引言：Cloud Run的無服務器優勢與網絡安全性挑戰

谷歌云Cloud Run作為完全托管的無服務器計算平臺，以其自動擴縮容和按使用付費的特性廣受歡迎。然而，當企業希望將Cloud Run服務部署在私有網絡（VPC）中并避免流量經過公網時，如何實現這一目標成為技術關鍵。本文將結合谷歌云的獨特優勢，詳細解析如何通過VPC網絡配置確保Cloud Run流量的私密性。

一、為何選擇谷歌云實現VPC無服務器訪問？

1. 全球級網絡基礎設施

谷歌擁有全球領先的私有光纖網絡，其VPC網絡支持跨區域低延遲互聯，為私有化部署Cloud Run提供物理層保障。

2. 原生無服務器網絡集成

谷歌云提供Serverless VPC Access專用組件，無需跳板機或復雜配置即可建立Cloud Run與VPC的安全通道。

3. 零信任安全架構

結合BeyondCorp安全模型，可在不依賴VPN的情況下實現基于身份的設備/服務訪問控制。

二、關鍵配置步驟：阻斷公網流量的技術方案

1. 創建Serverless VPC Access連接器

gcloud beta compute networks vpc-access connectors create private-connector \
--region=us-central1 \
--subnet=vpc-subnet \
--min-throughput=200 \
--max-throughput=300

此連接器將作為Cloud Run與VPC的專屬通道，建議部署在與Cloud Run相同的區域以減少延遲。

2. 配置Cloud Run網絡標簽

通過設置以下參數強制流量走向內網：

• --vpc-connector=private-connector
• --ingress=internal-and-cloud-load-balancing

3. VPC防火墻規則精細化控制

示例規則將拒絕所有非VPC來源的入站請求：

gcloud compute firewall-rules create deny-external \
--network=vpc-network \
--direction=INGRESS \
--action=DENY \
--rules=all \
--source-ranges=0.0.0.0/0 \
--priORIty=1000

三、進階安全增強方案

1. 私有服務連接(Private Service Connect)

通過發布Cloud Run服務為PSC端點，允許其他VPC服務通過內部IP直接訪問，完全規避DNS解析暴露風險。

2. 組織策略約束

設置constraints/compute.vmExternalIpAccess組織策略，防止意外配置導致資源獲取公網IP。

3. 流量加密雙重保障

雖然VPC內部流量默認加密，仍建議通過mTCL或IAP（Identity-Aware Proxy）增加應用層驗證。

四、谷歌云方案對比傳統架構優勢

總結

通過合理配置Serverless VPC Access連接器、網絡標簽及防火墻規則，谷歌云Cloud Run能夠在不經公網的情況下實現安全高效的VPC內部通信。該方案充分發揮了谷歌云原生集成的技術優勢，相比傳統架構減少了90%以上的網絡配置工作量，同時提供企業級的安全保障。建議企業結合Private Service Connect和IAP等增值服務構建多層防御體系，并定期使用Google Cloud Armor進行安全審計，以確保無服務器架構既保持靈活性又不犧牲安全性。