无服务器 VPC 访问通道连接Redis

上张贴辰, 吴发表回复

作者:MeshCloud脉时云公有云架构师王明立

引言

通过无服务器 VPC 访问通道,您可以从无服务器环境(例如 Cloud Run、App Engine 或 Cloud Functions)直接连接到 Virtual Private Cloud 网络。通过配置无服务器 VPC 访问通道,无服务器环境可以使用内部 DNS 和内部 IP 地址向 VPC 网络发送请求。对这些请求的响应也使用您的内部网络。

使用无服务器 VPC 访问通道有两个主要的好处:

  • 发送到 VPC 网络的请求绝不会向互联网公开。
  • 与互联网相比,通过无服务器 VPC 访问通道进行的通信延迟时间更短。

整体架构

无服务器 VPC 访问通道连接Redis

技术简介

无服务器 VPC 访问通道基于名为连接器的资源。连接器会处理无服务器环境与 VPC 网络之间的流量。在 Google Cloud 项目中创建连接器后,将其连接到特定的 VPC 网络和地区。然后,您可以配置无服务器服务,将此连接器用于出站网络流量。

IP 地址范围

您可以通过两种方式为连接器设置 IP 地址范围:

  • 子网:如果没有资源在使用现有的 /28 子网,则可以指定该子网。
  • CIDR 范围:您可以指定未使用的 /28 CIDR 范围。请确保此范围不与任何已在使用的 CIDR 范围重叠。

通过连接器发送到 VPC 网络的流量来自您指定的子网或 CIDR 范围

目标

只有当内部流量是对从无服务器环境通过无服务器 VPC 访问通道连接器发送的请求的响应时,无服务器 VPC 访问通道才会将此内部流量发送到无服务器环境

准备工作

  • 规划好的各服务使用的网段
  • 拥有创建各个资源的权限

实施步骤

  • 进入VPC network > 点击VPC networks > Create a VPC network
无服务器 VPC 访问通道连接Redis
  • 创建分配给服务使用的网段
无服务器 VPC 访问通道连接Redis

创建连接

无服务器 VPC 访问通道连接Redis
  • 创建好VPC后,进入Serverless VPC access,创建基于无服务的VPC连接器
无服务器 VPC 访问通道连接Redis
  • 创建后端Redis实例
无服务器 VPC 访问通道连接Redis
  • 配置Cloud function 使用Serverless VPC连接后端服务

以Python为例部署从 Cloud Functions 建立与 Redis 实例的连接,并每次触发函数时,示例代码都会增加一个 Redis 计数器。

git clone https://github.com/GoogleCloudPlatform/python-docs-samples

cd python-docs-samples/functions/memorystore/redis

cat main.py

import os

import redis

redis_host = os.environ.get('REDISHOST', 'localhost')
redis_port = int(os.environ.get('REDISPORT', 6379))
redis_client = redis.StrictRedis(host=redis_host, port=redis_port)

def visit_count(request):
    value = redis_client.incr('visits', 1)
    return 'Visit count: {}'.format(value)

将示例部署到 Cloud Functions

gcloud functions deploy visit_count \
--runtime python37 \
--trigger-http \
--region [REGION] \
--vpc-connector projects/[PROJECT_ID]/locations/[REGION]/connectors/[CONNECTOR_NAME] \
--set-env-vars REDISHOST=[REDIS_IP],REDISPORT=[REDIS_PORT]
  • [PROJECT_ID] 是 Google Cloud 项目 ID。
  • [REGION] 是您要部署应用的区域。
  • [CONNECTOR_NAME] 是连接器的名称。
  • [REDIS_IP] 和 [REDIS_PORT] 是 Redis 实例的 IP 地址和端口号。

函数部署完成后,通过向函数的网址发送 GET 请求来查看访问次数增加的情况:

https://[REGION]-[PROJECT_ID].cloudfunctions.net/visit_count

验证

访问Cloud Function链接看到计数增加

无服务器 VPC 访问通道连接Redis

可以看到Cloud Function监控

无服务器 VPC 访问通道连接Redis

常见问题

  • 指定与 VPC 网络中预留的任何现有 IP 地址均不重叠的 RFC 1918 内部 IP 地址范围。
  • 向您的项目授予权限,让它能使用 ID 为

serverless-vpc-access-images 的项目中的 Compute Engine 虚拟机映像。如需了解如何相应地更新组织政策,请参阅设置映像访问权限限制。

  • 设置

constraints/compute.vmCanIpForward 组织政策以允许虚拟机启用 IP 转发。

如果您已指定连接器,但仍无法访问 VPC 网络中的资源:

  • 确保您的 VPC 网络上没有优先级低于 1000 的防火墙规则会拒绝来自连接器 IP 范围的入站流量

发表评论

您的电子邮箱地址不会被公开。