このページは、共有 VPC ネットワークへのトラフィックの送信時に、共有 VPC ネットワーク トラフィックをサーバーレス VPC アクセス コネクタ の使用からダイレクト VPC 下り(外向き) の使用へ移行するネットワーキング スペシャリストを対象としています。
ダイレクト VPC 下り(外向き)は、コネクタ インスタンスではなく新しいダイレクト ネットワーク パスを使用するため、コネクタよりも高速で、コネクタよりも多くのトラフィックを処理できます。これにより、レイテンシが低減され、スループットが向上します。
移行前に、ダイレクト VPC 下り(外向き)の前提条件、 制限事項、 IP アドレスの割り振り、 およびIAM 権限を理解しておくことをおすすめします。
トラフィックがなく、接続解除されている場合でも、コネクタの料金は引き続き発生します。詳細については、料金をご覧ください。不要になったコネクタは削除してください。
サービスをダイレクト VPC 下り(外向き)に段階的に移行する
App Engine サービスをサーバーレス VPC アクセス コネクタからダイレクト VPC 下り(外向き)に移行する場合は、段階的に移行することをおすすめします。
段階的に移行するには:
- このセクションの手順に沿って、ダイレクト VPC 下り(外向き)を使用するようにサービスを更新します。
- トラフィックの小さな割合を分割して 、トラフィックが正しくルーティングされるかどうかを確認します。
- トラフィック分割を更新し、ダイレクト VPC 下り(外向き)を使用してすべてのトラフィックを新しいバージョンに送信します。
サービスのダイレクト VPC 下り(外向き)を使用するトラフィックを移行するには、Google Cloud CLI を使用します。
サービスの
app.yamlファイルを開き、既存のvpc_access_connector構成を削除します。次に例を示します。vpc_access_connector: name: projects/PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAMEapp.yamlファイルに次のvpc_access構成セクションを追加し、ホスト プロジェクトの共有 VPC ネットワークとサブネットの完全修飾リソース名を指定します。vpc_access: network_interface: network: projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK subnet: projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME tags: - NETWORK_TAGS vpc_egress: EGRESS_SETTING
次のように置き換えます。
HOST_PROJECT_ID: 共有 VPC ホスト プロジェクトの ID。
VPC_NETWORK: 共有 VPC ネットワークの名前。
REGION:App Engine サービスのリージョン。サブネットのリージョンと一致する必要があります。
SUBNET_NAME: サブネットの名前。
省略可: NETWORK_TAGS: ファイアウォール ルールとルーティング ポリシーで使用するために、App Engine サービスのインスタンスに関連付けるネットワーク タグのリスト。
省略可: EGRESS_SETTING: 送信トラフィックのルーティング方法を制御します。このフィールドでは、次の構成設定がサポートされています。
all-traffic: すべての送信リクエストは VPC ネットワーク経由でルーティングされます。private-ranges-only(デフォルト): 内部 IP アドレスへのトラフィックのみが VPC ネットワーク経由でルーティングされます。インターネット トラフィックは、デフォルトの App Engine パスを使用します。
次のコマンドを実行して、サービスを App Engine に再デプロイします。
gcloud beta app deploy
サービスが VPC ネットワークに正しく接続されていることを確認したら、古いサーバーレス VPC アクセス コネクタを削除して、費用の発生を停止します。
次のステップ
- IP 管理のベスト プラクティクスの詳細を確認する。
- App Engine アプリを保護する方法を学習する。