Questa pagina descrive come inviare il traffico in uscita da un servizio o un job Cloud Run a una rete VPC condivisa, consentendo l'accesso alle istanze VM di Compute Engine, alle istanze Memorystore e a qualsiasi altra risorsa con un indirizzo IP interno.
Se la tua organizzazione non utilizza un VPC condiviso, consulta Inviare traffico a una rete VPC standard.
Confronto tra i metodi di configurazione
La connessione a una rete VPC condiviso può essere configurata in diversi modi:
VPC diretto in uscita
Puoi utilizzare l'uscita VPC diretto per inviare il traffico a una rete VPC condiviso senza la necessità di connettori di accesso VPC serverless. Per configurare il traffico in uscita senza un connettore, consulta Traffico in uscita VPC diretto con una VPC condiviso condivisa.
Connettori di accesso VPC serverless
Se devi utilizzare i connettori di accesso VPC serverless, puoi configurarli nei progetti di servizio VPC condiviso che contengono risorse Cloud Run che devono accedere alla tua rete oppure puoi configurare connettori condivisi nel progetto host VPC condiviso. Ogni metodo presenta i propri vantaggi.
Progetti di servizio
Vantaggi della creazione di connettori nei progetti di servizio con VPC condiviso:
- Isolamento: ogni connettore ha una larghezza di banda dedicata e non è influenzato dall'utilizzo della larghezza di banda dei connettori in altri progetti di servizio. Questa soluzione è ideale se hai un servizio che registra picchi di traffico o se devi assicurarti che i singoli progetti di servizio non siano interessati dall'utilizzo dei connettori di altri progetti di servizio.
- Storni di addebito: i costi sostenuti dai connettori sono associati al progetto di servizio che contiene il connettore. In questo modo, gli storni di addebito sono più semplici.
- Sicurezza: ti consente di seguire il "principio del privilegio minimo". Ai connettori deve essere concesso l'accesso alle risorse nella rete VPC condivisa che devono raggiungere. Se crei un connettore nel progetto di servizio, puoi limitare l'accesso dei servizi nel progetto utilizzando le regole firewall.
- Indipendenza del team: riduce la dipendenza dall'amministratore del progetto host.
I team possono creare e gestire i connettori associati al proprio progetto di servizio. Un utente con il ruolo Security Admin di Compute Engine o un ruolo Identity and Access Management (IAM) personalizzato con l'autorizzazione
compute.firewalls.createattivata per il progetto host deve comunque gestire le regole firewall per il connettore.
Per configurare i connettori nei progetti di servizio, consulta Configura i connettori nei progetti di servizio.
Progetto host
Vantaggi della creazione di connettori nel progetto host del VPC condiviso:
- Gestione centralizzata della rete: si allinea al modello VPC condiviso di centralizzazione delle risorse di configurazione di rete nel progetto host.
- Spazio di indirizzi IP: conserva più spazio di indirizzi IP. I connettori richiedono un indirizzo IP per ogni istanza, quindi avere meno connettori e meno istanze in ogni connettore utilizza meno indirizzi IP. Questa opzione è utile se temi di esaurire gli indirizzi IP.
- Manutenzione: riduce la manutenzione perché ogni connettore creato può essere utilizzato da più progetti di servizio. Questa opzione è utile se ti preoccupa l'overhead di manutenzione.
- Costo per il tempo di inattività: può ridurre la quantità di tempo di inattività del connettore e il costo associato. I connettori comportano costi anche quando non gestiscono il traffico (vedi prezzi). Un numero inferiore di connettori può ridurre la quantità di risorse per cui paghi quando non gestiscono il traffico, a seconda del tipo di connettore e del numero di istanze. Questo è spesso conveniente se il tuo caso d'uso coinvolge un numero elevato di servizi e i servizi vengono utilizzati di rado.
Per configurare i connettori nel progetto host, consulta Configura i connettori nel progetto host.