Cette page s'adresse aux spécialistes de la mise en réseau qui souhaitent migrer le trafic d'un réseau VPC partagé utilisant des connecteurs d'accès au VPC sans serveur vers une sortie VPC directe lors de l'envoi du trafic vers un réseau VPC partagé.
La sortie VPC directe est plus rapide et peut gérer plus de trafic que les connecteurs. Elle offre ainsi une latence plus faible et un débit plus élevé, car elle utilise un nouveau chemin réseau direct au lieu d'instances de connecteur.
Avant la migration, nous vous recommandons de vous familiariser avec les conditions préalables, les limites, l'attribution d'adresses IP et les autorisations IAM de la sortie VPC directe.
Des frais continuent à s'appliquer même si les connecteurs ne reçoivent pas de trafic et sont déconnectés. Pour en savoir plus, consultez les tarifs. Si vous n'avez plus besoin de votre connecteur, veillez à le supprimer.
Migrer progressivement les services vers la sortie VPC directe
Lorsque vous migrez des services App Engine depuis des connecteurs d'accès au VPC sans serveur vers la sortie VPC directe, nous vous recommandons de le faire dans le cadre d'une transition progressive.
Pour effectuer une transition progressive :
- Suivez les instructions de cette section pour mettre à jour votre service afin d'utiliser la sortie VPC directe.
- Répartissez un faible pourcentage du trafic pour déterminer si le trafic est correctement acheminé.
- Mettez à jour la répartition du trafic pour envoyer tout le trafic vers la nouvelle version à l'aide de la sortie VPC directe.
Pour migrer le trafic avec la sortie VPC directe pour un service, utilisez Google Cloud CLI :
Ouvrez le fichier
app.yamlde votre service et supprimez toutes les configurationsvpc_access_connectorexistantes. Exemple :vpc_access_connector: name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAMEAjoutez la section de configuration
vpc_accesssuivante dans votre fichierapp.yaml, en spécifiant les noms de ressources complets du réseau et du sous-réseau VPC partagé dans le projet hôte :vpc_access: network_interface: network: projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK subnet: projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME tags: - NETWORK_TAGS vpc_egress: EGRESS_SETTING
Remplacez les éléments suivants :
HOST_PROJECT_ID : ID du projet hôte de VPC partagé.
VPC_NETWORK: nom de votre réseau VPC partagé.
REGION : région de votre service App Engine, qui doit correspondre à la région de votre sous-réseau.
SUBNET_NAME : nom de votre sous-réseau
(Facultatif) NETWORK_TAGS : liste des tags réseau à associer aux instances de votre service App Engine pour les utiliser dans les règles de pare-feu et les règles de routage.
Facultatif : EGRESS_SETTING contrôle la manière dont le trafic sortant est routé. Ce champ accepte les paramètres de configuration suivants :
all-traffic: toutes les requêtes sortantes sont acheminées via le réseau VPC.private-ranges-only(par défaut) : seul le trafic vers les adresses IP internes est acheminé via le réseau VPC. Le trafic Internet utilise le chemin App Engine par défaut.
Redéployez votre service sur App Engine en exécutant la commande suivante :
gcloud beta app deploy
Après avoir vérifié que votre service se connecte correctement au réseau VPC, supprimez l'ancien connecteur d'accès au VPC sans serveur pour ne plus générer de coûts.
Étapes suivantes
- En savoir plus sur les bonnes pratiques de gestion des adresses IP
- Découvrez comment sécuriser votre application App Engine.