Migra el conector de VPC estándar a la salida de VPC directa

Esta página está destinada a los especialistas en redes que desean migrar el tráfico de red de VPC estándar del uso de los conectores de Acceso a VPC sin servidores a la salida directa de VPC cuando se envía tráfico a una red de VPC.

La salida de VPC directa es más rápida y puede manejar más tráfico que los conectores, lo que entrega una latencia menor y una capacidad de procesamiento mayor, ya que usa una ruta de red nueva y directa en lugar de las instancias de conectores.

Antes de la migración, recomendamos que te familiarices con los requisitos previos, las limitaciones y la asignación de direcciones IP y los permisos de IAM de salida de VPC directa.

Migra servicios a la salida de VPC directa

Migra servicios a la salida de VPC directa de forma gradual

Cuando migres los servicios de Cloud Run de los conectores del Acceso a VPC sin servidores a la salida de VPC directa, te recomendamos que lo hagas en una transición gradual.

Para realizar una transición gradual, haz lo siguiente:

  1. Sigue las instrucciones de esta sección para actualizar tu servicio para usar la salida de VPC directa.
  2. Divide un pequeño porcentaje de tráfico para determinar si el tráfico funciona de forma correcta.
  3. Actualiza la división del tráfico para enviar todo el tráfico a la revisión nueva mediante la salida de VPC directa.

Si deseas migrar el tráfico con la salida de VPC directa para un servicio, usa la consola de Google Cloud o Google Cloud CLI:

Console

  1. En la consola de Google Cloud, ve a la página Cloud Run.

    Ir a Cloud Run

  2. Haz clic en el servicio que deseas migrar de un conector a la salida de VPC directa y, luego, en Implementar y editar la nueva revisión.

  3. Haz clic en la pestaña Redes.

  4. En Conéctate a una VPC para el tráfico saliente, haz clic en Enviar tráfico directamente a una VPC.

  5. En el campo Red, selecciona la red de VPC a la que deseas enviar tráfico.

  6. En el campo Subred, selecciona la subred desde la que tu servicio recibe direcciones IP. Puedes implementar varios servicios en la misma subred.

  7. Opcional: Ingresa los nombres de las etiquetas de red que quieres asociar con tu servicio o tus servicios. Las etiquetas de red se especifican a nivel de revisión. Cada revisión del servicio puede tener diferentes etiquetas de red, como network-tag-2.

  8. En Enrutamiento del tráfico, selecciona una de las siguientes opciones:

    • Enruta solo las solicitudes a IP privadas a la VPC para enviar solo tráfico a direcciones internas a través de la red de VPC.
    • Enruta todo el tráfico a la VPC para enviar todo el tráfico saliente a través de la red de VPC.

  9. Haz clic en Implementar.

  10. Para verificar que tu servicio esté en tu red de VPC, haz clic en el servicio y, luego, en la pestaña Herramientas de redes. Las redes y las subredes se detallan en la tarjeta VPC.

    Ahora puedes enviar solicitudes directamente desde tu servicio de Cloud Run a cualquier recurso en la red de VPC, como lo permiten las reglas de firewall.

gcloud

Para migrar un servicio de Cloud Run de un conector a una salida de VPC directa a través de Google Cloud CLI, haz lo siguiente:

  1. Actualiza el servicio de Cloud Run con el siguiente comando:

    gcloud beta run services update SERVICE_NAME \
--clear-vpc-connector \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION

    Reemplaza lo siguiente:

    • SERVICE_NAME por el nombre de tu servicio.
    • NETWORK por el nombre de la red de VPC.
    • SUBNET por el nombre de la subred Puedes implementar o ejecutar varios servicios o trabajos en la misma subred.
    • Opcional: NETWORK_TAG_NAMES por los nombres separados por comas de las etiquetas de red que deseas asociar con un servicio. Para los servicios, las etiquetas de red se especifican a nivel de revisión. Cada revisión del servicio puede tener diferentes etiquetas de red, como network-tag-2.
    • EGRESS_SETTING por un valor de configuración de salida:
      • all-traffic: Envía todo el tráfico saliente por medio de la red de VPC.
      • private-ranges-only: Envía solo el tráfico a direcciones internas por medio de la red de VPC.
    • REGION por una región para el servicio.

  2. Para verificar que tu servicio esté en tu red de VPC, ejecuta el siguiente comando:

    gcloud beta run services describe SERVICE_NAME \
--region=REGION

    Reemplaza lo siguiente:

    • SERVICE_NAME por el nombre de tu servicio
    • REGION por la región del servicio que especificaste en el paso anterior.

    El resultado debe contener el nombre de tu red, subred y configuración de salida, por ejemplo:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Ahora puedes enviar solicitudes desde tu servicio de Cloud Run a cualquier recurso en la red de VPC, como lo permiten las reglas de firewall.

Migra trabajos a la salida de VPC directa

Puedes migrar el tráfico con la salida de VPC directa para un trabajo a través de la consola de Google Cloud o Google Cloud CLI.

Console

  1. En la consola de Google Cloud, ve a la página Cloud Run.

    Ir a Cloud Run

  2. Haz clic en el trabajo que deseas migrar de un conector a la salida de VPC directa y, luego, en Editar.

  3. Haz clic en la pestaña Redes.

  4. Haz clic en Contenedor, variables y secretos, conexiones y seguridad para expandir la página de propiedades del trabajo.

  5. Haz clic en la pestaña Conexiones.

  6. En Conéctate a una VPC para el tráfico saliente, haz clic en Enviar tráfico directamente a una VPC.

  7. En el campo Red, selecciona la red de VPC a la que deseas enviar tráfico.

  8. En el campo Subred, selecciona la subred desde la que tu trabajo recibe direcciones IP. Puedes implementar varios trabajos en la misma subred.

  9. Opcional: Ingresa los nombres de las etiquetas de red que quieres asociar con tu servicio o tus servicios. Las etiquetas de red se especifican a nivel de revisión. Cada revisión del servicio puede tener diferentes etiquetas de red, como network-tag-2.

  10. En Enrutamiento del tráfico, selecciona una de las siguientes opciones:

    • Enruta solo las solicitudes a IP privadas a la VPC para enviar solo tráfico a direcciones internas a través de la red de VPC.
    • Enruta todo el tráfico a la VPC para enviar todo el tráfico saliente a través de la red de VPC.

  11. Haz clic en Actualizar.

  12. Para verificar que tu trabajo esté en la red de VPC, haz clic en el trabajo y, luego, en la pestaña Configuración. Las redes y las subredes se detallan en la tarjeta VPC.

Ahora puedes ejecutar el trabajo de Cloud Run y enviar solicitudes desde el trabajo a cualquier recurso en la red de VPC, como lo permiten las reglas de firewall.

gcloud

Para migrar un trabajo de Cloud Run de un conector a una salida de VPC directa a través de Google Cloud CLI, haz lo siguiente:

  1. Actualiza tu trabajo de Cloud Run con el siguiente comando:

    gcloud run jobs update JOB_NAME \
--clear-network \
--image=IMAGE_URL \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION

    Reemplaza lo siguiente:

    • JOB_NAME por el nombre de tu trabajo.
    • NETWORK por el nombre de la red de VPC.
    • SUBNET por el nombre de la subred Puedes implementar o ejecutar varios servicios o trabajos en la misma subred.
    • Opcional: NETWORK_TAG_NAMES por los nombres de las etiquetas de red que deseas asociar con un trabajo. Para los trabajos, las etiquetas de red se especifican a nivel de ejecución. Cada ejecución de trabajo puede tener diferentes etiquetas de red, como network-tag-2.
    • EGRESS_SETTING por un valor de configuración de salida:
      • all-traffic: Envía todo el tráfico saliente por medio de la red de VPC.
      • private-ranges-only: Envía solo el tráfico a direcciones internas por medio de la red de VPC.
    • REGION por una región para el trabajo.

  2. Para verificar que tu trabajo esté en la red de VPC, ejecuta el siguiente comando:

    gcloud beta run jobs describe JOB_NAME \
--region=REGION

    Reemplaza lo siguiente:

    • JOB_NAME por el nombre de tu trabajo.
    • REGION por la región del trabajo que especificaste en el paso anterior.

    El resultado debe contener el nombre de tu red, subred y configuración de salida, por ejemplo:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Ahora puedes enviar solicitudes desde tu trabajo de Cloud Run a cualquier recurso en la red de VPC, como lo permiten las reglas de firewall.