים
בטבלה הבאה אפשר לראות לאילו סוגי רשתות אפשר להגיע באמצעות Serverless VPC Access:
| שירות קישוריות | תמיכה בחיבור לרשת (VPC) מאפליקציית serverless |
|---|---|
| VPC | |
| VPC משותף | |
| רשתות מדור קודם | |
| רשתות שמחוברות ל-Cloud Interconnect | |
| רשתות שמחוברות ל-Cloud VPN | |
| רשתות שמחוברות ל-VPC Network Peering |
בטבלה הבאה מפורטות סביבות ה-serverless שתומכות בחיבור לרשת (VPC) מאפליקציית serverless:
| סביבה ללא שרת | תמיכה בחיבור לרשת (VPC) מאפליקציית serverless |
|---|---|
| Cloud Run | |
| מילוי בקשות מסוג Knative* | |
| פונקציות Cloud Run | |
| הסביבה הסטנדרטית של App Engine | כל סביבות זמן הריצה מלבד PHP 5 |
| הסביבה הגמישה של App Engine* |
*אם רוצים להשתמש בכתובות IP פנימיות כשמתחברים מ-Knative serving או מהסביבה הגמישה של App Engine, לא צריך להגדיר גישה ל-VPC ללא שרת. חשוב לוודא שהשירות שלכם נפרס ברשת VPC שיש לה קישוריות למשאבים שאתם רוצים לגשת אליהם.
פרוטוקולי רשת נתמכים
בטבלה הבאה מתוארים פרוטוקולי הרשת שנתמכים על ידי מחברי חיבור לרשת (VPC) מאפליקציית serverless.
| פרוטוקול | ניתוב רק של בקשות לכתובות IP פרטיות דרך המחבר | ניתוב כל התנועה דרך המחבר |
|---|---|---|
| TCP | ||
| UDP | ||
| ICMP | התמיכה קיימת רק לכתובות IP חיצוניות |
אזורים נתמכים
יש תמיכה במחברי גישה ל-VPC מאפליקציית serverless בכל אזור שבו יש תמיכה ב-Cloud Run, בפונקציות Cloud Run או בסביבה רגילה של App Engine.
כדי לראות את האזורים הזמינים:
gcloud compute networks vpc-access locations list
המאמרים הבאים
- הוראות להגדרת חיבור לרשת (VPC) מאפליקציית serverless מופיעות במאמר הגדרת חיבור לרשת (VPC) מאפליקציית serverless.