Bonnes pratiques pour la mise en réseau Cloud Run

Cette page décrit les bonnes pratiques à suivre pour configurer les options de mise en réseau pour les ressources Cloud Run. Avant de créer vos ressources, nous vous recommandons de consulter toutes les sections de cette page pour comprendre les options de mise en réseau compatibles avec Cloud Run, ainsi que leurs implications.

Surveiller l'utilisation des adresses IP

Si vous utilisez la sortie VPC directe, assurez-vous que votre sous-réseau dispose de suffisamment d'adresses IP. Le nombre d'adresses IP que vous utilisez dépend du nombre d'instances sur lesquelles vos charges de travail s'exécutent. Nous vous recommandons donc de surveiller votre utilisation des adresses IP. Assurez-vous que votre utilisation des adresses IP au fil du temps reste dans les limites acceptées par le sous-réseau.

Pour estimer votre utilisation des adresses IP :

1. Dans la console Google Cloud , accédez à la page "Explorateur de métriques" de Cloud Monitoring :

   Accéder à l'explorateur de métriques Cloud Monitoring

2. Recherchez le nombre d'instances dans votre projet à l'aide du type de métrique run.googleapis.com/container/instance_count. Cloud Monitoring vous permet d'afficher la valeur de cette métrique au fil du temps.

3. Multipliez la valeur de la métrique "Nombre d'instances" par 2 pour obtenir une estimation du nombre d'adresses IP utilisées.

Stratégies en cas d'épuisement des adresses IP

Si vous avez un grand nombre de charges de travail Cloud Run, vous pouvez rencontrer des problèmes d'épuisement des adresses IP lorsque vous utilisez l'espace d'adresses IP privées RFC 1918 avec la sortie VPC directe. Les stratégies suivantes peuvent vous aider à gérer l'épuisement des adresses IP en utilisant d'autres plages d'adresses IP.

Utiliser des adresses IPv4 non-RFC 1918

En plus des plages d'adresses IPv4 RFC 1918, Cloud Run est également compatible avec les plages RFC 6598 et Classe E/RFC 5735. Tous les services et fonctionnalitésGoogle Cloud fonctionnent avec ces plages non RFC 1918, y compris les réseaux VPC, Cloud Load Balancing et Private Service Connect.

Pour une compatibilité optimale, nous vous recommandons de commencer par la plage RFC 6598 (100.64.0.0/10). Si vous utilisez déjà cette plage ailleurs, envisagez d'utiliser la classe E/RFC 5735 (240.0.0.0/4). La classe E est un espace immense avec plus de 268 millions d'adresses IP disponibles. Elle vous permettra donc de vous développer pendant longtemps. Toutefois, la classe E présente certaines limites. Par exemple, elle n'est pas compatible avec Windows ni avec certains matériels sur site. Découvrez comment exploiter l'espace d'adresses IPv4 de classe E pour atténuer les problèmes d'épuisement des adresses IPv4 dans GKE.

Utiliser Cloud NAT ou Private Service Connect

Si votre charge de travail Cloud Run utilisant une plage non-RFC 1918 doit atteindre une destination sur site qui n'accepte que les adresses RFC 1918, utilisez l'une des solutions suivantes :

• Utilisez la traduction d'adresse réseau hybride pour effectuer la traduction d'adresse et la sortie à l'aide d'une petite plage RFC 1918.
• Exposez le service sur site en tant que service hybride Private Service Connect.

Utiliser des sous-réseaux IPv4 et IPv6 (double pile)

Bien que cela ne réduise pas l'épuisement des adresses IPv4, migrer vos applications vers IPv6 est une bonne première étape. Configurez des ressources à double pile pour éviter les problèmes d'épuisement d'IPv4 à l'avenir.

Stratégies de réduction de l'épuisement des ports

La section suivante décrit les stratégies permettant de réduire l'épuisement des ports avec Cloud Run.

Utiliser le regroupement de connexions et réutiliser les connexions

Lorsque vous envoyez un grand nombre de requêtes à une seule adresse IP de destination, utilisez le regroupement de connexions pour gérer et réutiliser les connexions à la destination. Des taux de connexion élevés à une même adresse IP peuvent épuiser les ports sortants et entraîner des erreurs de connexion refusée.

Stratégies de performances et de débit

Cette section présente les options évolutives permettant d'améliorer les performances et le débit du réseau vers Internet et les services Google.

Utiliser l'environnement d'exécution de deuxième génération

Pour obtenir les meilleures performances réseau pour les services Cloud Run, utilisez l'environnement d'exécution de deuxième génération lorsque vous acheminez le trafic avec la sortie VPC directe. L'environnement de deuxième génération offre des performances réseau plus rapides, en particulier en cas de perte de paquets.

Vous pouvez sélectionner l'environnement d'exécution à l'aide de la console Google Cloud , de la gcloud CLI, de YAML ou de Terraform.

Utiliser la sortie VPC directe pour un débit de sortie réseau plus rapide

Pour accélérer le débit des connexions de sortie réseau, utilisez la sortie VPC directe pour acheminer le trafic via votre réseau VPC. Nous vous recommandons de l'utiliser en même temps que l'environnement d'exécution de deuxième génération, comme indiqué précédemment.

Exemple 1 : Trafic externe vers Internet

Si vous envoyez du trafic externe vers l'Internet public, acheminez tout le trafic via le réseau VPC en définissant --vpc-egress=all-traffic. Avec cette approche, vous devez configurer Cloud NAT pour accéder à l'Internet public.

Pour permettre à Cloud Run d'utiliser une passerelle Cloud NAT pour Public NAT ou Private NAT, consultez Interactions entre Cloud NAT et la sortie VPC directe.

Exemple 2 : Trafic interne vers une API Google

Si vous utilisez la sortie VPC directe pour envoyer du trafic vers une API Google, telle que Cloud Storage, choisissez l'une des options suivantes :

• Spécifiez private-ranges-only (par défaut) avec l'accès privé à Google :
  1. Définissez l'option --vpc-egress=private-ranges-only.
  2. Activez l'accès privé à Google.
  3. Configurez le DNS pour l'accès privé à Google. Assurez-vous que votre domaine cible (tel que storage.googleapis.com) est mappé sur l'une des plages d'adresses IP internes suivantes :
     • 199.36.153.8/30
     • 199.36.153.4/30
• Spécifiez all-traffic avec l'accès privé à Google :
  1. Définissez l'option --vpc-egress=all-traffic.
  2. Activez l'accès privé à Google.

Utiliser le paramètre de MTU par défaut pour Cloud Run

Ne modifiez pas le paramètre d'unité de transmission maximale (MTU) d'un réseau VPC lorsque vous l'utilisez avec Cloud Run. Utilisez plutôt la MTU par défaut de 1 460 octets.

Considérations liées au coût

Lorsque vous configurez les options de mise en réseau pour vos ressources, tenez compte des points suivants :

• Colocalisez vos ressources : essayez de déployer vos ressources Cloud Run dans la même région que vos bases de données de backend (comme Cloud SQL ou Firestore) et vos buckets Cloud Storage. Le transfert de données entre les ressources Google Cloud d'une même région est sans frais.
• Passer à la sortie VPC directe : si vous acheminez le trafic de manière sécurisée vers des ressources de réseau VPC internes, envisagez de passer des connecteurs d'accès au VPC sans serveur à la sortie VPC directe. La sortie VPC directe passe à zéro, ce qui élimine les frais généraux de calcul de base et les coûts d'inactivité associés aux instances de connecteur.
• Utiliser Cloud CDN : décharger les éléments statiques et le contenu hautement cachable en plaçant Cloud CDN devant vos ressources Cloud Run. La diffusion de données depuis le périphérie est beaucoup moins chère que le paiement de la sortie Internet standard directement depuis Cloud Run.
• Surveiller la sortie Internet : le trafic entrant (entrée) est toujours sans frais, et vous bénéficiez de 1 Gio de transfert de données Internet sortant sans frais par mois en Amérique du Nord. Concentrez vos efforts de surveillance sur le trafic sortant qui dépasse les limites régionales ou le niveau sans frais.

Pour en savoir plus, consultez les tarifs de Cloud Run ou estimez les coûts avec le simulateur de coût.

Étapes suivantes

• Comparer la sortie VPC directe et les connecteurs VPC.
• Utiliser des tags pour les tests, la migration du trafic et les rollbacks.