העברה של מחבר VPC רגיל לתעבורת נתונים יוצאת (egress) ישירה מ-VPC

המסוף

1. נכנסים לדף Services של Cloud Run במסוף Google Cloud .

   כניסה ל-Cloud Run

2. לוחצים על השירות שרוצים להעביר מ-Connector ל-Direct VPC egress, ואז לוחצים על Edit and deploy new revision (עריכה ופריסה של גרסה חדשה).

3. נכנסים לכרטיסייה Networking.

4. בקטע Connect to a VPC for outbound traffic (חיבור ל-VPC לתעבורה יוצאת), לוחצים על Send traffic directly to a VPC (שליחת תעבורה ישירות ל-VPC).

5. בשדה Network (רשת), בוחרים את רשת ה-VPC שאליה רוצים לשלוח תנועה.

6. בשדה Subnet (רשת משנה), בוחרים את רשת המשנה שבה השירות מקבל כתובות IP. אפשר לפרוס כמה שירותים באותה רשת משנה.

7. אופציונלי: מזינים את השמות של תגי הרשת שרוצים לשייך לשירות או לשירותים. תגי רשת מצוינים ברמת הגרסה. לכל גרסה של שירות יכולים להיות תגי רשת שונים, כמו network-tag-2.

8. בקטע Traffic routing (ניתוב תנועה), בוחרים באחת מהאפשרויות הבאות:

   • הפניית בקשות רק לכתובות IP פרטיות אל ה-VPC כדי לשלוח תעבורה רק לכתובות פנימיות דרך רשת ה-VPC.
   • העברת כל התעבורה ל-VPC כדי לשלוח את כל התעבורה היוצאת דרך רשת ה-VPC.

9. לוחצים על פריסה.

10. כדי לוודא שהשירות נמצא ברשת ה-VPC, לוחצים על השירות ואז על הכרטיסייה Networking (רשת). הרשת ותת-הרשת מופיעות בכרטיס VPC.

    מעכשיו אפשר לשלוח בקשות ישירות משירות Cloud Run לכל משאב ברשת ה-VPC, בהתאם לכללי חומת האש.

gcloud

כדי להעביר שירות Cloud Run ממחבר ליציאה ישירה של VPC באמצעות Google Cloud CLI:

1. מעדכנים את שירות Cloud Run באמצעות הפקודה הבאה:

   gcloud run services update SERVICE_NAME \
   --clear-vpc-connector \
   --network=NETWORK \
   --subnet=SUBNET \
   --network-tags=NETWORK_TAG_NAMES \
   --vpc-egress=EGRESS_SETTING \
   --region=REGION

   מחליפים את:

   • SERVICE_NAME בשם של השירות.
   • NETWORK בשם של רשת ה-VPC.
   • SUBNET בשם של רשת המשנה. אפשר לפרוס או להפעיל כמה שירותים או משימות באותה רשת משנה.
   • אופציונלי: NETWORK_TAG_NAMES עם השמות המופרדים בפסיקים של תגי הרשת שרוצים לשייך לשירות. בשירותים, תגי הרשת מצוינים ברמת השינוי. לכל גרסה של שירות יכולים להיות תגי רשת שונים, כמו network-tag-2.
   • EGRESS_SETTING עם ערך של הגדרת יציאה:
     • ‫all-traffic: שליחת כל התעבורה היוצאת דרך רשת ה-VPC.
     • ‫private-ranges-only: שולח תנועה רק לכתובות פנימיות דרך רשת ה-VPC.
   • ‫REGION עם אזור לשירות שלכם.

2. כדי לוודא שהשירות שלכם נמצא ברשת ה-VPC, מריצים את הפקודה הבאה:

   gcloud run services describe SERVICE_NAME \
   --region=REGION

   מחליפים את:

   • SERVICE_NAME בשם של השירות.
   • ‫REGION באזור השירות שציינתם בשלב הקודם.

   הפלט צריך לכלול את השם של הרשת, רשת המשנה והגדרת תעבורת הנתונים היוצאת (egress), למשל:

   VPC access:
     Network:       default
     Subnet:        subnet
     Egress:        private-ranges-only
   

עכשיו אפשר לשלוח בקשות מהשירות שלכם ב-Cloud Run לכל משאב ברשת ה-VPC, בהתאם למה שמוגדר בכללי חומת האש.

המסוף

1. נכנסים לדף Jobs ב-Cloud Run במסוף Google Cloud .

   כניסה ל-Cloud Run

2. לוחצים על העבודה שרוצים להעביר ממחבר ליציאה ישירה של VPC, ואז לוחצים על עריכה.

3. נכנסים לכרטיסייה Networking.

4. לוחצים על Container, Variables & Secrets, Connections, Security (מאגר, משתנים וסודות, חיבורים, אבטחה) כדי להרחיב את דף מאפייני העבודה.

5. לוחצים על הכרטיסייה Connections (קישורים).

6. בקטע Connect to a VPC for outbound traffic (חיבור ל-VPC לתעבורה יוצאת), לוחצים על Send traffic directly to a VPC (שליחת תעבורה ישירות ל-VPC).

7. בשדה Network (רשת), בוחרים את רשת ה-VPC שאליה רוצים לשלוח תנועה.

8. בשדה Subnet (רשת משנה), בוחרים את רשת המשנה שממנה המשימה מקבלת כתובות IP. אפשר לפרוס כמה משימות באותה רשת משנה.

9. אופציונלי: מזינים את השמות של תגי הרשת שרוצים לשייך לשירות או לשירותים. תגי רשת מצוינים ברמת הגרסה. לכל גרסה של שירות יכולים להיות תגי רשת שונים, כמו network-tag-2.

10. בקטע Traffic routing (ניתוב תנועה), בוחרים באחת מהאפשרויות הבאות:

    • הפניית בקשות רק לכתובות IP פרטיות אל ה-VPC כדי לשלוח תעבורה רק לכתובות פנימיות דרך רשת ה-VPC.
    • העברת כל התעבורה ל-VPC כדי לשלוח את כל התעבורה היוצאת דרך רשת ה-VPC.

11. לוחצים על עדכון.

12. כדי לוודא שהעבודה נמצאת ברשת ה-VPC, לוחצים על העבודה ואז על הכרטיסייה הגדרה. הרשת ותת-הרשת מופיעות בכרטיס VPC.

עכשיו אפשר להריץ את העבודה ב-Cloud Run ולשלוח בקשות מהעבודה לכל משאב ברשת ה-VPC, בהתאם לכללי חומת האש.

gcloud

כדי להעביר משימת Cloud Run ממחבר ליציאה ישירה של VPC באמצעות Google Cloud CLI:

1. מעדכנים את עבודת Cloud Run באמצעות הפקודה הבאה:

   gcloud run jobs update JOB_NAME \
   --clear-network \
   --image=IMAGE_URL \
   --network=NETWORK \
   --subnet=SUBNET \
   --network-tags=NETWORK_TAG_NAMES \
   --vpc-egress=EGRESS_SETTING \
   --region=REGION

   מחליפים את:

   • ‫JOB_NAME בשם של המשימה.
   • NETWORK בשם של רשת ה-VPC.
   • SUBNET בשם של רשת המשנה. אפשר לפרוס או להפעיל כמה שירותים או משימות באותה רשת משנה.
   • אופציונלי: NETWORK_TAG_NAMES עם השמות של תגי הרשת שרוצים לשייך למשרה. במקרה של עבודות, תגי הרשת מצוינים ברמת הביצוע. לכל הפעלה של עבודה יכולים להיות תגים שונים של רשת, כמו network-tag-2.
   • EGRESS_SETTING עם ערך של הגדרת יציאה:
     • ‫all-traffic: שליחת כל התעבורה היוצאת דרך רשת ה-VPC.
     • ‫private-ranges-only: שולח תנועה רק לכתובות פנימיות דרך רשת ה-VPC.
   • ‫REGION עם אזור למשרה.

2. כדי לוודא שהעבודה נמצאת ברשת ה-VPC, מריצים את הפקודה הבאה:

   gcloud run jobs describe JOB_NAME \
   --region=REGION

   מחליפים את:

   • ‫JOB_NAME בשם של המשימה.
   • ‫REGION באזור של המשרה שציינתם בשלב הקודם.

   הפלט צריך לכלול את השם של הרשת, רשת המשנה והגדרת תעבורת הנתונים היוצאת (egress), למשל:

   VPC access:
     Network:       default
     Subnet:        subnet
     Egress:        private-ranges-only
   

עכשיו אפשר לשלוח בקשות מהעבודה שלכם ב-Cloud Run לכל משאב ברשת ה-VPC, בהתאם לכללי חומת האש.