En esta página, se describe cómo enviar tráfico de salida (saliente) de un servicio o trabajo de Cloud Run a una red de VPC compartida, lo que permite el acceso a instancias de VM de Compute Engine, instancias de Memorystore y cualquier otro otros recursos con una dirección IP interna.
Si tu organización no usa una VPC compartida, consulta Envía tráfico a una red de VPC estándar.
Comparación de los métodos de configuración
La conexión a una red de VPC compartida se puede configurar de diferentes maneras:
Salida de VPC directa
Puedes usar la salida de VPC directa (vista previa) para enviar tráfico a una red de VPC compartida sin necesidad de usar conectores de Acceso a VPC sin servidores. Para configurar el tráfico de salida (saliente) sin un conector, consulta Salida de VPC directa con una red de VPC compartida.
Conectores de Acceso a VPC sin servidores
Si necesitas usar conectores de Acceso a VPC sin servidores, puedes configurarlos en proyectos de servicio de VPC compartida que tengan recursos de Cloud Run que necesiten acceso a tu red, o puedes configurar conectores compartidos en el proyecto host de la VPC compartida. Cada método tiene ventajas.
Proyectos de servicio
Ventajas de crear conectores en los proyectos de servicio de VPC compartida:
- Aislamiento: Cada conector tiene un ancho de banda dedicado y no se ve afectado por el uso del ancho de banda de los conectores en otros proyectos de servicio. Esto es bueno si tienes un servicio que experimenta aumentos repentinos de tráfico o si necesitas asegurarte de que cada proyecto de servicio no se vea afectado por el uso de conectores de otros proyectos de servicio.
- Devoluciones de cargos: Los cargos que generan los conectores están asociados al proyecto de servicio que contiene el conector. Esto facilita las devoluciones de cargos.
- Seguridad: Te permite seguir el “principio de privilegio mínimo”. Los conectores deben tener acceso a los recursos en tu red de VPC compartida a los que deben llegar. Si creas un conector en el proyecto de servicio, puedes limitar a qué pueden acceder los servicios del proyecto mediante reglas de firewall.
- Independencia del equipo: Reduce la dependencia del administrador del proyecto host.
Los equipos pueden crear y administrar los conectores asociados a su proyecto de servicio. Un usuario con la función Administrador de seguridad de Compute Engine o una función personalizada de Identity and Access Management (IAM) con el permiso
compute.firewalls.createhabilitado para el proyecto host de todos modos debe administrar las reglas de firewall para el conector.
Para configurar conectores en proyectos de servicio, consulta Configura conectores en proyectos de servicio.
Proyecto host
Ventajas de crear conectores en el proyecto host de VPC compartida:
- Administración de red centralizada: se alinea con el modelo de VPC compartida de centralización de los recursos de configuración de red en el proyecto host.
- Espacio de direcciones IP: Conserva más espacio de direcciones IP. Los conectores requieren una dirección IP para cada instancia, por lo que cuando se tienen menos conectores, y menos instancias en cada conector, se usan menos direcciones IP. Esto es bueno si te preocupa quedarse sin direcciones IP.
- Mantenimiento: Reduce el mantenimiento, ya que varios proyectos de servicio pueden usar cada conector que creas. Esto es bueno si te preocupa la sobrecarga de mantenimiento.
- Costo por tiempo de inactividad: Puede reducir la cantidad de tiempo de inactividad del conector y el costo asociado. Los conectores generan costos incluso cuando no entregan tráfico (consulta Precios). Tener menos conectores puede reducir la cantidad de recursos que pagas cuando no entrega tráfico, según el tipo de conector y la cantidad de instancias. Esto suele ser rentable si tu caso de uso implica una gran cantidad de servicios y estos se usan con poca frecuencia.
Para configurar conectores en el proyecto host, consulta Configura conectores en el proyecto host.