Nesta página, descrevemos como enviar tráfego de saída (envio) de um serviço ou job do Cloud Run para uma rede VPC compartilhada, permitindo acesso a instâncias de VM do Compute Engine, instâncias do Memorystore e qualquer outro recurso com um endereço IP interno.
Se sua organização não usa VPC compartilhada, consulte Enviar tráfego para uma rede VPC padrão.
Comparação dos métodos de configuração
A conexão a uma rede VPC compartilhada pode ser configurada de diferentes maneiras:
Saída de VPC direta
Use a saída direta de VPC para enviar tráfego a uma rede VPC compartilhada sem precisar de conectores de acesso VPC sem servidor. Para configurar o tráfego de saída (envio) sem um conector, consulte Saída direta de VPC com uma rede VPC compartilhada.
Conectores de acesso VPC sem servidor
Se você precisar usar conectores de acesso VPC sem servidor, configure-os em projetos de serviço da VPC compartilhada com recursos do Cloud Run que precisam de acesso à sua rede ou configure conectores compartilhados no projeto host da VPC compartilhada. Há vantagens em cada método.
Projetos de serviço
Vantagens de criar conectores nos projetos de serviço da VPC compartilhada:
- Isolamento: cada conector tem largura de banda dedicada e não é afetado pelo uso da largura de banda de conectores em outros projetos de serviço. Isso é bom quando você tem um serviço com picos de tráfego ou se precisa garantir que cada projeto de serviço não seja afetado por usar conector de outros projetos de serviço.
- Estornos: as cobranças realizadas pelos conectores são associadas ao projeto de serviço que contém o conector. Isso facilita os estornos.
- Segurança: permite seguir o "princípio do menor privilégio". Os conectores precisam receber acesso aos recursos da sua rede VPC compartilhada que precisam acessar. Ao criar um conector no projeto de serviço, é possível limitar o que os serviços no projeto podem acessar usando regras de firewall.
- Independência da equipe: reduz a dependência no administrador do projeto host.
As equipes podem criar e gerenciar os conectores associados ao projeto de
serviço. Um usuário com o papel
Administrador de segurança do Compute Engine
ou um papel personalizado de Gerenciamento de identidade e acesso (IAM) com a permissão
compute.firewalls.create
ativada para o projeto host ainda precisa gerenciar regras de firewall para o conector.
Para configurar conectores em projetos de serviço, consulte Configurar conectores em projetos de serviço.
Projeto host
Vantagens de criar conectores no projeto host da VPC compartilhada:
- Gerenciamento de rede centralizado: está alinhado ao modelo de VPC compartilhada de centralizar recursos de configuração de rede no projeto host.
- Espaço de endereço IP:preserva mais espaço de endereço IP. Os conectores requerem um endereço IP para cada instância. Por isso, ter menos conectores e menos instâncias em cada conector usa menos endereços IP. Isso é bom quando você tem receio de ficar sem endereços IP.
- Manutenção: reduz a manutenção porque cada conector criado pode ser usado por vários projetos de serviço. Isso é bom se você estiver preocupado com a sobrecarga de manutenção.
- Custo por tempo ocioso: pode reduzir a quantidade de tempo ocioso do conector e do custo associado. Os conectores geram custos mesmo quando não estão veiculando tráfego (consulte preços). Ter menos conectores pode reduzir a quantidade de recursos que você paga quando não está disponibilizando tráfego, dependendo do tipo do seu conector e do número de instâncias. Isso costuma ser econômico quando o caso de uso envolve um grande número de serviços e os serviços são usados com pouca frequência.
Para configurar conectores no projeto host, consulte Configurar conectores no projeto host.