Google-appengine-standard - roteamento via vpc_access_connector

Estamos tentando conectar nosso aplicativo padrão GAE por meio de um de nossos VPCs que está sendo usado para conectar-se aos nossos clientes VPN. VPC (rsvpn) executa openvpn como cliente, conectando-se à nossa sub-rede OpenVPN. Ele é configurado com ip_forward e está configurado para encaminhar todos os pacotes de entrada destinados a 172.16.0.0/24 por meio de tun0. O roteamento global de redes VPC está configurado para rotear 172.16.0.0/24 via rsvpn. Quando entro em outra VPC, consigo fazer ping para a sub-rede VPN conforme esperado. No entanto, os pacotes do aplicativo GAE destinados a 172.16.0.0/24 não estão sendo roteados via rsvpn.

Fizemos algumas pesquisas e descobrimos que provavelmente precisaríamos implantar o aplicativo via gcloud beta, usando o vpc_access_connector, então fizemos isso também. vpc_access_connector configurado com sub-rede 10.8.0.0/28 e o aplicativo foi configurado com a configuração apropriada. Reimplante o aplicativo e ele ainda não atinge o servidor rsvpn.

Quando olhamos para a configuração em execução do aplicativo, não vemos nenhuma menção ao vpc_access_connector, mas ele está claramente configurado no app.yaml.

Discutido com o suporte do Google. Eles confirmam que nossa configuração deve estar correta e que o aplicativo deve usar nossas tabelas de roteamento vpc. Eles estão investigando isso atualmente.

Estou me perguntando se alguém pode lançar alguma luz sobre isso. A documentação do Google não é incrível e acho consistentemente que muitas vezes está errada. Ouvi algumas referências que podem sugerir que o vpc_access_connector só pode funcionar em ambientes flexíveis, mas os documentos e o suporte do Google dizem que deve funcionar no padrão.

Alguém já fez essa configuração funcionar?