Memigrasikan konektor VPC standar ke traffic keluar VPC Langsung

Halaman ini ditujukan untuk spesialis jaringan yang ingin memigrasikan traffic jaringan VPC standar dari menggunakan Serverless VPC Access Connector ke Traffic keluar VPC Langsung saat mengirim traffic ke jaringan VPC.

Traffic keluar VPC langsung lebih cepat dan dapat menangani lebih banyak traffic daripada konektor, sehingga menghasilkan latensi yang lebih rendah dan throughput yang lebih tinggi karena menggunakan jalur jaringan langsung baru, bukan instance konektor.

Sebelum migrasi, sebaiknya Anda memahami prasyarat, batasan, alokasi alamat IP, dan izin IAM VPC Langsung.

Memigrasikan layanan ke traffic keluar VPC Langsung

Memigrasikan layanan ke traffic keluar VPC Langsung secara bertahap

Saat Anda memigrasikan layanan Cloud Run dari konektor Akses VPC Serverless ke traffic keluar VPC Langsung, sebaiknya lakukan dalam transisi bertahap.

Untuk melakukan transisi secara bertahap:

  1. Ikuti petunjuk di bagian ini untuk mengupdate layanan agar dapat menggunakan traffic keluar VPC Langsung.
  2. Pisahkan sebagian kecil traffic untuk menentukan apakah traffic berfungsi dengan benar.
  3. Perbarui pemisahan traffic untuk mengirim semua traffic ke revisi baru menggunakan traffic keluar VPC Langsung.

Untuk memigrasikan traffic dengan traffic keluar VPC Langsung untuk suatu layanan, gunakan Konsol Google Cloud atau Google Cloud CLI:

Konsol

  1. Pada konsol Google Cloud, buka halaman Cloud Run.

    Buka Cloud Run

  2. Klik layanan yang ingin Anda migrasikan dari konektor ke traffic keluar VPC Langsung, lalu klik Edit and deploy new revision.

  3. Klik tab Networking.

  4. Dari Connect to a VPC for outbound traffic, klik Send traffic direct to a VPC.

  5. Di kolom Network, pilih jaringan VPC yang ingin Anda kirimi traffic.

  6. Di kolom Subnet, pilih subnet tempat alamat IP diterima oleh layanan Anda. Anda dapat men-deploy beberapa layanan di subnet yang sama.

  7. Opsional: Masukkan nama tag jaringan yang ingin dikaitkan dengan layanan Anda atau layanan lainnya. Tag jaringan ditentukan pada tingkat revisi. Setiap revisi layanan dapat memiliki tag jaringan yang berbeda, seperti network-tag-2.

  8. Untuk Pemilihan rute traffic, pilih salah satu opsi berikut:

    • Rutekan hanya permintaan IP pribadi ke VPC untuk hanya mengirim traffic ke alamat internal melalui jaringan VPC.
    • Rutekan semua traffic ke VPC untuk mengirim semua traffic keluar melalui jaringan VPC.

  9. Klik Deploy.

  10. Untuk memverifikasi bahwa layanan berada di jaringan VPC Anda, klik layanan, lalu klik tab Networking. Jaringan dan subnet tercantum dalam kartu VPC.

    Kini Anda dapat mengirim permintaan langsung dari layanan Cloud Run ke resource apa pun di jaringan VPC, sebagaimana diizinkan oleh aturan firewall.

gcloud

Untuk memigrasikan layanan Cloud Run dari konektor ke traffic keluar VPC Langsung menggunakan Google Cloud CLI:

  1. Update layanan Cloud Run Anda dengan perintah berikut:

    gcloud beta run services update SERVICE_NAME \
--clear-vpc-connector \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION

    Ganti:

    • SERVICE_NAME dengan nama layanan Anda.
    • NETWORK dengan nama jaringan VPC Anda.
    • SUBNET dengan nama subnet Anda. Anda dapat men-deploy atau menjalankan beberapa layanan atau tugas di subnet yang sama.
    • Opsional: NETWORK_TAG_NAMES dengan nama tag jaringan yang dipisahkan koma yang ingin Anda kaitkan dengan layanan. Untuk layanan, tag jaringan ditentukan pada tingkat revisi. Setiap revisi jaringan dapat memiliki tag jaringan yang berbeda, seperti network-tag-2.
    • EGRESS_SETTING dengan nilai setelan traffic keluar:
      • all-traffic: Mengirim semua traffic keluar melalui jaringan VPC.
      • private-ranges-only: Hanya mengirim traffic ke alamat internal melalui jaringan VPC.
    • REGION dengan region untuk layanan Anda.

  2. Untuk memverifikasi bahwa layanan Anda berada di jaringan VPC, jalankan perintah berikut:

    gcloud beta run services describe SERVICE_NAME \
--region=REGION

    Ganti:

    • SERVICE_NAME dengan nama layanan Anda.
    • REGION dengan region untuk layanan yang Anda tentukan di langkah sebelumnya.

    Output harus berisi nama jaringan, subnet, dan setelan egress, misalnya:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Kini Anda dapat mengirim permintaan dari layanan Cloud Run ke resource mana pun di jaringan VPC, sebagaimana diizinkan oleh aturan firewall Anda.

Memigrasikan tugas ke traffic keluar VPC Langsung

Anda dapat memigrasikan traffic dengan traffic keluar VPC Langsung untuk suatu tugas menggunakan Konsol Google Cloud atau Google Cloud CLI.

Konsol

  1. Pada konsol Google Cloud, buka halaman Cloud Run.

    Buka Cloud Run

  2. Klik tugas yang ingin dimigrasikan dari konektor ke traffic keluar VPC Langsung, lalu klik Edit.

  3. Klik tab Networking.

  4. Klik Container, Variabel, & Rahasia, Koneksi, Keamanan untuk memperluas halaman properti tugas.

  5. Klik tab Koneksi.

  6. Dari Connect to a VPC for outbound traffic, klik Send traffic direct to a VPC.

  7. Di kolom Network, pilih jaringan VPC yang ingin Anda kirimi traffic.

  8. Di kolom Subnet, pilih subnet tempat alamat IP diterima oleh tugas Anda. Anda dapat men-deploy beberapa tugas di subnet yang sama.

  9. Opsional: Masukkan nama tag jaringan yang ingin dikaitkan dengan layanan Anda atau layanan lainnya. Tag jaringan ditentukan pada tingkat revisi. Setiap revisi layanan dapat memiliki tag jaringan yang berbeda, seperti network-tag-2.

  10. Untuk Pemilihan rute traffic, pilih salah satu opsi berikut:

    • Rutekan hanya permintaan IP pribadi ke VPC untuk hanya mengirim traffic ke alamat internal melalui jaringan VPC.
    • Rutekan semua traffic ke VPC untuk mengirim semua traffic keluar melalui jaringan VPC.

  11. Klik Perbarui.

  12. Untuk memverifikasi bahwa tugas berada di jaringan VPC Anda, klik tugas, lalu klik tab Configuration. Jaringan dan subnet tercantum dalam kartuVPC.

Sekarang Anda dapat menjalankan tugas Cloud Run dan mengirim permintaan dari tugas ke resource mana pun di jaringan VPC, sebagaimana diizinkan oleh aturan firewall Anda.

gcloud

Untuk memigrasikan tugas Cloud Run dari konektor ke traffic keluar VPC Langsung menggunakan Google Cloud CLI:

  1. Perbarui tugas Cloud Run Anda dengan perintah berikut:

    gcloud run jobs update JOB_NAME \
--clear-network \
--image=IMAGE_URL \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION

    Ganti:

    • JOB_NAME dengan nama tugas Anda.
    • NETWORK dengan nama jaringan VPC Anda.
    • SUBNET dengan nama subnet Anda. Anda dapat men-deploy atau menjalankan beberapa layanan atau tugas di subnet yang sama.
    • Opsional: NETWORK_TAG_NAMES dengan nama tag jaringan yang ingin Anda kaitkan dengan tugas. Untuk tugas, tag jaringan ditentukan pada tingkat eksekusi. Setiap eksekusi tugas dapat memiliki tag jaringan yang berbeda, seperti network-tag-2.
    • EGRESS_SETTING dengan nilai setelan traffic keluar:
      • all-traffic: Mengirim semua traffic keluar melalui jaringan VPC.
      • private-ranges-only: Hanya mengirim traffic ke alamat internal melalui jaringan VPC.
    • REGION dengan region untuk tugas Anda.

  2. Untuk memastikan bahwa tugas berada di jaringan VPC Anda, jalankan perintah berikut:

    gcloud beta run jobs describe JOB_NAME \
--region=REGION

    Ganti:

    • JOB_NAME dengan nama tugas Anda.
    • REGION dengan region untuk tugas yang Anda tentukan di langkah sebelumnya.

    Output harus berisi nama jaringan, subnet, dan setelan egress, misalnya:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Kini Anda dapat mengirim permintaan dari tugas Cloud Run ke resource apa pun di jaringan VPC, seperti yang diizinkan oleh aturan firewall Anda.