העברת מחבר VPC משותף ל-Direct VPC egress

הדף הזה מיועד למומחי רשת שרוצים להעביר תנועה ברשת VPC משותפת משימוש במחברי חיבור לרשת (VPC) מאפליקציית serverless לשימוש ביציאה ישירה מרשת VPC כששולחים תנועה לרשת VPC משותפת.

יציאה ישירה מ-VPC מהירה יותר ויכולה לטפל ביותר תנועה מאשר מחברים. היא מספקת זמן אחזור נמוך יותר וקצב העברת נתונים גבוה יותר כי היא משתמשת בנתיב רשת חדש וישיר במקום במופעי מחבר.

לפני המעבר, מומלץ לקרוא על הדרישות המוקדמות, המגבלות, הקצאת כתובות IP והרשאות IAM של יציאה ישירה מ-VPC.

המחיר של מחברים ממשיך להיצבר גם אם אין תנועה והם מנותקים. פרטים נוספים זמינים בדף תמחור. אם אתם לא צריכים יותר את המחבר, הקפידו למחוק אותו.

העברת שירותים ל-Direct VPC egress בהדרגה

כשמעבירים שירותי App Engine ממחברי חיבור לרשת (VPC) מאפליקציית serverless לתעבורת נתונים יוצאת (egress) ישירה של VPC, מומלץ לעשות זאת במעבר הדרגתי.

כדי לעבור בהדרגה:

1. כדי לעדכן את השירות כך שישתמש ב-Direct VPC egress, פועלים לפי ההוראות שמפורטות בקטע הזה.
2. פיצול של אחוז קטן מהתנועה כדי לקבוע אם התנועה מנותבת בצורה נכונה.
3. מעדכנים את חלוקת התנועה כדי לשלוח את כל התנועה לגרסה החדשה באמצעות Direct VPC egress.

כדי להעביר תעבורת נתונים באמצעות Direct VPC egress לשירות, משתמשים ב-Google Cloud CLI:

1. פותחים את קובץ app.yaml של השירות ומסירים את כל ההגדרות הקיימות של vpc_access_connector. לדוגמה:

   vpc_access_connector:
     name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
   

2. מוסיפים את קטע ההגדרות vpc_access לקובץ app.yaml, ומציינים את שמות המשאבים המוגדרים במלואם של רשת ה-VPC המשותפת ושל רשת המשנה בפרויקט המארח:

   vpc_access:
     network_interface:
       network: projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK
       subnet: projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
       tags:
           - NETWORK_TAGS
     vpc_egress: EGRESS_SETTING

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫HOST_PROJECT_ID: מזהה הפרויקט המארח של ה-VPC המשותף.

   • ‫VPC_NETWORK: השם של רשת ה-VPC המשותפת.

   • ‫REGION: האזור של שירות App Engine, שחייב להיות זהה לאזור של רשת המשנה.

   • ‫SUBNET_NAME: השם של רשת המשנה.

   • אופציונלי: NETWORK_TAGS: רשימה של תגי רשת לשיוך למופעים של שירות App Engine לשימוש בכללי חומת אש ובמדיניות ניתוב.

   • אופציונלי: EGRESS_SETTING: קובע איך תעבורה יוצאת מנותבת. השדה הזה תומך בהגדרות הבאות:

     • ‫all-traffic: כל הבקשות היוצאות מנותבות דרך רשת ה-VPC.
     • ‫private-ranges-only (ברירת מחדל): רק תעבורת נתונים לכתובות IP פנימיות מנותבת דרך רשת ה-VPC. תעבורת נתונים מהאינטרנט משתמשת בנתיב ברירת המחדל של App Engine.

3. מריצים את הפקודה הבאה כדי לפרוס מחדש את השירות ב-App Engine:

   gcloud beta app deploy

4. אחרי שמוודאים שהשירות מתחבר לרשת ה-VPC בצורה תקינה, מוחקים את מחבר Serverless VPC Access הישן כדי להפסיק לשלם עליו.

המאמרים הבאים

• מידע נוסף על שיטות מומלצות לניהול כתובות IP
• איך מאבטחים את אפליקציית App Engine