Questa pagina descrive come inviare il traffico in uscita (in uscita) da un servizio o un job Cloud Run a una rete VPC condiviso, per consentire l'accesso alle istanze VM di Compute Engine, alle istanze Memorystore e a qualsiasi altra risorsa con un indirizzo IP interno.
Se la tua organizzazione non utilizza il VPC condiviso, consulta Inviare il traffico a una rete VPC standard.
Confronto dei metodi di configurazione
La connessione a una rete VPC condiviso può essere configurata in diversi modi:
Traffico in uscita da VPC diretto
Puoi utilizzare il traffico in uscita da un VPC diretto per inviare traffico a una rete VPC condiviso senza la necessità di connettori di accesso VPC serverless. Per configurare il traffico in uscita (in uscita) senza un connettore, consulta Traffico VPC diretto in uscita con una VPC condiviso condivisa.
Connettori di accesso VPC serverless
Se devi utilizzare connettori di accesso VPC serverless, puoi configurarli nei progetti di servizio VPC condivisi con risorse Cloud Run che richiedono l'accesso alla tua rete oppure puoi configurare i connettori condivisi nel progetto host del VPC condiviso. Ogni metodo presenta dei vantaggi.
Progetti di servizio
Vantaggi della creazione di connettori nei progetti di servizio del VPC condiviso:
- Isolamento:ogni connettore ha una larghezza di banda dedicata e non è interessato dall'utilizzo della larghezza di banda dei connettori in altri progetti di servizio. Questa soluzione è utile se disponi di un servizio che presenta picchi di traffico o se devi assicurarti che ogni progetto di servizio non sia interessato dall'uso del connettore di altri progetti di servizio.
- Storni di addebito: i costi sostenuti dai connettori sono associati al progetto di servizio contenente il connettore. In questo modo è possibile eseguire più facilmente gli storni di addebito.
- Sicurezza: ti consente di seguire il "principio del privilegio minimo". Ai connettori deve essere concesso l'accesso alle risorse della tua rete VPC condiviso che devono raggiungere. Creando un connettore nel progetto di servizio, puoi limitare gli elementi a cui possono accedere i servizi nel progetto utilizzando le regole firewall.
- Indipendenza del team: riduce la dipendenza dall'amministratore del progetto host.
I team possono creare e gestire i connettori associati al loro progetto di servizio. Un utente con il ruolo Amministratore sicurezza di Compute Engine o un ruolo Identity and Access Management (IAM) personalizzato con l'autorizzazione
compute.firewalls.createabilitata per il progetto host deve comunque gestire le regole firewall per il connettore.
Per configurare i connettori nei progetti di servizio, consulta Configurare i connettori nei progetti di servizio.
Progetto host
Vantaggi della creazione di connettori nel progetto host del VPC condiviso:
- Gestione della rete centralizzata: si allinea al modello VPC condiviso che prevede la centralizzazione delle risorse di configurazione di rete nel progetto host.
- Spazio di indirizzi IP:conserva una quantità maggiore di spazio di indirizzi IP. I connettori richiedono un indirizzo IP per ogni istanza, perciò avere meno connettori e meno istanze in ogni connettore, comporta meno indirizzi IP. Questa soluzione è utile se ti preoccupa il esaurimento degli indirizzi IP.
- Manutenzione: riduce la manutenzione perché ogni connettore che crei può essere utilizzato da più progetti di servizio. Ciò è ideale se hai dubbi in merito all'overhead di manutenzione.
- Costo per tempo di inattività: può ridurre la quantità di tempo di inattività del connettore e i costi associati. I connettori comportano costi anche quando non gestiscono traffico (vedi i pricing). Avere meno connettori può ridurre la quantità di risorse da pagare quando non gestisci il traffico, a seconda del tipo di connettore e del numero di istanze. Questo è spesso conveniente se il tuo caso d'uso prevede un numero elevato di servizi e questi servizi vengono utilizzati raramente.
Per configurare i connettori nel progetto host, consulta Configurare i connettori nel progetto host.