Auf dieser Seite wird beschrieben, wie Sie ausgehenden Traffic (Egress) von einem Cloud Run-Dienst oder -Job an ein freigegebenes VPC-Netzwerk senden, um den Zugriff auf Compute Engine-VM-Instanzen, Memorystore-Instanzen und andere Ressourcen mit einer internen IP-Adresse zu ermöglichen.
Wenn Ihre Organisation keine freigegebene VPC verwendet, lesen Sie den Abschnitt Traffic an ein Standard-VPC-Netzwerk senden.
Vergleich der Konfigurationsmethoden
Die Verbindung zu einem freigegebenen VPC-Netzwerk kann auf verschiedene Arten konfiguriert werden:
Ausgehender Direct VPC-Traffic
Sie können ausgehenden Direct VPC-Traffic (Vorschau) verwenden, um Traffic ohne Connectors für serverlosen VPC-Zugriff an ein freigegebenes VPC-Netzwerk zu senden. Informationen zum Einrichten von ausgehendem Traffic (Egress) ohne Connector finden Sie unter Ausgehender Direct VPC-Traffic mit einem freigegebenen VPC-Netzwerk.
Connectors für serverlosen VPC-Zugriff
Wenn Sie Connectors für serverlosen VPC-Zugriff verwenden müssen, können Sie diese in freigegebenen VPC-Dienstprojekten einrichten, die Cloud Run-Ressourcen haben, die Zugriff auf Ihr Netzwerk benötigen. Alternativ können Sie Folgendes freigegebene Connectors im freigegebenen VPC-Hostprojekt einrichten. Beide Methoden haben ihre Vorteile.
Dienstprojekte
Vorteile der Erstellung von Connectors in den Dienstprojekten einer freigegebenen VPC:
- Isolierung: Jeder Connector hat eine dedizierte Bandbreite und ist von der Bandbreitennutzung von Connectors anderer Dienstprojekte nicht betroffen. Dies ist hilfreich, wenn Sie einen Dienst haben, der Trafficspitzen aufweist, oder wenn Sie dafür sorgen müssen, dass jedes Dienstprojekt nicht von der Connector-Nutzung anderer Dienstprojekte betroffen ist.
- Rückbuchungen: Gebühren für Connectors sind mit dem Dienstprojekt verknüpft, das den Connector enthält. Dies ermöglicht einfachere Rückbuchungen.
- Sicherheit: Ermöglicht es, das Prinzip der geringsten Berechtigung anzuwenden. Connectors benötigen Zugriff auf die Ressourcen in Ihrem freigegebenen VPC-Netzwerk, die sie erreichen müssen. Durch Erstellen eines Connectors im Dienstprojekt können Sie den Zugriff der Dienste im Projekt mithilfe von Firewallregeln einschränken.
- Teamunabhängigkeit: Reduziert die Abhängigkeit vom Hostprojektadministrator.
Teams können die mit ihrem Dienstprojekt verknüpften Connectors erstellen und verwalten. Ein Nutzer mit der Compute Engine-Rolle Security Admin oder einer benutzerdefinierten IAM-Rolle (Identity and Access Management) mit der für das Hostprojekt aktivierten Berechtigung
compute.firewalls.createmuss dennoch Firewall-Regeln für den Connector verwalten.
Informationen zum Einrichten von Connectors in Dienstprojekten finden Sie unter Connectors in Dienstprojekten konfigurieren.
Hostprojekt
Vorteile der Erstellung von Connectors im freigegebenen VPC-Hostprojekt:
- Zentrale Netzwerkverwaltung: Entspricht dem Modell der freigegebenen VPC zur Zentralisierung von Netzwerkkonfigurationsressourcen im Hostprojekt.
- IP-Adressbereich: Behält mehr von Ihrem IP-Adressbereich bei. Connectors benötigen eine IP-Adresse für jede Instanz. Bei weniger Connectors (und weniger Instanzen in jedem Connector) werden dementsprechend weniger IP-Adressen benötigt. Dies ist hilfreich, wenn Sie befürchten, dass Ihnen keine IP-Adressen mehr zur Verfügung stehen.
- Wartung: Reduziert die Wartung, da jeder von Ihnen erstellte Connector von mehreren Dienstprojekten verwendet werden kann. Dies ist hilfreich, wenn Sie Bedenken hinsichtlich des Wartungsaufwands haben.
- Kosten für Inaktivität: Kann die Dauer der Verbindungszeit und die damit verbundenen Kosten für den Connector reduzieren. Connectors fallen auch dann an, wenn sie keinen Traffic bereitstellen (siehe Preise). Je nach Connector-Typ und Anzahl der Instanzen können weniger Connectors die Menge an Ressourcen reduzieren, für die Sie bezahlen, wenn kein Traffic bereitgestellt wird. Dies ist oft kostengünstig, wenn Ihr Anwendungsfall eine große Anzahl von Diensten umfasst und die Dienste selten verwendet werden.
Informationen zum Einrichten von Connectors im Hostprojekt finden Sie unter Connectors im Hostprojekt konfigurieren.