Questa pagina descrive come inviare traffico in uscita (outbound) da un servizio o job Cloud Run a una rete VPC condiviso, consentendo l'accesso a istanze VM Compute Engine, istanze Memorystore e a qualsiasi altra risorsa con un indirizzo IP interno.
Se la tua organizzazione non utilizza Shared VPC, consulta Inviare traffico a una rete VPC standard.
Confronto dei metodi di configurazione
La connessione a una rete VPC condivisa può essere configurata in diversi modi:
VPC diretto in uscita
Puoi utilizzare il traffico VPC diretto in uscita per inviare traffico a una rete VPC condiviso senza bisogno di connettori di accesso VPC serverless. Per configurare il traffico in uscita (in uscita) senza un connettore, consulta Traffico VPC diretto in uscita con una VPC condiviso condivisa.
Connettori di accesso VPC serverless
Se devi utilizzare i connettori di accesso VPC serverless, puoi configurarli nei progetti di servizio VPC condiviso che hanno risorse Cloud Run che devono accedere alla tua rete oppure puoi configurare i connettori condivisi nel progetto host VPC condiviso. Esistono vantaggi di ciascun metodo.
Progetti di servizio
Vantaggi della creazione di connettori nei progetti di servizio del VPC condiviso:
- Isolamento: ogni connettore ha una larghezza di banda dedicata e non è interessato dal dell'uso della larghezza di banda dei connettori in altri progetti di servizio. Questa opzione è utile se hai un servizio che presenta picchi di traffico o se devi assicurarti che ogni progetto di servizio non sia interessato dall'utilizzo del connettore da parte di altri progetti di servizio.
- Storni di addebito: gli addebiti sostenuti dai connettori sono associati alla progetto di servizio contenente il connettore. In questo modo, i chargeback sono più semplici.
- Sicurezza: ti consente di seguire il "principio del privilegio minimo". Ai connettori deve essere concesso l'accesso alle risorse della rete VPC condivisa che devono raggiungere. Creando un connettore nel servizio puoi limitare gli elementi a cui possono accedere i servizi del progetto utilizzando le regole del firewall.
- Indipendenza del team: riduce la dipendenza dall'amministratore del progetto host.
I team possono creare e gestire i connettori associati al loro servizio
progetto. Un utente con Compute Engine
nel ruolo Amministratore sicurezza o
il ruolo personalizzato Identity and Access Management (IAM) con il
compute.firewalls.createabilitata per il progetto host deve comunque gestire le regole firewall il connettore.
Per configurare i connettori nei progetti di servizio, consulta Configurare i connettori nei progetti di servizio.
Progetto host
Vantaggi della creazione di connettori nel progetto host del VPC condiviso:
- Gestione della rete centralizzata: è in linea con il modello VPC condiviso per centralizzare le risorse di configurazione della rete nel progetto host.
- Spazio di indirizzi IP:conserva una quantità maggiore di spazio di indirizzi IP. I connettori require un indirizzo IP per ogni istanza, quindi avere meno connettori e meno istanze in ogni connettore consente di utilizzare meno indirizzi IP. Questo va bene se temi di esaurire gli indirizzi IP.
- Manutenzione: riduce la manutenzione perché ogni connettore che crei può essere utilizzato da più progetti di servizio. È una buona soluzione se temi per l'overhead per la manutenzione.
- Costo per il tempo di inattività: può ridurre il tempo di inattività del connettore e a costo associato. I connettori comportano costi anche quando non vengono pubblicati (vedi i prezzi). Avere meno risorse i connettori possono ridurre la quantità di risorse che paghi quando non gestisci a seconda del tipo di connettore e del numero di istanze. Questo è spesso conveniente se il caso d'uso prevede un gran numero di servizi e i servizi vengono usati raramente.
Per configurare i connettori nel progetto host, consulta Configurare i connettori nel progetto host.