העברת מחבר VPC משותף ליציאה ישירה מ-VPC

הדף הזה מיועד למומחי רשת שרוצים להעביר תנועה ברשת VPC משותפת משימוש במחברי חיבור לרשת (VPC) מאפליקציית serverless לשימוש ביציאה ישירה מרשת VPC כששולחים תנועה לרשת VPC משותפת.

תעבורת נתונים יוצאת (egress) ישירה מ-VPC מהירה יותר ויכולה להתמודד עם יותר תנועה מאשר מחברים. היא מספקת זמן אחזור נמוך יותר ותפוקה גבוהה יותר כי היא משתמשת בנתיב רשת חדש וישיר במקום במופעי מחבר.

לפני המעבר, מומלץ לקרוא על הדרישות המוקדמות, המגבלות, הקצאת כתובות IP והרשאות IAM של יציאה ישירה מ-VPC.

העברת שירותים ל-Direct VPC egress

העברת שירותים ליציאת VPC ישירה בהדרגה

כשמעבירים שירותי Cloud Run ממחברי חיבור לרשת (VPC) מאפליקציית serverless ליציאה ישירה מרשת ה-VPC, מומלץ לבצע את המעבר בהדרגה.

כדי לעבור בהדרגה:

  1. כדי לעדכן את השירות או את העבודה כך שישתמשו ביציאה ישירה מ-VPC, פועלים לפי ההוראות במדריך הזה.
  2. פיצול של אחוז קטן מהתנועה כדי לבדוק שהתנועה פועלת בצורה תקינה.
  3. מעדכנים את חלוקת התנועה כדי לשלוח את כלל התנועה לגרסה החדשה באמצעות יציאה ישירה מ-VPC.

כדי להעביר תנועה עם יציאה ישירה מ-VPC לשירות, משתמשים בGoogle Cloud מסוף או ב-Google Cloud CLI:

המסוף

  1. במסוף Google Cloud , נכנסים לדף Services של Cloud Run:

    כניסה ל-Cloud Run

  2. לוחצים על השירות שרוצים להעביר מ-Connector ל-Direct VPC egress, ואז לוחצים על Edit and deploy new revision (עריכה ופריסה של גרסה חדשה).

  3. נכנסים לכרטיסייה Networking.

  4. בקטע Connect to a VPC for outbound traffic (חיבור ל-VPC לתעבורה יוצאת), לוחצים על Send traffic directly to a VPC (שליחת תעבורה ישירות ל-VPC).

  5. בוחרים באפשרות רשתות ששותפו איתי.

  6. בשדה Network (רשת), בוחרים את רשת ה-VPC המשותף שאליה רוצים להפנות את התנועה.

  7. בשדה Subnet (רשת משנה), בוחרים את רשת המשנה שבה השירות מקבל כתובות IP. אפשר לפרוס כמה שירותים באותה רשת משנה.

  8. אופציונלי: מזינים את השמות של תגי הרשת שרוצים לשייך לשירות או לשירותים. תגי רשת מצוינים ברמת הגרסה. לכל גרסה של שירות יכולים להיות תגי רשת שונים, כמו network-tag-2.

  9. בקטע Traffic routing (ניתוב תנועה), בוחרים באחת מהאפשרויות הבאות:

    • הפניית בקשות רק לכתובות IP פרטיות אל ה-VPC כדי לשלוח תעבורה רק לכתובות פנימיות דרך רשת ה-VPC המשותפת.
    • ניתוב כל התנועה אל ה-VPC כדי לשלוח את כל התנועה היוצאת דרך רשת ה-VPC המשותפת.

  10. לוחצים על פריסה.

  11. כדי לוודא שהשירות שלכם נמצא ברשת ה-VPC המשותפת, לוחצים על השירות ואז על הכרטיסייה Networking (רשת). הרשת ותת-הרשת מופיעות בכרטיס VPC.

    מעכשיו אפשר לשלוח בקשות ישירות משירות Cloud Run לכל משאב ברשת VPC המשותף, בהתאם לכללי חומת האש.

gcloud

כדי להעביר שירות Cloud Run ממחבר ליציאה ישירה של VPC באמצעות Google Cloud CLI:

  1. כדי לעדכן את השירות ברשת המשנה המשותפת, צריך לציין את שמות המשאבים שמוגדרים במלואם עבור רשת ה-VPC המשותפת ורשת המשנה באמצעות הפקודה הבאה:

    gcloud beta run services update SERVICE_NAME \
  --clear-network \
  --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \
  --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \
  --network-tags NETWORK_TAG_NAMES \
  --vpc-egress=EGRESS_SETTING \
  --region REGION \
  --max-instances MAX

    מחליפים את מה שכתוב בשדות הבאים:

    • SERVICE_NAME: השם של שירות Cloud Run.
    • IMAGE_URL: כתובת ה-URL של התמונה של השירות.
    • HOST_PROJECT_ID: מזהה הפרויקט של ה-VPC המשותף.
    • VPC_NETWORK: השם של רשת ה-VPC המשותפת.
    • REGION: האזור של שירות Cloud Run, שחייב להיות זהה לאזור של רשת המשנה.
    • SUBNET_NAME: השם של רשת המשנה.
    • אופציונלי: NETWORK_TAG_NAMES עם השמות של תגי הרשת שרוצים לשייך לשירות, מופרדים בפסיקים. בשירותים, תגי הרשת מצוינים ברמת השינוי. לכל גרסה של שירות יכולים להיות תגי רשת שונים, כמו network-tag-2.
    • EGRESS_SETTING עם ערך של הגדרת יציאה:
      • all-traffic: שולח את כל התעבורה היוצאת דרך רשת ה-VPC המשותפת.
      • private-ranges-only: שולח תעבורה רק לכתובות פנימיות דרך רשת ה-VPC המשותפת.
    • MAX: המספר המקסימלי של מופעים לשימוש ברשת VPC משותפת. המספר המקסימלי של מופעים שמותר להשתמש בהם בשירותים הוא 100.

    פרטים נוספים וארגומנטים אופציונליים מופיעים במאמר gcloud.

  2. כדי לוודא שהשירות נמצא ברשת ה-VPC המשותפת, מריצים את הפקודה הבאה:

    gcloud beta run services describe SERVICE_NAME \
--region=REGION

    מחליפים את:

    • SERVICE_NAME בשם של השירות.
    • REGION באזור השירות שציינתם בשלב הקודם.

    הפלט צריך לכלול את השם של הרשת, רשת המשנה והגדרת תעבורת הנתונים היוצאת (egress), למשל:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

עכשיו אפשר לשלוח בקשות משירות Cloud Run לכל משאב ברשת ה-VPC המשותפת, בהתאם לכללי חומת האש.

העברת משימות ליציאה ישירה של VPC

אתם יכולים להעביר תנועה באמצעות יציאה ישירה מ-VPC למשימה באמצעותGoogle Cloud המסוף או Google Cloud CLI.

המסוף

  1. נכנסים לדף Jobs ב-Cloud Run במסוף Google Cloud :

    כניסה ל-Cloud Run

  2. לוחצים על העבודה שרוצים להעביר ממחבר ליציאה ישירה של VPC, ואז לוחצים על עריכה.

  3. נכנסים לכרטיסייה Networking.

  4. לוחצים על Container, Variables & Secrets, Connections, Security (מאגר, משתנים וסודות, חיבורים, אבטחה) כדי להרחיב את דף מאפייני העבודה.

  5. לוחצים על הכרטיסייה Connections (קישורים).

  6. בקטע Connect to a VPC for outbound traffic (חיבור ל-VPC לתעבורה יוצאת), לוחצים על Send traffic directly to a VPC (שליחת תעבורה ישירות ל-VPC).

  7. בוחרים באפשרות רשתות ששותפו איתי.

  8. בשדה Network (רשת), בוחרים את רשת ה-VPC המשותף שאליה רוצים להפנות את התנועה.

  9. בשדה Subnet (רשת משנה), בוחרים את רשת המשנה שממנה המשימה מקבלת כתובות IP. אפשר לפרוס כמה משימות באותה רשת משנה.

  10. אופציונלי: מזינים את השמות של תגי הרשת שרוצים לשייך למשרה. במקרה של עבודות, תגי הרשת מצוינים ברמת הביצוע. לכל הפעלה של עבודה יכולים להיות תגים שונים של רשת, כמו network-tag-2.

  11. בקטע Traffic routing (ניתוב תנועה), בוחרים באחת מהאפשרויות הבאות:

    • הפניית בקשות רק לכתובות IP פרטיות אל ה-VPC כדי לשלוח תעבורה רק לכתובות פנימיות דרך רשת ה-VPC המשותפת.
    • ניתוב כל התנועה אל ה-VPC כדי לשלוח את כל התנועה היוצאת דרך רשת ה-VPC המשותפת.

  12. לוחצים על עדכון.

  13. כדי לוודא שהעבודה שלכם נמצאת ברשת ה-VPC המשותפת, לוחצים על העבודה ואז על הכרטיסייה הגדרה. הרשת ותת-הרשת מופיעות בכרטיס VPC.

עכשיו אפשר להריץ את העבודה ב-Cloud Run ולשלוח בקשות מהעבודה לכל משאב ברשת ה-VPC המשותפת, בהתאם לכללי חומת האש.

gcloud

כדי להעביר משימת Cloud Run ממחבר ליציאה ישירה של VPC באמצעות Google Cloud CLI:

  1. מריצים את הפקודה gcloud run jobs update עם הדגל הבא כדי לנתק את העבודה מרשת ה-VPC המשותפת:

    gcloud run jobs update JOB_NAME --region=REGION \
--clear-network

    מחליפים את מה שכתוב בשדות הבאים:

    • JOB_NAME: השם של משימת Cloud Run.
    • REGION: האזור של המשימה ב-Cloud Run.

  2. מעדכנים את העבודה ברשת המשנה המשותפת על ידי ציון שמות המשאבים שמוגדרים במלואם עבור רשת ה-VPC המשותפת ורשת המשנה באמצעות הפקודה הבאה:

    gcloud beta run jobs create JOB_NAME \
  --clear-network \
  --image IMAGE_URL \
  --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \
  --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \
  --network-tags NETWORK_TAG_NAMES \
  --vpc-egress=EGRESS_SETTING \
  --region REGION \
  --max-instances MAX

    מחליפים את מה שכתוב בשדות הבאים:

    • JOB_NAME: השם של משימת Cloud Run.
    • IMAGE_URL: כתובת ה-URL של התמונה של המשרה.
    • HOST_PROJECT_ID: מזהה הפרויקט של ה-VPC המשותף.
    • VPC_NETWORK: השם של רשת ה-VPC המשותפת.
    • REGION: האזור של המשימה ב-Cloud Run, שחייב להיות זהה לאזור של רשת המשנה.
    • SUBNET_NAME: השם של רשת המשנה.
    • אופציונלי: NETWORK_TAG_NAMES עם השמות המופרדים בפסיקים של תגי הרשת שרוצים לשייך למשרה. לכל הפעלה של עבודה יכולים להיות תגים שונים של רשתות, כמו network-tag-2.
    • EGRESS_SETTING עם ערך של הגדרת יציאה:
      • all-traffic: שולח את כל התעבורה היוצאת דרך רשת ה-VPC המשותפת.
      • private-ranges-only: שולח תעבורה רק לכתובות פנימיות דרך רשת ה-VPC המשותפת.

    פרטים נוספים וארגומנטים אופציונליים מופיעים במאמר gcloud.

  3. כדי לוודא שהעבודה שלכם נמצאת ברשת ה-VPC המשותפת, מריצים את הפקודה הבאה:

    gcloud beta run jobs describe JOB_NAME \
--region=REGION

    מחליפים את:

    • JOB_NAME בשם של המשימה.
    • REGION באזור של המשרה שציינתם בשלב הקודם.

    הפלט צריך לכלול את השם של הרשת, רשת המשנה והגדרת תעבורת הנתונים היוצאת (egress), למשל:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

עכשיו אפשר לשלוח בקשות מהמשימה ב-Cloud Run לכל משאב ברשת ה-VPC המשותפת, בהתאם לכללי חומת האש.