本页面介绍如何将来自 Cloud Run 服务或作业的出站流量(出站)发送到共享 VPC 网络,从而允许访问 Compute Engine 虚拟机实例、Memorystore 实例以及任何具有内部 IP 地址的其他资源。
如果您的组织不使用共享 VPC,请参阅将流量发送到标准 VPC 网络。
配置方法的比较
您可以通过不同的方式配置与共享 VPC 网络的连接:
直接 VPC 出站流量
您可以使用直接 VPC 出站流量将流量发送到共享 VPC 网络,而无需无服务器 VPC 访问通道连接器。如需设置不使用连接器的出站流量,请参阅使用共享 VPC 网络的直接 VPC 出站流量。
无服务器 VPC 访问通道连接器
如果您需要使用无服务器 VPC 访问通道连接器,可以在具有需要访问您网络的 Cloud Run 资源的共享 VPC 服务项目中进行设置,或者在共享 VPC 宿主项目中设置共享连接器。每种方法都有其优点。
服务项目
在共享 VPC 服务项目中创建连接器的优点:
- 隔离:每个连接器都有专用带宽,不受其他服务项目中的连接器带宽用量的影响。如果您的某个服务遇到流量高峰,或者您需要确保每个服务项目都不受其他服务项目的连接器使用影响,则此方法非常适用。
- 退款:连接器产生的费用与包含连接器的服务项目相关联。这可以简化退款操作。
- 安全性:允许您遵循“最小权限原则”。连接器必须获得它们在您的共享 VPC 网络中需要访问的资源的访问权限。通过在服务项目中创建连接器,您可以使用防火墙规则来限制项目中的服务可以访问的内容。
- 团队独立性:减少对宿主项目管理员的依赖。团队可以创建和管理与其服务项目关联的连接器。拥有 Compute Engine Security Admin 角色或自定义 Identity and Access Management (IAM) 角色并对宿主项目启用了
compute.firewalls.create
权限的用户仍必须管理连接器的防火墙规则。
如需在服务项目中设置连接器,请参阅在服务项目中配置连接器。
宿主项目
在共享 VPC 宿主项目中创建连接器的优势:
- 集中式网络管理:与宿主项目中集中网络配置资源的共享 VPC 模型对齐。
- IP 地址空间:保留更多 IP 地址空间。连接器需要每个实例匹配一个 IP 地址,因此连接器数量越少,每个连接器中实例数较少,使用的 IP 地址越少。适用于您担心 IP 地址用尽的情况。
- 维护:减少维护费用,因为您创建的每个连接器都可由多个服务项目使用。适用于担心维护开销过大的情况。
- 空闲时间费用:可以减少连接器空闲时间和相关费用。即使连接器不使用流量,也会产生费用(请参阅价格)。使用较少的连接器可以减少您在未使用流量时要付费的资源量,具体取决于您的连接器类型和实例数。如果您的用例涉及大量服务,并且服务的使用频率较低,则创建连接器会更经济实惠。
如需在宿主项目中设置连接器,请参阅在宿主项目中配置连接器。