Standard-VPC-Connector zu ausgehendem VPC Direct-Traffic migrieren

Diese Seite richtet sich an Netzwerkexperten, die Standard-VPC-Netzwerk-Traffic vom Verwenden von Connectors für serverlosen VPC-Zugriff zur Verwendung von ausgehendem Direct VPC-Traffic migrieren möchten wenn sie Traffic zu einem VPC-Netzwerk senden.

Ausgehender Direct VPC-Traffic ist schneller und kann mehr Traffic als Connectors verarbeiten. Dies bietet eine geringere Latenz und einen höheren Durchsatz, da er einen neuen, direkten Netzwerkpfad anstelle von Connector-Instanzen verwendet.

Wir empfehlen Ihnen, sich vor der Migration mit den Voraussetzungen für ausgehenden Direct-VPC-Traffic, Einschränkungen und der Zuweisung von IP-Adressen vertraut zu machen und mit IAM-Berechtigungen.

Dienste zu ausgehendem Direct VPC-Traffic migrieren

Dienste schrittweise zu ausgehendem Direct VPC-Traffic migrieren

Wenn Sie Cloud Run-Dienste von Connectors für serverlosen VPC-Zugriff zum ausgehenden Direct VPC-Traffic migrieren, empfehlen wir dies eine graduelle Umstellung.

So führen Sie die Umstellung schrittweise durch:

  1. Folgen Sie der Anleitung in diesem Abschnitt, um Ihren Dienst so zu aktualisieren, dass er den ausgehenden Direct VPC-Traffic verwendet.
  2. Spalten Sie einen kleinen Prozentsatz des Traffics ab, um zu ermitteln, ob dieser korrekt verarbeitet wird.
  3. Aktualisieren Sie die Trafficaufteilung, um den gesamten Traffic über die neue Version mit ausgehendem Direct VPC zu senden.

Verwenden Sie die Google Cloud Console oder die Google Cloud CLI, um Traffic mit Direct VPC-Ausgang für einen Dienst zu migrieren:

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud Run.

    Zu Cloud Run

  2. Klicken Sie auf den Dienst, den Sie von einem Connector zu ausgehendem Direct VPC-Traffic migrieren möchten, und dann auf Neue Überarbeitung bearbeiten und bereitstellen.

  3. Klicken Sie auf den Tab Netzwerk.

  4. Klicken Sie unter Mit einer VPC für ausgehenden Traffic verbinden auf Traffic direkt an eine VPC senden.

  5. Wählen Sie im Feld Netzwerk das VPC-Netzwerk aus, an das Sie Traffic senden möchten.

  6. Wählen Sie im Feld Subnetz das Subnetz aus, von dem Ihr Dienst IP-Adressen empfängt. Sie können mehrere Dienste im selben Subnetz bereitstellen.

  7. Optional: Geben Sie die Namen der Netzwerk-Tags ein, die Sie Ihrem Dienst oder Ihren Diensten zuordnen möchten. Netzwerktags werden auf Versionsebene angegeben. Jede Dienstversion kann unterschiedliche Netzwerk-Tags haben, z. B. network-tag-2.

  8. Wählen Sie für Traffic-Routing eine der folgenden Optionen:

    • Nur Anfragen an private IPs an die VPC weiterleiten, um nur Traffic an interne Adressen über das VPC-Netzwerk zu senden.
    • Gesamten Traffic an die VPC weiterleiten, um den gesamten ausgehenden Traffic über das VPC-Netzwerk zu senden.

  9. Klicken Sie auf Bereitstellen.

  10. Klicken Sie auf den Dienst und dann auf den Tab Netzwerk, um zu prüfen, ob sich der Dienst in Ihrem VPC-Netzwerk befindet. Netzwerk und Subnetz werden auf der VPC aufgeführt.

    Sie können nun Anfragen von Ihrem Cloud Run-Dienst an eine beliebige Ressource im VPC-Netzwerk senden, je nach Ihren Firewallregeln.

gcloud

So migrieren Sie einen Cloud Run-Dienst von einem Connector zum ausgehenden Direct VPC-Traffic mithilfe der Google Cloud CLI:

  1. Stellen Sie Ihren Cloud Run-Dienst mit folgendem Befehl bereit:

    gcloud beta run services update SERVICE_NAME \
--clear-vpc-connector \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION

    Ersetzen Sie:

    • SERVICE_NAME durch den Namen des Dienstes.
    • NETWORK durch den Namen Ihres VPC-Netzwerks.
    • SUBNET durch den Namen Ihres Subnetzes. Sie können mehrere Dienste oder Jobs im selben Subnetz bereitstellen oder ausführen.
    • Optional: NETWORK_TAG_NAMES durch die durch Kommas getrennten Namen der Netzwerk-Tags ersetzen, die Sie mit einem Dienst verknüpfen möchten. Bei Diensten werden Netzwerk-Tags auf Versionsebene angegeben. Jede Dienstversion kann unterschiedliche Netzwerk-Tags haben, z. B. network-tag-2.
    • EGRESS_SETTING durch einen Wert für die Einstellung für ausgehenden Traffic:
      • all-traffic: Sendet den gesamten ausgehenden Traffic über das VPC-Netzwerk.
      • private-ranges-only: Sendet nur Traffic an interne Adressen über das VPC-Netzwerk.
    • REGION durch eine Region für Ihren Dienst.

  2. Führen Sie folgenden Befehl aus, um zu prüfen, ob sich Ihr Dienst in Ihrem VPC-Netzwerk befindet:

    gcloud beta run services describe SERVICE_NAME \
--region=REGION

    Ersetzen Sie:

    • SERVICE_NAME durch den Namen des Dienstes.
    • REGION durch die Region, die Sie im vorherigen Schritt für Ihren Dienst angegeben haben.

    Die Ausgabe sollte die Einstellung für Netzwerk, Subnetz und ausgehenden Traffic enthalten, zum Beispiel:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Sie können nun Anfragen von Ihrem Cloud Run-Dienst an eine beliebige Ressource im VPC-Netzwerk senden, je nach Ihren Firewallregeln.

Jobs zu ausgehendem VPC Direct-Traffic migrieren

Sie können Traffic mit ausgehendem Direct VPC-Traffic für einen Job mit der Google Cloud Console oder der Google Cloud CLI migrieren.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud Run.

    Zu Cloud Run

  2. Klicken Sie auf den Job, den Sie von einem Connector zu ausgehendem Direct VPC-Traffic migrieren möchten, und dann auf Bearbeiten.

  3. Klicken Sie auf den Tab Netzwerk.

  4. Klicken Sie auf Container, Variablen und Secrets, Verbindungen, Sicherheit, um die Seite mit den Jobattributen zu maximieren.

  5. Klicken Sie auf den Tab Verbindungen.

  6. Klicken Sie unter Mit einer VPC für ausgehenden Traffic verbinden auf Traffic direkt an eine VPC senden.

  7. Wählen Sie im Feld Netzwerk das VPC-Netzwerk aus, an das Sie Traffic senden möchten.

  8. Wählen Sie im Feld Subnetz das Subnetz aus, von dem Ihr Job IP-Adressen empfängt. Sie können mehrere Dienste im selben Subnetz bereitstellen.

  9. Optional: Geben Sie die Namen der Netzwerk-Tags ein, die Sie Ihrem Dienst oder Ihren Diensten zuordnen möchten. Netzwerktags werden auf Versionsebene angegeben. Jede Dienstversion kann unterschiedliche Netzwerk-Tags haben, z. B. network-tag-2.

  10. Wählen Sie für Traffic-Routing eine der folgenden Optionen:

    • Nur Anfragen an private IPs an die VPC weiterleiten, um nur Traffic an interne Adressen über das VPC-Netzwerk zu senden.
    • Gesamten Traffic an die VPC weiterleiten, um den gesamten ausgehenden Traffic über das VPC-Netzwerk zu senden.

  11. Klicken Sie auf Aktualisieren.

  12. Klicken Sie auf den Job und dann auf den Tab Konfiguration, um zu prüfen, ob sich der Job in Ihrem VPC-Netzwerk befindet. Netzwerk und Subnetz werden auf der VPC aufgeführt.

Sie können Ihren Cloud Run-Job jetzt ausführen und Anfragen vom Job an eine beliebige Ressource im VPC-Netzwerk senden, je nach Firewallregeln.

gcloud

So migrieren Sie einen Cloud Run-Job mit der Google Cloud CLI von einem Connector zu ausgehendem Direct VPC-Traffic:

  1. Stellen Sie Ihren Cloud Run-Job mit folgendem Befehl bereit:

    gcloud run jobs update JOB_NAME \
--clear-network \
--image=IMAGE_URL \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION

    Ersetzen Sie:

    • JOB_NAME durch den Namen des Jobs.
    • NETWORK durch den Namen Ihres VPC-Netzwerks.
    • SUBNET durch den Namen Ihres Subnetzes. Sie können mehrere Dienste oder Jobs im selben Subnetz bereitstellen oder ausführen.
    • Optional: Ersetzen Sie NETWORK_TAG_NAMES durch die Namen der Netzwerk-Tags, die Sie einem Job zuordnen möchten. Für Jobs werden Netzwerk-Tags auf Ausführungsebene angegeben. Jede Jobausführung kann unterschiedliche Netzwerk-Tags haben, z. B. network-tag-2.
    • EGRESS_SETTING durch einen Wert für die Einstellung für ausgehenden Traffic:
      • all-traffic: Sendet den gesamten ausgehenden Traffic über das VPC-Netzwerk.
      • private-ranges-only: Sendet nur Traffic an interne Adressen über das VPC-Netzwerk.
    • REGION durch eine Region für Ihren Job.

  2. Führen Sie folgenden Befehl aus, um zu prüfen, ob sich der Job in Ihrem VPC-Netzwerk befindet:

    gcloud beta run jobs describe JOB_NAME \
--region=REGION

    Ersetzen Sie:

    • JOB_NAME durch den Namen des Jobs.
    • REGION durch die Region für Ihren Job, die Sie im vorherigen Schritt angegeben haben.

    Die Ausgabe sollte die Einstellung für Netzwerk, Subnetz und ausgehenden Traffic enthalten, zum Beispiel:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Sie können nun Anfragen von Ihrem Cloud Run-Dienst an eine beliebige Ressource im VPC-Netzwerk senden, je nach Ihren Firewallregeln.