Questa pagina è dedicata agli esperti di networking che vogliono eseguire la migrazione del traffico di rete VPC condiviso dall'utilizzo dei connettori di accesso VPC serverless all'utilizzo del traffico VPC diretto in uscita quando inviano traffico a una rete VPC condiviso.
Il traffico di rete in uscita VPC diretto è più veloce e può gestire più traffico rispetto ai connettori, offrendo una latenza inferiore e una velocità effettiva maggiore perché utilizza un nuovo percorso di rete diretto anziché istanze del connettore.
Prima della migrazione, ti consigliamo di acquisire familiarità con i prerequisiti, le limitazioni, l'allocazione degli indirizzi IP e le autorizzazioni IAM dell'uscita VPC diretta.
Esegui la migrazione dei servizi al VPC diretto in uscita
Esegui la migrazione graduale dei servizi a VPC diretto in uscita
Quando esegui la migrazione dei servizi Cloud Run dai connettori di accesso VPC serverless al traffico VPC diretto in uscita, ti consigliamo di farlo in modo graduale.
Per eseguire la transizione gradualmente:
- Segui le istruzioni riportate in questa guida per aggiornare il servizio o il job in modo che utilizzi l'uscita VPC diretto.
- Dividi una piccola percentuale di traffico per verificare che funzioni correttamente.
- Aggiorna la suddivisione del traffico per inviare tutto il traffico alla nuova revisione utilizzando l'uscita VPC diretta.
Per eseguire la migrazione del traffico con l'uscita VPC diretto per un servizio, utilizza la consoleGoogle Cloud o Google Cloud CLI:
Console
Nella console Google Cloud , vai alla pagina Servizi di Cloud Run:
Fai clic sul servizio di cui vuoi eseguire la migrazione da un connettore all'uscita VPC diretta, quindi fai clic su Modifica ed esegui il deployment di una nuova revisione.
Fai clic sulla scheda Networking.
In Connettiti a un VPC per il traffico in uscita, fai clic su Invia il traffico direttamente a un VPC.
Seleziona Reti condivise con me.
Nel campo Rete, seleziona la rete VPC condiviso a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il servizio riceve gli indirizzi IP. Puoi eseguire il deployment di più servizi nella stessa subnet.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare al tuo servizio o ai tuoi servizi. I tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere tag di rete diversi, ad esempio
network-tag-2.Per Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo richieste a IP privati per inviare solo traffico agli indirizzi interni tramite la rete VPC condiviso.
- Instrada al VPC tutto il traffico per inviare tutto il traffico in uscita tramite la reteVPC condivisoa.
Fai clic su Esegui il deployment.
Per verificare che il servizio si trovi nella rete VPC condiviso, fai clic sul servizio, quindi sulla scheda Networking. La rete e la subnet sono elencate nella scheda VPC.
Ora puoi inviare richieste direttamente dal tuo servizio Cloud Run a qualsiasi risorsa sulla rete VPC condiviso, come consentito dalle regole firewall.
gcloud
Per eseguire la migrazione di un servizio Cloud Run da un connettore al traffico in uscita VPC diretto utilizzando Google Cloud CLI:
Aggiorna il servizio sulla subnet condivisa specificando i nomi delle risorse completi per la reteVPC condivisoa e la subnet utilizzando il seguente comando:
gcloud beta run services update SERVICE_NAME \ --clear-network \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Sostituisci quanto segue:
- SERVICE_NAME: il nome del tuo servizio Cloud Run.
- IMAGE_URL: l'URL dell'immagine del servizio.
- HOST_PROJECT_ID: l'ID del tuo progetto VPC condiviso.
- VPC_NETWORK: il nome della tua rete VPC condiviso.
- REGION: la regione per il servizio Cloud Run, che deve corrispondere alla regione della subnet.
- SUBNET_NAME: il nome della tua subnet.
- (Facoltativo) NETWORK_TAG_NAMES con i nomi separati da virgole dei tag di rete che vuoi associare a un servizio. Per i servizi, i tag di rete vengono specificati
a livello di revisione. Ogni revisione del servizio può avere tag di rete diversi, ad esempio
network-tag-2. - EGRESS_SETTING con un
valore di impostazione di uscita:
all-traffic: invia tutto il traffico in uscita tramite la rete VPC condiviso.private-ranges-only: invia solo il traffico agli indirizzi interni tramite la rete VPC condiviso.
- MAX: il numero massimo di istanze da utilizzare per la rete VPC condiviso. Il numero massimo di istanze consentito per i servizi è 100.
Per maggiori dettagli e argomenti facoltativi, consulta la documentazione di riferimento di
gcloud.Per verificare che il servizio si trovi nella rete VPC condiviso, esegui questo comando:
gcloud beta run services describe SERVICE_NAME \ --region=REGION
Sostituisci:
SERVICE_NAMEcon il nome del tuo servizio.REGIONcon la regione per il tuo servizio che hai specificato nel passaggio precedente.
L'output dovrebbe contenere il nome della rete, della subnet e dell'impostazione di uscita, ad esempio:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ora puoi inviare richieste dal tuo servizio Cloud Run a qualsiasi risorsa sulla rete VPC condiviso, come consentito dalle regole firewall.
Eseguire la migrazione dei job a VPC diretto in uscita
Puoi eseguire la migrazione del traffico con l'uscita VPC diretta per un job utilizzando la consoleGoogle Cloud o Google Cloud CLI.
Console
Nella console Google Cloud , vai alla pagina Job di Cloud Run:
Fai clic sul job di cui vuoi eseguire la migrazione da un connettore a Direct VPC egress, poi fai clic su Modifica.
Fai clic sulla scheda Networking.
Fai clic su Container, variabili e secret, connessioni, sicurezza per espandere la pagina delle proprietà del job.
Fai clic sulla scheda Connessioni.
In Connettiti a un VPC per il traffico in uscita, fai clic su Invia il traffico direttamente a un VPC.
Seleziona Reti condivise con me.
Nel campo Rete, seleziona la rete VPC condiviso a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il job riceve gli indirizzi IP. Puoi eseguire il deployment di più job nella stessa subnet.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare a un job. Per i job, i tag di rete vengono specificati a livello di esecuzione. Ogni esecuzione del job può avere tag di rete diversi, ad esempio
network-tag-2.Per Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo richieste a IP privati per inviare solo traffico agli indirizzi interni tramite la rete VPC condiviso.
- Instrada al VPC tutto il traffico per inviare tutto il traffico in uscita tramite la reteVPC condivisoa.
Fai clic su Aggiorna.
Per verificare che il job si trovi nella rete VPC condiviso, fai clic sul job, quindi sulla scheda Configurazione. La rete e la subnet sono elencate nella scheda VPC.
Ora puoi eseguire il tuo job Cloud Run e inviare richieste dal job a qualsiasi risorsa sulla rete VPC condiviso, come consentito dalle regole firewall.
gcloud
Per eseguire la migrazione di un job Cloud Run da un connettore al traffico in uscita VPC diretto utilizzando Google Cloud CLI:
Scollega il job dalla rete VPC condiviso eseguendo il comando
gcloud run jobs updatecon il seguente flag:gcloud run jobs update JOB_NAME --region=REGION \ --clear-network
Sostituisci quanto segue:
- JOB_NAME: il nome del tuo job Cloud Run.
- REGION: la regione del tuo job Cloud Run.
Aggiorna il job nella subnet condivisa specificando i nomi delle risorse completamente qualificati per la reteVPC condivisoa e la subnet utilizzando il seguente comando:
gcloud beta run jobs create JOB_NAME \ --clear-network \ --image IMAGE_URL \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Sostituisci quanto segue:
- JOB_NAME: il nome del tuo job Cloud Run.
- IMAGE_URL: l'URL dell'immagine del job.
- HOST_PROJECT_ID: l'ID del tuo progetto VPC condiviso.
- VPC_NETWORK: il nome della tua rete VPC condiviso.
- REGION: la regione per il job Cloud Run, che deve corrispondere alla regione della subnet.
- SUBNET_NAME: il nome della tua subnet.
- (Facoltativo) NETWORK_TAG_NAMES con i nomi separati da virgole dei tag di rete che vuoi associare a un job. Ogni esecuzione del job può avere tag di rete diversi, ad esempio
network-tag-2. - EGRESS_SETTING con un
valore di impostazione di uscita:
all-traffic: invia tutto il traffico in uscita tramite la rete VPC condiviso.private-ranges-only: invia solo il traffico agli indirizzi interni tramite la rete VPC condiviso.
Per maggiori dettagli e argomenti facoltativi, consulta la documentazione di riferimento di
gcloud.Per verificare che il job si trovi nella rete VPC condiviso, esegui il seguente comando:
gcloud beta run jobs describe JOB_NAME \ --region=REGION
Sostituisci:
JOB_NAMEcon il nome del job.REGIONcon la regione del job specificata nel passaggio precedente.
L'output dovrebbe contenere il nome della rete, della subnet e dell'impostazione di uscita, ad esempio:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ora puoi inviare richieste dal tuo job Cloud Run a qualsiasi risorsa sulla rete VPC condiviso, come consentito dalle regole firewall.