Freigegebene VPC-Connector zu ausgehendem VPC Direct-Traffic migrieren

Diese Seite richtet sich an Netzwerkexperten, die freigegebene VPC Netzwerk-Traffic vom Verwenden von Connectors für serverlosen VPC-Zugriff zur Verwendung von ausgehendem Direct VPC-Traffic migrieren möchten, wenn sie Traffic zu einem freigegebene VPC-Netzwerk senden.

Ausgehender Direct VPC-Traffic ist schneller und kann mehr Traffic als Connectors verarbeiten. Dies bietet eine geringere Latenz und einen höheren Durchsatz, da er einen neuen, direkten Netzwerkpfad anstelle von Connector-Instanzen verwendet.

Wir empfehlen Ihnen, sich vor der Migration mit den Voraussetzungen für ausgehenden Direct-VPC-Traffic Voraussetzungen, Einschränkungen, der Zuweisung von IP-Adressen und IAM-Berechtigungen vertraut zu machen.

Connectors verursachen auch dann Kosten, wenn sie keinen Traffic haben und nicht verbunden sind. Weitere Informationen finden Sie unter Preise. Wenn Sie Ihren Connector nicht mehr benötigen, löschen Sie ihn.

Dienste schrittweise zu ausgehendem Direct VPC-Traffic migrieren

Wenn Sie App Engine-Dienste von Connectors für Serverloser VPC-Zugriff zum ausgehenden Direct VPC-Traffic migrieren, empfehlen wir dies eine graduelle Umstellung.

So wechseln Sie schrittweise:

1. Folgen Sie der Anleitung in diesem Abschnitt, um Ihren Dienst so zu aktualisieren, dass er den ausgehenden Direct VPC-Traffic verwendet.
2. Leiten Sie einen kleinen Prozentsatz des Traffics weiter um zu prüfen, ob die Trafficrouten korrekt sind.
3. Aktualisieren Sie die Trafficaufteilung, um den gesamten Traffic über die neue Version mit ausgehendem Direct VPC zu senden.

Verwenden Sie die Google Cloud CLI, um Traffic mit ausgehendem Direct VPC-Traffic für einen Dienst zu migrieren:

1. Öffnen Sie die Datei app.yaml Ihres Dienstes und entfernen Sie alle vorhandenen vpc_access_connector-Konfigurationen. Beispiel:

   vpc_access_connector:
     name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
   

2. Fügen Sie in der Datei app.yaml den folgenden Konfigurationsabschnitt vpc_access hinzu und geben Sie die voll qualifizierten Ressourcennamen für das freigegebene VPC-Netzwerk und das Subnetz im Hostprojekt an:

   vpc_access:
     network_interface:
       network: projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK
       subnet: projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
       tags:
           - NETWORK_TAGS
     vpc_egress: EGRESS_SETTING

   Ersetzen Sie Folgendes:

   • HOST_PROJECT_ID: die ID Ihres freigegebene VPC-Hostprojekts.

   • VPC_NETWORK: der Name des freigegebene VPC-Netzwerks.

   • REGION: die Region für Ihren App Engine-Dienst; diese muss der Region Ihres Subnetzes entsprechen.

   • SUBNET_NAME: der Name Ihres Subnetzes.

   • Optional: NETWORK_TAGS: eine Liste von Netzwerk-Tags, die den Instanzen Ihres App Engine-Dienstes für die Verwendung in Firewallregeln und Routingrichtlinien zugeordnet werden sollen.

   • Optional: EGRESS_SETTING: steuert die Weiterleitung von ausgehendem Traffic. Dieses Feld unterstützt die folgenden Konfigurationseinstellungen:

     • all-traffic: Alle ausgehenden Anfragen werden über das VPC-Netzwerk weitergeleitet.
     • private-ranges-only (Standard): Nur Traffic an interne IP-Adressen wird über das VPC-Netzwerk weitergeleitet. Internet-Traffic verwendet den Standardpfad von App Engine.

3. Stellen Sie Ihren Dienst noch einmal in App Engine bereit, indem Sie den folgenden Befehl ausführen:

   gcloud beta app deploy

4. Nachdem Sie geprüft haben, ob Ihr Dienst korrekt mit dem VPC-Netzwerk verbunden ist, löschen Sie den alten Connector für Serverloser VPC-Zugriff, um weitere Kosten zu vermeiden.

Nächste Schritte

• Weitere Informationen zu den Best Practices für die IP-Verwaltung.
• Informationen zum Schützen Ihrer App Engine-Anwendung