Migrer le connecteur VPC standard vers la sortie VPC directe

Cette page s'adresse aux spécialistes de la mise en réseau qui souhaitent migrer le trafic d'un réseau VPC standard utilisant des connecteurs d'accès au VPC sans serveur vers une sortie VPC directe lors de l'envoi du trafic vers un réseau VPC.

La sortie VPC directe est plus rapide et peut gérer plus de trafic que les connecteurs. Elle offre ainsi une latence plus faible et un débit plus élevé, car elle utilise un nouveau chemin réseau direct au lieu d'instances de connecteur.

Avant la migration, nous vous recommandons de vous familiariser avec les conditions préalables, les limites, l'attribution d'adresses IP et les autorisations IAM de la sortie VPC directe.

Migrer des services vers la sortie VPC directe

Migrer progressivement les services vers la sortie VPC directe

Lorsque vous migrez des services Cloud Run depuis des connecteurs d'accès au VPC sans serveur vers la sortie VPC directe, nous vous recommandons de le faire dans le cadre d'une transition progressive.

Pour effectuer une transition progressive :

  1. Suivez les instructions de cette section pour mettre à jour votre service afin d'utiliser la sortie VPC directe.
  2. Répartissez un faible pourcentage du trafic pour déterminer s'il fonctionne correctement.
  3. Mettez à jour la répartition du trafic pour envoyer tout le trafic vers la nouvelle révision à l'aide de la sortie VPC directe.

Pour migrer le trafic avec la sortie VPC directe pour un service, utilisez la console Google Cloud ou la Google Cloud CLI :

Console

  1. Dans la console Google Cloud, accédez à la page Cloud Run.

    Accédez à Cloud Run

  2. Cliquez sur le service que vous souhaitez migrer depuis un connecteur vers la sortie VPC directe, puis sur Modifier et déployer la nouvelle révision.

  3. Cliquez sur l'onglet Mise en réseau.

  4. Dans le champ Se connecter à un VPC pour le trafic sortant, cliquez sur Envoyer le trafic directement vers un VPC.

  5. Dans le champ Réseau, sélectionnez le réseau VPC vers lequel vous souhaitez envoyer du trafic.

  6. Dans le champ Sous-réseau, sélectionnez le sous-réseau à partir duquel votre service reçoit des adresses IP. Vous pouvez déployer plusieurs services sur le même sous-réseau.

  7. Facultatif : saisissez les noms des tags réseau que vous souhaitez associer à votre ou vos services. Les tags réseau sont spécifiés au niveau de la révision. Chaque révision de service peut avoir des tags réseau différents, tels que network-tag-2.

  8. Dans le champ Routage du trafic, sélectionnez l'une des options suivantes :

    • N'acheminez que les requêtes adressées à des adresses IP privées vers le VPC pour envoyer uniquement le trafic vers des adresses internes via le réseau VPC.
    • Acheminez tout le trafic vers le VPC pour envoyer tout le trafic sortant via le réseau VPC.

  9. Cliquez sur Deploy (Déployer).

  10. Pour vérifier que votre service se trouve sur votre réseau VPC, cliquez sur le service, puis sur l'onglet Mise en réseau. Le réseau et le sous-réseau sont répertoriés dans la fiche VPC.

    Vous pouvez désormais envoyer des requêtes directement à partir de votre service Cloud Run vers n'importe quelle ressource du réseau VPC, conformément à vos règles de pare-feu.

gcloud

Pour migrer un service Cloud Run d'un connecteur vers la sortie VPC directe à l'aide de la Google Cloud CLI, procédez comme suit :

  1. Déployez votre service Cloud Run à l'aide de la commande suivante :

    gcloud beta run services update SERVICE_NAME \
--clear-vpc-connector \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION

    Remplacez :

    • SERVICE_NAME par le nom de votre service.
    • NETWORK par le nom de votre réseau VPC ;
    • SUBNET par le nom de votre sous-réseau. Vous pouvez déployer ou exécuter plusieurs services ou jobs sur le même sous-réseau.
    • Facultatif : NETWORK_TAG_NAMES par les noms des tags réseau séparés par une virgule que vous souhaitez associer à un service. Pour les services, les tags réseau sont spécifiés au niveau de la révision. Chaque révision de service peut avoir des tags réseau différents, tels que network-tag-2.
    • EGRESS_SETTING par une valeur de paramètre de sortie :
      • all-traffic : achemine tout le trafic sortant via le réseau VPC.
      • private-ranges-only : achemine uniquement le trafic destiné à des adresses internes via le réseau VPC.
    • REGION par une région pour votre service.

  2. Pour vérifier que votre service se trouve sur votre réseau VPC, exécutez la commande suivante :

    gcloud beta run services describe SERVICE_NAME \
--region=REGION

    Remplacez :

    • SERVICE_NAME par le nom de votre service.
    • REGION par la région du service que vous avez spécifiée à l'étape précédente.

    La sortie doit contenir le nom du réseau, du sous-réseau et du trafic sortant, par exemple :

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Vous pouvez désormais envoyer des requêtes à partir de votre service Cloud Run vers n'importe quelle ressource du réseau VPC, conformément à vos règles de pare-feu.

Migrer des jobs vers la sortie VPC directe

Vous pouvez migrer le trafic avec la sortie VPC directe pour un job à l'aide de la console Google Cloud ou de la Google Cloud CLI.

Console

  1. Dans la console Google Cloud, accédez à la page Cloud Run.

    Accédez à Cloud Run

  2. Cliquez sur le job que vous souhaitez migrer d'un connecteur vers la sortie VPC directe, puis sur Modifier.

  3. Cliquez sur l'onglet Mise en réseau.

  4. Cliquez sur Conteneur, variables et secrets, connexions, sécurité pour développer la page des propriétés du job.

  5. Cliquez sur l'onglet Connexions.

  6. Dans le champ Se connecter à un VPC pour le trafic sortant, cliquez sur Envoyer le trafic directement vers un VPC.

  7. Dans le champ Réseau, sélectionnez le réseau VPC vers lequel vous souhaitez envoyer du trafic.

  8. Dans le champ Sous-réseau, sélectionnez le sous-réseau à partir duquel votre job reçoit des adresses IP. Vous pouvez déployer plusieurs jobs sur le même sous-réseau.

  9. Facultatif : saisissez les noms des tags réseau que vous souhaitez associer à votre ou vos services. Les tags réseau sont spécifiés au niveau de la révision. Chaque révision de service peut avoir des tags réseau différents, tels que network-tag-2.

  10. Dans le champ Routage du trafic, sélectionnez l'une des options suivantes :

    • N'acheminez que les requêtes adressées à des adresses IP privées vers le VPC pour envoyer uniquement le trafic vers des adresses internes via le réseau VPC.
    • Acheminez tout le trafic vers le VPC pour envoyer tout le trafic sortant via le réseau VPC.

  11. Cliquez sur Update (Mettre à jour).

  12. Pour vérifier que votre job se trouve sur votre réseau VPC, cliquez sur le job, puis sur l'onglet Configuration. Le réseau et le sous-réseau sont répertoriés dans la fiche VPC.

Vous pouvez maintenant exécuter votre job Cloud Run et envoyer des requêtes à partir du job vers n'importe quelle ressource du réseau VPC, conformément à vos règles de pare-feu.

gcloud

Pour migrer un job Cloud Run d'un connecteur vers la sortie VPC directe à l'aide de la Google Cloud CLI, procédez comme suit :

  1. Mettez à jour votre job Cloud Run à l'aide de la commande suivante :

    gcloud run jobs update JOB_NAME \
--clear-network \
--image=IMAGE_URL \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION

    Remplacez :

    • JOB_NAME par le nom de votre tâche.
    • NETWORK par le nom de votre réseau VPC ;
    • SUBNET par le nom de votre sous-réseau. Vous pouvez déployer ou exécuter plusieurs services ou jobs sur le même sous-réseau.
    • Facultatif : NETWORK_TAG_NAMES par les noms des tags réseau que vous souhaitez associer à un job. Pour les jobs, les tags réseau sont spécifiés au niveau de l'exécution. Chaque exécution de job peut avoir des tags réseau différents, tels que network-tag-2.
    • EGRESS_SETTING par une valeur de paramètre de sortie :
      • all-traffic : achemine tout le trafic sortant via le réseau VPC.
      • private-ranges-only : achemine uniquement le trafic destiné à des adresses internes via le réseau VPC.
    • REGION par une région pour votre job.

  2. Pour vérifier que le job se trouve sur votre réseau VPC, exécutez la commande suivante :

    gcloud beta run jobs describe JOB_NAME \
--region=REGION

    Remplacez :

    • JOB_NAME par le nom de votre tâche.
    • REGION par la région de votre job que vous avez spécifié à l'étape précédente.

    La sortie doit contenir le nom du réseau, du sous-réseau et du trafic sortant, par exemple :

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Vous pouvez désormais envoyer des requêtes à partir de votre job Cloud Run vers n'importe quelle ressource du réseau VPC, conformément à vos règles de pare-feu.