Как подключить AppEngine Standard Gen2 к локальному ресурсу, используя бессерверный VPC и облачный VPN?

Question

У меня есть проект настройки, в котором я могу подключиться к локальному ресурсу через AppEngine Flexible, запуск экземпляров в сети VPC, который настроен с подключением Cloud VPN к моему локальному брандмауэру.

С выпуском Serverless VPCдля региона us-east1 я хотел заменить свою установку на использование экземпляров AppEngine Standard Gen2 вместо гибкой для экономии средств. Я установил бессерверный VPC для региона / сети, в котором размещено мое приложение AppEngine, и настроено мое облачное VPN-подключение, соответственно обновил мой app.yaml и выдвинул новую версию.

Я получаю сообщения об ошибках тайм-аута для новой версии, которая пытается использовать Serverless VPC для подключения к моему локальному ресурсу.

Некоторый контекст:

• Сеть VPC называется «портал» и настроена на режим «Авто» (автоматическое создание подсетей для каждого региона)
• Cloud VPNнастроен как классический VPN в «портальной» сети с маршрутизацией на основе маршрутов в регионе us-east1, подключаясь к моей удаленной локальной подсети 192.168.11.0/24.
• В сети VPC существует маршрут для192.168.11.0/24 для использования Cloud VPN. Я установил в качестве следующего прыжка (автоматически создается)
• С указанным выше приложения AppEngine Flexible в сети «портала» могут подключаться кмой локальный ресурс, как и любая другая виртуальная машина Compute Engine в сети "portal"
• Я установил разъем Serverless VPC в регионе us-east1 с подсетью 10.8.0.0/28

Мне не очень понятно, как работает Serverless VPC, поэтому я не знаю, как вообще начать устранение неполадок. Когда я нажимаю на правило маршрута для пункта назначения 192.168.11.0/24, я вижу экземпляры AppEngine Flexible, перечисленные вместе с некоторыми отмеченными экземплярами «serverless-vpc-access», которые отображаются в другой подсети, но с использованием 10.8.0.0/28 IP-адресов.

Должна ли эта конфигурация работать? Если нет, какие изменения мне нужно внести, чтобы поддержать это?

Answer 1

Назначение соединителя VPC без сервера состоит в том, чтобы разрешить подключение стандарта App Engine к вашей сети VPC, поскольку среда App Engine Standard размещается и управляется Google и не является частью вашей сети VPC.

Более подробную информацию можно найти здесь: [https://cloud.google.com/vpc/docs/configure-serverless-vpc-access].

При этом вам следует проверить следующее:

1. Убедитесь, чточто вы добавили новую подсеть (/ 28) в локальные локальные маршруты с вашим VPN-шлюзом в качестве следующего перехода. Поскольку вы используете маршрутизацию на основе маршрутов, в селекторах трафика в VPN ничего не нужно делать. Убедитесь, что ваш локальный брандмауэр настроен на прием соединения туда и обратно с новой конфигурацией (/28).

2. Хотя это, вероятно, не относится к вам, я просто хотел указатьчто связь через Serverless коннектор VPC со стандартной средой App Engine невозможна, если она не установлена ​​на том же исходном tcp-соединении, которое исходило из того же самого App Engine (установлен TCP).

Ваша конфигурация, как вы описали, определенно возможна. Как уже упоминалось, есть только несколько вещей, которые необходимо проверить, чтобы убедиться, что он работает.

Answer 2

Ваша проблема (скорее всего) вызвана статической маршрутизацией. Есть ли у вас маршрут для обратного трафика, поступающего из VPN, идущего на разъем VPC? Посмотрите на маршруты, определенные для VPN.