Questa pagina è rivolta agli specialisti di rete che vogliono eseguire la migrazione del traffico di rete VPC condiviso dall'utilizzo dei connettori di accesso VPC serverless all'utilizzo del traffico in uscita VPC diretto quando inviano traffico a una rete VPC condivisa.
Il traffico in uscita VPC diretto è più veloce e può gestire più traffico rispetto ai connettori, offrendo una latenza inferiore e un throughput maggiore perché utilizza un nuovo percorso di rete diretto anziché le istanze del connettore.
Prima della migrazione, ti consigliamo di acquisire familiarità con i prerequisiti, le limitazioni, l'allocazione degli indirizzi IPe le autorizzazioni IAMdel traffico in uscita VPC diretto .
I connettori continuano a generare addebiti anche se non hanno traffico e sono disconnessi. Per i dettagli, consulta Prezzi. Se non hai più bisogno del connettore, assicurati di eliminarlo per evitare la fatturazione continua.
Eseguire la migrazione graduale dei servizi al traffico in uscita VPC diretto
Quando esegui la migrazione dei servizi Cloud Run dai connettori di accesso VPC serverless al traffico in uscita VPC diretto, ti consigliamo di farlo in una transizione graduale.
Per eseguire la transizione gradualmente:
- Segui le istruzioni riportate in questa guida per aggiornare il servizio o il job in modo da utilizzare il traffico in uscita VPC diretto.
- Dividi una piccola percentuale di traffico per verificare che funzioni correttamente.
- Aggiorna la suddivisione del traffico in modo da inviare tutto il traffico alla nuova revisione utilizzando il traffico in uscita VPC diretto.
Per eseguire la migrazione del traffico con il traffico in uscita VPC diretto per un servizio, utilizza la Google Cloud console o Google Cloud CLI:
Console
Nella Google Cloud console, vai alla pagina Servizi di Cloud Run:
Fai clic sul servizio di cui vuoi eseguire la migrazione da un connettore al traffico in uscita VPC diretto, quindi fai clic su Modifica ed esegui il deployment di una nuova revisione.
Fai clic sulla scheda Networking.
In Connetti a un VPC per il traffico in uscita, fai clic su Invia il traffico direttamente a un VPC.
Seleziona Reti condivise con me.
Nel campo Rete, seleziona la rete VPC condiviso a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il servizio riceve gli indirizzi IP. Puoi eseguire il deployment di più servizi sulla stessa subnet.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare al servizio o ai servizi. I tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere tag di rete diversi, ad esempio
network-tag-2.In Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo richieste a IP privati per inviare solo il traffico agli indirizzi interni tramite la rete VPC condiviso.
- Instrada al VPC tutto il traffico per inviare tutto il traffico in uscita tramite la rete VPC condiviso.
Fai clic su Esegui il deployment.
Per verificare che il servizio si trovi nella rete VPC condiviso, fai clic sul servizio, quindi fai clic sulla scheda Networking. La rete e la subnet sono elencate nella scheda VPC.
Ora puoi inviare richieste direttamente dal servizio Cloud Run a qualsiasi risorsa sulla rete VPC condiviso, come consentito dalle regole firewall.
gcloud
Per eseguire la migrazione di un servizio Cloud Run da un connettore al traffico in uscita VPC diretto utilizzando Google Cloud CLI:
Aggiorna il servizio sulla subnet condivisa specificando i nomi completi delle risorse per la rete VPC condiviso e la subnet utilizzando il seguente comando:
gcloud run services update SERVICE_NAME \ --clear-network \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Sostituisci quanto segue:
- SERVICE_NAME: il nome del servizio Cloud Run.
- IMAGE_URL: l'URL dell'immagine del servizio.
- HOST_PROJECT_ID: l'ID del progetto VPC condiviso.
- VPC_NETWORK: il nome della rete VPC condiviso.
- REGION: la regione del servizio Cloud Run, che deve corrispondere alla regione della subnet.
- SUBNET_NAME: il nome della subnet.
- (Facoltativo) NETWORK_TAG_NAMES con i nomi separati da virgole dei
tag di rete che
vuoi associare a un servizio. Per i servizi, i tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere tag di rete diversi, ad esempio
network-tag-2. - EGRESS_SETTING con un
valore di impostazione del traffico in uscita:
all-traffic: invia tutto il traffico in uscita tramite la rete VPC condiviso.private-ranges-only: invia solo il traffico agli indirizzi interni tramite la rete VPC condiviso.
- MAX: il numero massimo di istanze da utilizzare per la rete VPC condiviso. Il numero massimo di istanze consentito per i servizi è 100.
Per maggiori dettagli e argomenti facoltativi, consulta la
gclouddocumentazione di riferimento.Per verificare che il servizio si trovi nella rete VPC condiviso, esegui questo comando:
gcloud run services describe SERVICE_NAME \ --region=REGION
Sostituisci:
SERVICE_NAMEcon il nome del servizio.REGIONcon la regione del servizio specificata nel passaggio precedente.
L'output dovrebbe contenere il nome della rete, della subnet e dell'impostazione del traffico in uscita, ad esempio:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ora puoi inviare richieste dal servizio Cloud Run a qualsiasi risorsa sulla rete VPC condiviso, come consentito dalle regole firewall.
Eseguire la migrazione dei job al traffico in uscita VPC diretto
Puoi eseguire la migrazione del traffico con il traffico in uscita VPC diretto per un job utilizzando la Google Cloud console o Google Cloud CLI.
Console
Nella Google Cloud console, vai alla pagina Job di Cloud Run:
Fai clic sul job di cui vuoi eseguire la migrazione da un connettore al traffico in uscita VPC diretto, quindi fai clic su Modifica.
Fai clic sulla scheda Networking.
Fai clic su Container, variabili e secret, connessioni, sicurezza per espandere la pagina delle proprietà del job.
Fai clic sulla scheda Connessioni.
In Connetti a un VPC per il traffico in uscita, fai clic su Invia il traffico direttamente a un VPC.
Seleziona Reti condivise con me.
Nel campo Rete, seleziona la rete VPC condiviso a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il job riceve gli indirizzi IP. Puoi eseguire il deployment di più job sulla stessa subnet.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare a un job. Per i job, i tag di rete vengono specificati a livello di esecuzione. Ogni esecuzione del job può avere tag di rete diversi, ad esempio
network-tag-2.In Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo richieste a IP privati per inviare solo il traffico agli indirizzi interni tramite la rete VPC condiviso.
- Instrada al VPC tutto il traffico per inviare tutto il traffico in uscita tramite la rete VPC condiviso.
Fai clic su Aggiorna.
Per verificare che il job si trovi nella rete VPC condiviso, fai clic sul job, quindi fai clic sulla scheda Configurazione. La rete e la subnet sono elencate nella scheda VPC.
Ora puoi eseguire il job Cloud Run e inviare richieste dal job a qualsiasi risorsa sulla rete VPC condiviso, come consentito dalle regole firewall.
gcloud
Per eseguire la migrazione di un job Cloud Run da un connettore al traffico in uscita VPC diretto utilizzando Google Cloud CLI:
Disconnetti il job dalla rete VPC condiviso eseguendo il
gcloud run jobs updatecomando con il seguente flag:gcloud run jobs update JOB_NAME --region=REGION \ --clear-network
Sostituisci quanto segue:
- JOB_NAME: il nome del job Cloud Run.
- REGION: la regione del job Cloud Run.
Aggiorna il job sulla subnet condivisa specificando i nomi completi delle risorse per la rete VPC condiviso e la subnet utilizzando il seguente comando:
gcloud run jobs create JOB_NAME \ --clear-network \ --image IMAGE_URL \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Sostituisci quanto segue:
- JOB_NAME: il nome del job Cloud Run.
- IMAGE_URL: l'URL dell'immagine del job.
- HOST_PROJECT_ID: l'ID del progetto VPC condiviso.
- VPC_NETWORK: il nome della rete VPC condiviso.
- REGION: la regione del job Cloud Run, che deve corrispondere alla regione della subnet.
- SUBNET_NAME: il nome della subnet.
- (Facoltativo) NETWORK_TAG_NAMES con i nomi separati da virgole dei
tag di rete che
vuoi associare a un job. Ogni esecuzione del job può avere tag di rete diversi, ad esempio
network-tag-2. - EGRESS_SETTING con un
valore di impostazione del traffico in uscita:
all-traffic: invia tutto il traffico in uscita tramite la rete VPC condiviso.private-ranges-only: invia solo il traffico agli indirizzi interni tramite la rete VPC condiviso.
Per maggiori dettagli e argomenti facoltativi, consulta la
gclouddocumentazione di riferimento.Per verificare che il job si trovi nella rete VPC condiviso, esegui questo comando:
gcloud run jobs describe JOB_NAME \ --region=REGION
Sostituisci:
JOB_NAMEcon il nome del job.REGIONcon la regione del job specificata nel passaggio precedente.
L'output dovrebbe contenere il nome della rete, della subnet e dell'impostazione del traffico in uscita, ad esempio:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ora puoi inviare richieste dal job Cloud Run a qualsiasi risorsa sulla rete VPC condiviso, come consentito dalle regole firewall.