Envie tráfego sem servidor para uma rede de VPC
Recomendamos que ative o seu serviço ou tarefa do Cloud Run para enviar tráfego para uma rede VPC através da saída da VPC direta, sem necessidade de um conetor do Acesso a VPC sem servidor.
No entanto, se a saída da VPC direta não for uma opção para si, pode usar o acesso a VPC sem servidor para estabelecer ligação diretamente à sua rede VPC a partir de ambientes sem servidor, como o Cloud Run e o App Engine. A configuração do acesso a VPC sem servidor permite que o seu ambiente sem servidor envie pedidos para a sua rede VPC através de DNS interno e endereços IP internos (conforme definido pela RFC 1918 e pela RFC 6598). As respostas a estas solicitações também usam a sua rede interna.
Existem duas principais vantagens na utilização do Acesso a VPC sem servidor:
- Os pedidos enviados para a sua rede VPC nunca são expostos à Internet.
- A comunicação através do Acesso a VPC sem servidor pode ter uma latência inferior em comparação com a Internet.
O acesso a VPC sem servidor envia tráfego interno da sua rede VPC para o seu ambiente sem servidor apenas quando esse tráfego é uma resposta a um pedido que foi enviado do seu ambiente sem servidor através do conector de acesso a VPC sem servidor. Para saber como enviar outro tráfego interno, consulte o artigo Acesso privado à Google.
Para aceder a recursos em várias redes VPC e Google Cloud projetos, também tem de configurar a VPC partilhada ou o intercâmbio da rede da VPC.
Como funciona
O Acesso a VPC sem servidor baseia-se num recurso denominado conetor. Um conetor processa o tráfego entre o seu ambiente sem servidor e a sua rede VPC. Quando cria um conetor no seu Google Cloud projeto, associa-o a uma rede e a uma região de VPC específicas. Em seguida, pode configurar os seus serviços sem servidor para usar o conetor para tráfego de rede de saída.
Intervalos de endereços IP
Existem duas opções para definir o intervalo de endereços IP de um conector:
- Sub-rede: pode especificar uma
/28sub-rede existente se não existirem recursos que já usem a sub-rede. - Intervalo CIDR: pode especificar um
/28intervalo CIDR não usado. Quando especificar este intervalo, certifique-se de que não se sobrepõe a nenhum intervalo CIDR em utilização.
O tráfego enviado através do conector para a sua rede VPC tem origem na sub-rede ou no intervalo CIDR que especificar.
Regras de firewall
As regras de firewall são necessárias para o funcionamento do conector e a respetiva comunicação com outros recursos, incluindo recursos na sua rede.
Regras de firewall para conetores em redes VPC autónomas ou projetos anfitriões de VPC partilhada
Se criar um conector numa rede VPC autónoma ou no projeto anfitrião de uma rede VPC partilhada, Google Cloud cria todas as regras de firewall necessárias. Estas regras de firewall existem apenas enquanto o conector associado existir. São visíveis na consola do Google Cloud , mas não pode editá-los nem eliminá-los.
| Finalidade da regra de firewall | Formato do nome | Tipo | Ação | Prioridade | Protocolos e portas |
|---|---|---|---|---|---|
Permite o tráfego para as instâncias de VM do conetor a partir de intervalos de sondas de verificação de estado (35.191.0.0/16, 130.211.0.0/22) em determinadas portas |
aet-CONNECTOR_REGION-CONNECTOR_NAME-hcfw |
Entrada | Permitir | 100 | TCP:667 |
Permite o tráfego para as instâncias de VM do conetor a partir da infraestrutura sem servidor subjacente da Google (35.199.224.0/19) em determinadas portas |
aet-CONNECTOR_REGION-CONNECTOR_NAME-rsgfw |
Entrada | Permitir | 100 | TCP:667, UDP:665-666, ICMP |
Permite o tráfego das instâncias de VM do conetor para a infraestrutura sem servidor subjacente da Google (35.199.224.0/19) em determinadas portas |
aet-CONNECTOR_REGION-CONNECTOR_NAME-earfw |
Saída | Permitir | 100 | TCP:667, UDP:665-666, ICMP |
Bloqueia o tráfego das instâncias de VM do conector para a infraestrutura sem servidor subjacente da Google (35.199.224.0/19) para todas as outras portas |
aet-CONNECTOR_REGION-CONNECTOR_NAME-egrfw |
Saída | Recusar | 100 | TCP:1-666, 668-65535, UDP:1-664, 667-65535 |
| Permite todo o tráfego das instâncias de VM do conector (com base no respetivo endereço IP) para todos os recursos na rede VPC do conector | aet-CONNECTOR_REGION-CONNECTOR_NAME-sbntfw |
Entrada | Permitir | 1000 | TCP, UDP e ICMP |
| Permite todo o tráfego das instâncias de VM do conector (com base na respetiva etiqueta de rede) para todos os recursos na rede VPC do conector | aet-CONNECTOR_REGION-CONNECTOR_NAME-tagfw |
Entrada | Permitir | 1000 | TCP, UDP e ICMP |
Pode restringir ainda mais o acesso do conector aos recursos na respetiva rede VPC de destino através de regras de firewall da VPC ou regras em políticas de firewall. Quando adicionar regras de firewall, certifique-se de que usam uma prioridade superior a 100 para não entrarem em conflito com as regras de firewall ocultas definidas pelo Google Cloud. Para mais informações, consulte o artigo Restrinja o acesso da VM do conector aos recursos da rede VPC.
Regras de firewall para conetores em projetos de serviço de VPC partilhada
Se criar um conector num projeto de serviço e o conector segmentar uma rede de VPC partilhada no projeto anfitrião, tem de adicionar regras de firewall para permitir o tráfego necessário para o funcionamento do conector.
Também pode restringir o acesso do conector a recursos na respetiva rede VPC de destino através de regras de firewall da VPC ou regras em políticas de firewall. Para mais informações, consulte o artigo Acesso a recursos da VPC.
Débito e escalabilidade
Um conetor do Acesso a VPC sem servidor consiste em instâncias do conetor. As instâncias do conetor podem usar um de vários tipos de máquinas. Os tipos de máquinas maiores oferecem mais débito. Pode ver o débito estimado e o custo de cada tipo de máquina na Google Cloud consola e na tabela seguinte.
| Tipo de máquina | Intervalo de débito estimado em Mbps* | Preço (instância do conector mais custos de transferência de dados de saída da rede) |
|---|---|---|
f1-micro |
100-500 | Preços do f1-micro |
e2-micro |
200-1000 | Preços das instâncias e2-micro |
e2-standard-4 |
3200-16000 | Preços padrão e2 |
* Os intervalos de débito máximo são estimativas baseadas no funcionamento normal. A taxa de transferência real depende de vários fatores. Consulte a secção Largura de banda da rede de VMs.
Pode definir o número mínimo e máximo de instâncias do conetor permitidas para o seu conetor. O valor mínimo tem de ser, pelo menos, 2. O valor máximo pode ser, no máximo, 10 e tem de ser superior ao valor mínimo. Se não especificar o número mínimo e máximo de instâncias para o conetor, aplicam-se o mínimo predefinido de 2 e o máximo predefinido de 10. Um conetor pode exceder temporariamente o valor definido para o número máximo de instâncias quando a Google realiza manutenção quinzenal, como atualizações de segurança. Durante a manutenção, podem ser adicionadas instâncias adicionais para garantir um serviço ininterrupto. Após a manutenção, os conetores regressam ao mesmo número de instâncias que tinham antes do período de manutenção. Normalmente, a manutenção dura alguns minutos. Para reduzir o impacto durante a manutenção, use pools de ligações e não confie em ligações com uma duração superior a um minuto. As instâncias deixam de aceitar pedidos um minuto antes do encerramento.
O Acesso a VPC sem servidor aumenta automaticamente o número de instâncias no seu conetor à medida que o tráfego aumenta. As instâncias adicionadas são do tipo especificado para o conetor. Os conetores não podem misturar tipos de máquinas. Os conetores não são reduzidos. Para evitar que os conetores sejam expandidos mais do que o desejado, defina o número máximo de instâncias para um número baixo. Se o conetor tiver sido expandido e preferir ter menos instâncias, recrie o conetor com o número necessário de instâncias.
Exemplo
Se escolher f1-micro para o tipo de máquina e usar os valores predefinidos para o número mínimo e máximo de instâncias (2 e 10, respetivamente), a taxa de transferência estimada para o conetor é de 100 Mbps no número mínimo de instâncias predefinido e de 500 Mbps no número máximo de instâncias predefinido.
Gráfico de débito
Pode monitorizar a taxa de transferência atual na página de detalhes do conector na Google Cloud consola. O gráfico de débito nesta página apresenta uma vista detalhada das métricas de débito do conetor.
Etiquetas de rede
As etiquetas de rede do Acesso a VPC sem servidor permitem-lhe referir-se a conetores de VPC em regras de firewall e trajetos.
Cada conetor do Acesso a VPC sem servidor recebe automaticamente as seguintes duas etiquetas de rede (por vezes denominadas etiquetas de instância):
Etiqueta de rede universal (
vpc-connector): aplica-se a todos os conetores existentes e a quaisquer conetores criados no futuro.Etiqueta de rede exclusiva (
vpc-connector-REGION-CONNECTOR_NAME): aplica-se ao conector CONNECTOR_NAME na região REGION.
Não é possível eliminar estas etiquetas de rede. Não é possível adicionar novas etiquetas de rede. Use etiquetas de rede para restringir o acesso da VM do conetor aos recursos da VPC.
Exemplos de utilização
Pode usar o Acesso a VPC sem servidor para aceder a instâncias de VMs do Compute Engine, instâncias do Memorystore e quaisquer outros recursos com DNS interno ou endereço IP interno. Alguns exemplos:
- Usa o Memorystore para armazenar dados para um serviço sem servidor.
- As suas cargas de trabalho sem servidor usam software de terceiros que executa numa VM do Compute Engine.
- Executa um serviço de back-end num grupo de instâncias geridas no Compute Engine e precisa que o seu ambiente sem servidor comunique com este back-end sem exposição à Internet.
- O seu ambiente sem servidor precisa de aceder a dados da sua base de dados no local através da Cloud VPN.
Exemplo
Neste exemplo, um Google Cloud projeto está a executar vários serviços nos seguintes ambientes sem servidor: App Engine, funções do Cloud Run e Cloud Run.
Foi criado um conetor de acesso a VPC sem servidor e foi-lhe atribuído o intervalo de IP 10.8.0.0/28. Por conseguinte, o endereço IP de origem de qualquer pedido enviado a partir do conetor está neste intervalo.
Existem dois recursos na rede VPC. Um dos recursos tem o endereço IP interno 10.0.0.4. O outro recurso tem o endereço IP interno 10.1.0.2 e está numa região diferente do conetor do Acesso a VPC sem servidor.
O conector processa o envio e a receção dos pedidos e das respostas diretamente a partir destes endereços IP internos. Quando o conetor envia pedidos para o recurso com o endereço IP interno 10.1.0.2, aplicam-se custos de transferência de dados de saída porque esse recurso está numa região diferente.
Todos os pedidos e respostas entre os ambientes sem servidor e os recursos na rede VPC viajam internamente.
Os pedidos enviados para endereços IP externos continuam a viajar através da Internet e não usam o conetor do Acesso a VPC sem servidor.
O diagrama seguinte mostra esta configuração.
Preços
Para ver os preços do Acesso a VPC sem servidor, consulte a secção Acesso a VPC sem servidor na página de preços da VPC.
Serviços suportados
A tabela seguinte mostra os tipos de redes que pode alcançar através do Acesso a VPC sem servidor:
| Serviço de conetividade | Apoio técnico do Acesso a VPC sem servidor |
|---|---|
| VPC | |
| VPC partilhada | |
| Redes antigas | |
| Redes ligadas ao Cloud Interconnect | |
| Redes ligadas ao Cloud VPN | |
| Redes ligadas ao intercâmbio da rede da VPC |
A tabela seguinte mostra os ambientes sem servidor que suportam o acesso a VPC sem servidor:
| Ambiente sem servidor | Apoio técnico do Acesso a VPC sem servidor |
|---|---|
| Cloud Run | |
| Knative Serving* | |
| Funções do Cloud Run | |
| Ambiente padrão do App Engine | Todos os tempos de execução, exceto PHP 5 |
| Ambiente flexível do App Engine* |
*Se quiser usar endereços IP internos quando estabelecer ligação a partir do Knative serving ou do ambiente flexível do App Engine, não precisa de configurar o acesso a VPC sem servidor. Certifique-se apenas de que o seu serviço está implementado numa rede VPC com conetividade aos recursos que quer alcançar.
Protocolos de rede suportados
A tabela seguinte descreve os protocolos de rede suportados pelos conetores do Acesso a VPC sem servidor.
| Protocolo | Encaminhe apenas pedidos para IPs privados através do conetor | Encaminhar todo o tráfego através do conetor |
|---|---|---|
| TCP | ||
| UDP | ||
| ICMP | Apenas suportado para endereços IP externos |
Regiões suportadas
Os conetores do Acesso a VPC sem servidor são suportados em todas as regiões que suportam o Cloud Run, as funções do Cloud Run ou o ambiente padrão do App Engine.
Para ver as regiões disponíveis:
gcloud compute networks vpc-access locations list
O que se segue?
- Para configurar o Acesso a VPC sem servidor, consulte o artigo Configure o Acesso a VPC sem servidor.