Esta página destina-se a especialistas em redes que querem migrar o tráfego de rede da VPC padrão da utilização de conetores do Acesso a VPC sem servidor para a utilização de saída da VPC direta quando enviam tráfego para uma rede da VPC.
A saída da VPC direta é mais rápida e pode processar mais tráfego do que os conetores, oferecendo uma latência mais baixa e um débito mais elevado, uma vez que usa um novo caminho de rede direto em vez de instâncias de conetores.
Antes da migração, recomendamos que se familiarize com os pré-requisitos, limitações, atribuição de endereços IP, autorizações de IAM e regras de firewall de saída da VPC direta.
Migre serviços para a saída da VPC direta
Migre os serviços para a saída da VPC direta gradualmente
Quando migrar os serviços do Cloud Run de conetores do Acesso a VPC sem servidor para a saída da VPC direta, recomendamos que o faça numa transição gradual.
Para fazer a transição gradualmente:
- Siga as instruções nesta secção para atualizar o seu serviço de modo a usar a saída da VPC direta.
- Divida uma pequena percentagem do tráfego para determinar se o tráfego funciona corretamente.
- Atualize a divisão de tráfego para enviar todo o tráfego para a nova revisão através da saída da VPC direta.
Para migrar o tráfego com a saída da VPC direta para um serviço, use a Google Cloud consola ou a CLI do Google Cloud:
Consola
Na Google Cloud consola, aceda à página Cloud Run.
Clique no serviço que quer migrar de um conector para a saída do VPC direto e, de seguida, clique em Editar e implementar nova revisão.
Clique no separador Rede.
Em Ligue-se a uma VPC para tráfego de saída, clique em Enviar tráfego diretamente para uma VPC.
No campo Rede, selecione a rede VPC para a qual quer enviar tráfego.
No campo Sub-rede, selecione a sub-rede a partir da qual o seu serviço recebe endereços IP. Pode implementar vários serviços na mesma sub-rede.
Opcional: introduza os nomes das etiquetas de rede que quer associar ao seu serviço ou serviços. As etiquetas de rede são especificadas ao nível da revisão. Cada revisão do serviço pode ter etiquetas de rede diferentes, como
network-tag-2.Para Encaminhamento de tráfego, selecione uma das seguintes opções:
- Encaminhe apenas pedidos para IPs privados para a VPC para enviar apenas tráfego para endereços internos através da rede VPC.
- Encaminhe todo o tráfego para a VPC para enviar todo o tráfego de saída através da rede de VPC.
Clique em Implementar.
Para verificar se o seu serviço está na rede VPC, clique no serviço e, de seguida, clique no separador Redes. A rede e a sub-rede estão listadas no cartão VPC.
Agora, pode enviar pedidos diretamente do seu serviço do Cloud Run para qualquer recurso na rede da VPC, conforme permitido pelas suas regras de firewall.
gcloud
Para migrar um serviço do Cloud Run de um conetor para a saída do VPC direto através da CLI do Google Cloud:
Atualize o seu serviço do Cloud Run com o seguinte comando:
gcloud run services update SERVICE_NAME \ --clear-vpc-connector \ --network=NETWORK \ --subnet=SUBNET \ --network-tags=NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region=REGION
Substituição:
SERVICE_NAMEcom o nome do seu serviço.- NETWORK com o nome da sua rede VPC.
- SUBNET com o nome da sua sub-rede. Pode implementar ou executar vários serviços ou tarefas na mesma sub-rede.
- Opcional: NETWORK_TAG_NAMES com os nomes separados por vírgulas
das etiquetas de rede
que quer associar a um serviço. Para serviços, as etiquetas de rede são especificadas ao nível da revisão. Cada revisão do serviço pode ter
etiquetas de rede diferentes, como
network-tag-2. - EGRESS_SETTING com um
valor de definição de saída:
all-traffic: envia todo o tráfego de saída através da rede VPC.private-ranges-only: envia apenas tráfego para endereços internos através da rede VPC.
- REGION com uma região para o seu serviço.
Para verificar se o seu serviço está na rede VPC, execute o seguinte comando:
gcloud run services describe SERVICE_NAME \ --region=REGION
Substituição:
SERVICE_NAMEcom o nome do seu serviço.REGIONcom a região do seu serviço que especificou no passo anterior.
O resultado deve conter o nome da sua rede, sub-rede e definição de saída, por exemplo:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Já pode enviar pedidos do seu serviço do Cloud Run para qualquer recurso na rede VPC, conforme permitido pelas regras da firewall.
Migre trabalhos para a saída da VPC direta
Pode migrar o tráfego com a saída da VPC direta para uma tarefa através da Google Cloud consola ou da CLI do Google Cloud.
Consola
Na Google Cloud consola, aceda à página Cloud Run.
Clique na tarefa que quer migrar de um conetor para a saída do VPC direto e, de seguida, clique em Editar.
Clique no separador Rede.
Clique em Recipiente, variáveis e segredos, ligações, segurança para expandir a página de propriedades da tarefa.
Clique no separador Ligações.
Em Ligue-se a uma VPC para tráfego de saída, clique em Enviar tráfego diretamente para uma VPC.
No campo Rede, selecione a rede VPC para a qual quer enviar tráfego.
No campo Sub-rede, selecione a sub-rede a partir da qual a tarefa recebe endereços IP. Pode implementar várias tarefas na mesma sub-rede.
Opcional: introduza os nomes das etiquetas de rede que quer associar ao seu serviço ou serviços. As etiquetas de rede são especificadas ao nível da revisão. Cada revisão do serviço pode ter etiquetas de rede diferentes, como
network-tag-2.Para Encaminhamento de tráfego, selecione uma das seguintes opções:
- Encaminhe apenas pedidos para IPs privados para a VPC para enviar apenas tráfego para endereços internos através da rede VPC.
- Encaminhe todo o tráfego para a VPC para enviar todo o tráfego de saída através da rede de VPC.
Clique em Atualizar.
Para verificar se a tarefa está na sua rede VPC, clique na tarefa e, de seguida, clique no separador Configuração. A rede e a sub-rede estão indicadas no cartão VPC.
Já pode executar a tarefa do Cloud Run e enviar pedidos da tarefa para qualquer recurso na rede da VPC, conforme permitido pelas regras de firewall.
gcloud
Para migrar uma tarefa do Cloud Run de um conetor para a saída do VPC direto através da CLI do Google Cloud:
Atualize a tarefa do Cloud Run com o seguinte comando:
gcloud run jobs update JOB_NAME \ --clear-network \ --image=IMAGE_URL \ --network=NETWORK \ --subnet=SUBNET \ --network-tags=NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region=REGION
Substituição:
JOB_NAMEcom o nome do seu trabalho.- NETWORK com o nome da sua rede VPC.
- SUBNET com o nome da sua sub-rede. Pode implementar ou executar vários serviços ou tarefas na mesma sub-rede.
- Opcional: NETWORK_TAG_NAMES com os nomes das
etiquetas de rede
que quer associar a uma tarefa. Para trabalhos, as etiquetas de rede são especificadas ao nível da execução. Cada execução de tarefa pode ter etiquetas de rede diferentes, como
network-tag-2. - EGRESS_SETTING com um
valor de definição de saída:
all-traffic: envia todo o tráfego de saída através da rede VPC.private-ranges-only: envia apenas tráfego para endereços internos através da rede VPC.
- REGION com uma região para o seu trabalho.
Para verificar se o trabalho está na sua rede VPC, execute o seguinte comando:
gcloud run jobs describe JOB_NAME \ --region=REGION
Substituição:
JOB_NAMEcom o nome do seu trabalho.REGIONcom a região do seu trabalho que especificou no passo anterior.
O resultado deve conter o nome da sua rede, sub-rede e definição de saída, por exemplo:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Já pode enviar pedidos da sua tarefa do Cloud Run para qualquer recurso na rede VPC, conforme permitido pelas regras da firewall.