Migrar un conector de VPC estándar a la salida de VPC directa

Esta página está dirigida a especialistas en redes que quieran migrar el tráfico de redes de VPC estándar de conectores de acceso a VPC sin servidor a salida de VPC directa al enviar tráfico a una red de VPC.

La salida directa de VPC es más rápida y puede gestionar más tráfico que los conectores, lo que permite ofrecer una latencia más baja y un mayor rendimiento, ya que utiliza una ruta de red directa nueva en lugar de instancias de conector.

Antes de realizar la migración, te recomendamos que te familiarices con los requisitos previos, limitaciones, asignación de direcciones IP> y permisos de gestión de identidades y accesos de la salida de VPC directa.

Migrar servicios a la salida de VPC directa

Migrar servicios a la salida de VPC directa gradualmente

Cuando migres servicios de Cloud Run de conectores de acceso a VPC sin servidor a salida de VPC directa, te recomendamos que lo hagas de forma gradual.

Para hacer la transición gradualmente, sigue estos pasos:

  1. Sigue las instrucciones de esta sección para actualizar tu servicio y usar la salida de VPC directa.
  2. Divide un pequeño porcentaje del tráfico para determinar si el tráfico funciona correctamente.
  3. Actualiza la división del tráfico para enviar todo el tráfico a la nueva revisión mediante la salida directa de VPC.

Para migrar el tráfico con la salida de VPC directa de un servicio, usa laGoogle Cloud consola o la CLI de Google Cloud:

Consola

  1. En la Google Cloud consola, ve a la página Cloud Run.

    Ir a Cloud Run

  2. Haga clic en el servicio que quiera migrar de un conector a la salida de VPC directa y, a continuación, en Editar y desplegar nueva revisión.

  3. Haz clic en la pestaña Redes.

  4. En Conectarse a una VPC para el tráfico saliente, haga clic en Enviar tráfico directamente a una VPC.

  5. En el campo Red, selecciona la red de VPC a la que quieras enviar tráfico.

  6. En el campo Subred, selecciona la subred de la que tu servicio recibe direcciones IP. Puedes desplegar varios servicios en la misma subred.

  7. Opcional: Introduce los nombres de las etiquetas de red que quieras asociar a tu servicio o servicios. Las etiquetas de red se especifican a nivel de revisión. Cada revisión de servicio puede tener etiquetas de red diferentes, como network-tag-2.

  8. En Enrutamiento del tráfico, seleccione una de las siguientes opciones:

    • Dirige solo las solicitudes a IP privadas a la VPC para enviar solo tráfico a direcciones internas a través de la red VPC.
    • Dirige todo el tráfico a la VPC para enviar todo el tráfico de salida a través de la red de VPC.

  9. Haz clic en Desplegar.

  10. Para verificar que tu servicio está en tu red VPC, haz clic en el servicio y, a continuación, en la pestaña Redes. La red y la subred se muestran en la tarjeta VPC.

    Ahora puedes enviar solicitudes directamente desde tu servicio de Cloud Run a cualquier recurso de la red VPC, según lo permitan tus reglas de firewall.

gcloud

Para migrar un servicio de Cloud Run de un conector a una salida de VPC directa mediante la CLI de Google Cloud, sigue estos pasos:

  1. Actualiza tu servicio de Cloud Run con el siguiente comando:

    gcloud run services update SERVICE_NAME \
--clear-vpc-connector \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION

    Sustituye:

    • SERVICE_NAME con el nombre de tu servicio.
    • NETWORK con el nombre de tu red de VPC.
    • SUBNET con el nombre de tu subred. Puedes desplegar o ejecutar varios servicios o trabajos en la misma subred.
    • Opcional: NETWORK_TAG_NAMES con los nombres separados por comas de las etiquetas de red que quieras asociar a un servicio. En el caso de los servicios, las etiquetas de red se especifican a nivel de revisión. Cada revisión de servicio puede tener etiquetas de red diferentes, como network-tag-2.
    • EGRESS_SETTING con un valor de ajuste de salida:
      • all-traffic: envía todo el tráfico saliente a través de la red VPC.
      • private-ranges-only: solo envía tráfico a direcciones internas a través de la red de VPC.
    • REGION con una región para tu servicio.

  2. Para verificar que tu servicio está en tu red de VPC, ejecuta el siguiente comando:

    gcloud run services describe SERVICE_NAME \
--region=REGION

    Sustituye:

    • SERVICE_NAME con el nombre de tu servicio.
    • REGION con la región de tu servicio que has especificado en el paso anterior.

    La salida debe contener el nombre de tu red, subred y ajuste de salida. Por ejemplo:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Ahora puedes enviar solicitudes desde tu servicio de Cloud Run a cualquier recurso de la red de VPC, tal como lo permitan tus reglas de firewall.

Migrar tareas a la salida de VPC directa

Puedes migrar el tráfico con la salida de VPC directa de una tarea mediante laGoogle Cloud consola o la CLI de Google Cloud.

Consola

  1. En la Google Cloud consola, ve a la página Cloud Run.

    Ir a Cloud Run

  2. Haga clic en la tarea que quiera migrar de un conector a la salida de VPC directa y, a continuación, haga clic en Editar.

  3. Haz clic en la pestaña Redes.

  4. Haz clic en Contenedor, Variables y secretos, Conexiones y Seguridad para desplegar la página de propiedades del trabajo.

  5. Haz clic en la pestaña Conexiones.

  6. En Conectarse a una VPC para el tráfico saliente, haga clic en Enviar tráfico directamente a una VPC.

  7. En el campo Red, selecciona la red de VPC a la que quieras enviar tráfico.

  8. En el campo Subred, selecciona la subred de la que tu tarea recibe direcciones IP. Puedes implementar varios trabajos en la misma subred.

  9. Opcional: Introduce los nombres de las etiquetas de red que quieras asociar a tu servicio o servicios. Las etiquetas de red se especifican a nivel de revisión. Cada revisión de servicio puede tener etiquetas de red diferentes, como network-tag-2.

  10. En Enrutamiento del tráfico, seleccione una de las siguientes opciones:

    • Dirige solo las solicitudes a IP privadas a la VPC para enviar solo tráfico a direcciones internas a través de la red VPC.
    • Dirige todo el tráfico a la VPC para enviar todo el tráfico de salida a través de la red de VPC.

  11. Haz clic en Actualizar.

  12. Para verificar que tu trabajo está en tu red de VPC, haz clic en el trabajo y, a continuación, en la pestaña Configuración. La red y la subred se muestran en la tarjeta VPC.

Ahora puedes ejecutar tu trabajo de Cloud Run y enviar solicitudes desde el trabajo a cualquier recurso de la red de VPC, según lo permitan tus reglas de cortafuegos.

gcloud

Para migrar un trabajo de Cloud Run de un conector a una salida de VPC directa mediante la CLI de Google Cloud, sigue estos pasos:

  1. Actualiza tu trabajo de Cloud Run con el siguiente comando:

    gcloud run jobs update JOB_NAME \
--clear-network \
--image=IMAGE_URL \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION

    Sustituye:

    • JOB_NAME con el nombre del trabajo.
    • NETWORK con el nombre de tu red de VPC.
    • SUBNET con el nombre de tu subred. Puedes desplegar o ejecutar varios servicios o trabajos en la misma subred.
    • Opcional: NETWORK_TAG_NAMES con los nombres de las etiquetas de red que quieras asociar a un trabajo. En el caso de los trabajos, las etiquetas de red se especifican a nivel de ejecución. Cada ejecución de un trabajo puede tener etiquetas de red diferentes, como network-tag-2.
    • EGRESS_SETTING con un valor de ajuste de salida:
      • all-traffic: envía todo el tráfico saliente a través de la red VPC.
      • private-ranges-only: solo envía tráfico a direcciones internas a través de la red de VPC.
    • REGION con una región para tu trabajo.

  2. Para verificar que tu trabajo está en tu red de VPC, ejecuta el siguiente comando:

    gcloud run jobs describe JOB_NAME \
--region=REGION

    Sustituye:

    • JOB_NAME con el nombre del trabajo.
    • REGION con la región de tu trabajo que has especificado en el paso anterior.

    La salida debe contener el nombre de tu red, subred y ajuste de salida. Por ejemplo:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Ahora puedes enviar solicitudes desde tu trabajo de Cloud Run a cualquier recurso de la red de VPC, tal como lo permitan tus reglas de firewall.