Esta página está dirigida a especialistas en redes que quieran migrar el tráfico de redes de VPC estándar de conectores de acceso a VPC sin servidor a salida de VPC directa al enviar tráfico a una red de VPC.
La salida directa de VPC es más rápida y puede gestionar más tráfico que los conectores, lo que ofrece una latencia más baja y un mayor rendimiento, ya que utiliza una ruta de red nueva y directa en lugar de instancias de conector.
Antes de la migración, te recomendamos que te familiarices con los requisitos previos, limitaciones, asignación de direcciones IP, permisos de gestión de identidades y accesos y reglas de cortafuegos de la salida de VPC directa.
Migrar servicios a la salida de VPC directa
Migrar servicios a la salida de VPC directa gradualmente
Cuando migres servicios de Cloud Run de conectores de acceso a VPC sin servidor a salida de VPC directa, te recomendamos que lo hagas de forma gradual.
Para hacer la transición gradualmente, sigue estos pasos:
- Sigue las instrucciones de esta sección para actualizar tu servicio y usar la salida directa de VPC.
- Divide un pequeño porcentaje del tráfico para determinar si el tráfico funciona correctamente.
- Actualiza la división del tráfico para enviar todo el tráfico a la nueva revisión mediante la salida directa de VPC.
Para migrar el tráfico con la salida de VPC directa de un servicio, usa laGoogle Cloud consola o la CLI de Google Cloud:
Consola
En la Google Cloud consola, ve a la página Servicios de Cloud Run.
Haga clic en el servicio que quiera migrar de un conector a la salida de VPC directa y, a continuación, en Editar y desplegar nueva revisión.
Haz clic en la pestaña Redes.
En Conectarse a una VPC para el tráfico saliente, haga clic en Enviar tráfico directamente a una VPC.
En el campo Red, selecciona la red VPC a la que quieras enviar tráfico.
En el campo Subred, selecciona la subred de la que tu servicio recibe direcciones IP. Puedes desplegar varios servicios en la misma subred.
Opcional: Introduce los nombres de las etiquetas de red que quieras asociar a tu servicio o servicios. Las etiquetas de red se especifican a nivel de revisión. Cada revisión de servicio puede tener etiquetas de red diferentes, como
network-tag-2.En Enrutamiento del tráfico, seleccione una de las siguientes opciones:
- Dirige solo las solicitudes a IPs privadas a la VPC para enviar solo tráfico a direcciones internas a través de la red VPC.
- Dirige todo el tráfico a la VPC para enviar todo el tráfico de salida a través de la red de VPC.
Haz clic en Desplegar.
Para verificar que tu servicio está en tu red VPC, haz clic en el servicio y, a continuación, en la pestaña Redes. La red y la subred se muestran en la tarjeta VPC.
Ahora puedes enviar solicitudes directamente desde tu servicio de Cloud Run a cualquier recurso de la red VPC, según lo permitan tus reglas de firewall.
gcloud
Para migrar un servicio de Cloud Run de un conector a una salida de VPC directa mediante la CLI de Google Cloud, sigue estos pasos:
Actualiza tu servicio de Cloud Run con el siguiente comando:
gcloud run services update SERVICE_NAME \ --clear-vpc-connector \ --network=NETWORK \ --subnet=SUBNET \ --network-tags=NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region=REGION
Sustituye:
SERVICE_NAMEcon el nombre de tu servicio.- NETWORK con el nombre de tu red de VPC.
- SUBNET con el nombre de tu subred. Puedes desplegar o ejecutar varios servicios o trabajos en la misma subred.
- Opcional: NETWORK_TAG_NAMES con los nombres separados por comas
de las etiquetas de red
que quieras asociar a un servicio. En el caso de los servicios, las etiquetas de red se especifican a nivel de revisión. Cada revisión de servicio puede tener etiquetas de red diferentes, como
network-tag-2. - EGRESS_SETTING con un
valor de ajuste de salida:
all-traffic: envía todo el tráfico saliente a través de la red VPC.private-ranges-only: solo envía tráfico a direcciones internas a través de la red de VPC.
- REGION con una región para tu servicio.
Para verificar que tu servicio está en tu red de VPC, ejecuta el siguiente comando:
gcloud run services describe SERVICE_NAME \ --region=REGION
Sustituye:
SERVICE_NAMEcon el nombre de tu servicio.REGIONcon la región de tu servicio que has especificado en el paso anterior.
La salida debe contener el nombre de tu red, subred y ajuste de salida. Por ejemplo:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ahora puedes enviar solicitudes desde tu servicio de Cloud Run a cualquier recurso de la red de VPC, tal como lo permiten tus reglas de firewall.
Migrar tareas a la salida de VPC directa
Puedes migrar el tráfico con la salida de VPC directa de una tarea mediante laGoogle Cloud consola o la CLI de Google Cloud.
Consola
En la Google Cloud consola, ve a la página Trabajos de Cloud Run.
Haz clic en la tarea que quieras migrar de un conector a salida de VPC directa y, a continuación, en Editar.
Haz clic en la pestaña Redes.
Haz clic en Contenedor, Variables y secretos, Conexiones y Seguridad para desplegar la página de propiedades del trabajo.
Haz clic en la pestaña Conexiones.
En Conectarse a una VPC para el tráfico saliente, haga clic en Enviar tráfico directamente a una VPC.
En el campo Red, selecciona la red VPC a la que quieras enviar tráfico.
En el campo Subred, selecciona la subred de la que tu tarea recibe direcciones IP. Puedes implementar varios trabajos en la misma subred.
Opcional: Introduce los nombres de las etiquetas de red que quieras asociar a tu servicio o servicios. Las etiquetas de red se especifican a nivel de revisión. Cada revisión de servicio puede tener etiquetas de red diferentes, como
network-tag-2.En Enrutamiento del tráfico, seleccione una de las siguientes opciones:
- Dirige solo las solicitudes a IPs privadas a la VPC para enviar solo tráfico a direcciones internas a través de la red VPC.
- Dirige todo el tráfico a la VPC para enviar todo el tráfico de salida a través de la red de VPC.
Haz clic en Actualizar.
Para verificar que tu trabajo está en tu red de VPC, haz clic en el trabajo y, a continuación, en la pestaña Configuración. La red y la subred se muestran en la tarjeta VPC.
Ahora puedes ejecutar tu trabajo de Cloud Run y enviar solicitudes desde el trabajo a cualquier recurso de la red de VPC, según lo permitan tus reglas de cortafuegos.
gcloud
Para migrar una tarea de Cloud Run de un conector a una salida de VPC directa mediante Google Cloud CLI, sigue estos pasos:
Actualiza tu trabajo de Cloud Run con el siguiente comando:
gcloud run jobs update JOB_NAME \ --clear-network \ --image=IMAGE_URL \ --network=NETWORK \ --subnet=SUBNET \ --network-tags=NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region=REGION
Sustituye:
JOB_NAMEcon el nombre del trabajo.- NETWORK con el nombre de tu red de VPC.
- SUBNET con el nombre de tu subred. Puedes desplegar o ejecutar varios servicios o trabajos en la misma subred.
- Opcional: NETWORK_TAG_NAMES con los nombres de las etiquetas de red que quieras asociar a un trabajo. En el caso de los trabajos, las etiquetas de red se especifican a nivel de ejecución. Cada ejecución de un trabajo puede tener etiquetas de red diferentes, como
network-tag-2. - EGRESS_SETTING con un
valor de ajuste de salida:
all-traffic: envía todo el tráfico saliente a través de la red VPC.private-ranges-only: solo envía tráfico a direcciones internas a través de la red de VPC.
- REGION con una región para tu trabajo.
Para verificar que tu trabajo está en tu red de VPC, ejecuta el siguiente comando:
gcloud run jobs describe JOB_NAME \ --region=REGION
Sustituye:
JOB_NAMEcon el nombre del trabajo.REGIONcon la región de tu trabajo que has especificado en el paso anterior.
La salida debe contener el nombre de tu red, subred y ajuste de salida. Por ejemplo:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ahora puedes enviar solicitudes desde tu trabajo de Cloud Run a cualquier recurso de la red de VPC, tal como lo permitan tus reglas de firewall.