Questa pagina è dedicata agli esperti di networking che vogliono eseguire la migrazione del traffico di rete VPC standard dall'utilizzo dei connettori di accesso VPC serverless all'utilizzo del traffico VPC diretto in uscita quando inviano traffico a una rete VPC.
Il VPC diretto per il traffico di rete in uscita è più veloce e può gestire più traffico rispetto ai connettori, offrendo una latenza inferiore e una velocità effettiva maggiore perché utilizza un nuovo percorso di rete diretto anziché istanze del connettore.
Prima della migrazione, ti consigliamo di acquisire familiarità con i prerequisiti, le limitazioni, l'allocazione degli indirizzi IP, le autorizzazioni IAM e le regole firewall dell'uscita VPC diretta.
Esegui la migrazione dei servizi al VPC diretto in uscita
Esegui la migrazione graduale dei servizi a VPC diretto in uscita
Quando esegui la migrazione dei servizi Cloud Run dai connettori di accesso VPC serverless al traffico VPC diretto in uscita, ti consigliamo di farlo in modo graduale.
Per eseguire la transizione gradualmente:
- Segui le istruzioni riportate in questa sezione per aggiornare il servizio in modo che utilizzi l'uscita VPC diretta.
- Dividi una piccola percentuale di traffico per determinare se il traffico funziona correttamente.
- Aggiorna la suddivisione del traffico per inviare tutto il traffico alla nuova revisione utilizzando l'uscita VPC diretta.
Per eseguire la migrazione del traffico con l'uscita VPC diretto per un servizio, utilizza la consoleGoogle Cloud o Google Cloud CLI:
Console
Nella console Google Cloud , vai alla pagina Cloud Run.
Fai clic sul servizio di cui vuoi eseguire la migrazione da un connettore all'uscita VPC diretta, quindi fai clic su Modifica ed esegui il deployment di una nuova revisione.
Fai clic sulla scheda Networking.
In Connettiti a un VPC per il traffico in uscita, fai clic su Invia il traffico direttamente a un VPC.
Nel campo Rete, seleziona la rete VPC a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il servizio riceve gli indirizzi IP. Puoi eseguire il deployment di più servizi nella stessa subnet.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare al tuo servizio o ai tuoi servizi. I tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere tag di rete diversi, ad esempio
network-tag-2.Per Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo richieste a IP privati per inviare solo traffico agli indirizzi interni tramite la rete VPC.
- Instrada al VPC tutto il traffico per inviare tutto il traffico in uscita tramite la rete VPC.
Fai clic su Esegui il deployment.
Per verificare che il servizio si trovi sulla rete VPC, fai clic sul servizio, quindi fai clic sulla scheda Networking. La rete e la subnet sono elencate nella scheda VPC.
Ora puoi inviare richieste direttamente dal tuo servizio Cloud Run a qualsiasi risorsa sulla rete VPC, come consentito dalle regole firewall.
gcloud
Per eseguire la migrazione di un servizio Cloud Run da un connettore al traffico in uscita VPC diretto utilizzando Google Cloud CLI:
Aggiorna il servizio Cloud Run con questo comando:
gcloud run services update SERVICE_NAME \ --clear-vpc-connector \ --network=NETWORK \ --subnet=SUBNET \ --network-tags=NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region=REGION
Sostituisci:
SERVICE_NAMEcon il nome del tuo servizio.- NETWORK con il nome della tua rete VPC.
- SUBNET con il nome della subnet. Puoi eseguire il deployment o l'esecuzione di più servizi o job nella stessa subnet.
- (Facoltativo) NETWORK_TAG_NAMES con i nomi separati da virgole
dei tag di rete
che vuoi associare a un servizio. Per i servizi, i tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere
tag di rete diversi, ad esempio
network-tag-2. - EGRESS_SETTING con un
valore di impostazione di uscita:
all-traffic: invia tutto il traffico in uscita tramite la rete VPC.private-ranges-only: invia solo il traffico agli indirizzi interni tramite la rete VPC.
- REGION con una regione per il tuo servizio.
Per verificare che il servizio si trovi nella rete VPC, esegui il seguente comando:
gcloud run services describe SERVICE_NAME \ --region=REGION
Sostituisci:
SERVICE_NAMEcon il nome del tuo servizio.REGIONcon la regione per il tuo servizio che hai specificato nel passaggio precedente.
L'output dovrebbe contenere il nome della rete, della subnet e dell'impostazione di uscita, ad esempio:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ora puoi inviare richieste dal tuo servizio Cloud Run a qualsiasi risorsa sulla rete VPC, come consentito dalle regole firewall.
Eseguire la migrazione dei job a VPC diretto in uscita
Puoi eseguire la migrazione del traffico con l'uscita VPC diretta per un job utilizzando la consoleGoogle Cloud o Google Cloud CLI.
Console
Nella console Google Cloud , vai alla pagina Cloud Run.
Fai clic sul job di cui vuoi eseguire la migrazione da un connettore a Direct VPC egress, poi fai clic su Modifica.
Fai clic sulla scheda Networking.
Fai clic su Container, variabili e secret, connessioni, sicurezza per espandere la pagina delle proprietà del job.
Fai clic sulla scheda Connessioni.
In Connettiti a un VPC per il traffico in uscita, fai clic su Invia il traffico direttamente a un VPC.
Nel campo Rete, seleziona la rete VPC a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il job riceve gli indirizzi IP. Puoi eseguire il deployment di più job nella stessa subnet.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare al tuo servizio o ai tuoi servizi. I tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere tag di rete diversi, ad esempio
network-tag-2.Per Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo richieste a IP privati per inviare solo traffico agli indirizzi interni tramite la rete VPC.
- Instrada al VPC tutto il traffico per inviare tutto il traffico in uscita tramite la rete VPC.
Fai clic su Aggiorna.
Per verificare che il job si trovi nella tua rete VPC, fai clic sul job, quindi fai clic sulla scheda Configurazione. La rete e la subnet sono elencate nella scheda VPC.
Ora puoi eseguire il job Cloud Run e inviare richieste dal job a qualsiasi risorsa sulla rete VPC, come consentito dalle regole firewall.
gcloud
Per eseguire la migrazione di un job Cloud Run da un connettore al traffico in uscita VPC diretto utilizzando Google Cloud CLI:
Aggiorna il job Cloud Run con il seguente comando:
gcloud run jobs update JOB_NAME \ --clear-network \ --image=IMAGE_URL \ --network=NETWORK \ --subnet=SUBNET \ --network-tags=NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region=REGION
Sostituisci:
JOB_NAMEcon il nome del job.- NETWORK con il nome della tua rete VPC.
- SUBNET con il nome della subnet. Puoi eseguire il deployment o l'esecuzione di più servizi o job nella stessa subnet.
- (Facoltativo) NETWORK_TAG_NAMES con i nomi dei
tag di rete
che vuoi associare a un job. Per i job, i tag di rete vengono specificati
a livello di esecuzione. Ogni esecuzione del job può avere tag di rete diversi, ad esempio
network-tag-2. - EGRESS_SETTING con un
valore di impostazione di uscita:
all-traffic: invia tutto il traffico in uscita tramite la rete VPC.private-ranges-only: invia solo il traffico agli indirizzi interni tramite la rete VPC.
- REGION con una regione per il job.
Per verificare che il job si trovi nella tua rete VPC, esegui il seguente comando:
gcloud run jobs describe JOB_NAME \ --region=REGION
Sostituisci:
JOB_NAMEcon il nome del job.REGIONcon la regione del job specificata nel passaggio precedente.
L'output dovrebbe contenere il nome della rete, della subnet e dell'impostazione di uscita, ad esempio:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ora puoi inviare richieste dal tuo job Cloud Run a qualsiasi risorsa sulla rete VPC, come consentito dalle regole firewall.