Migre o conetor de VPC padrão para a saída da VPC direta

Esta página destina-se a especialistas em redes que querem migrar o tráfego de rede da VPC padrão da utilização de conetores do Acesso a VPC sem servidor para a utilização de saída da VPC direta quando enviam tráfego para uma rede da VPC.

A saída direta da VPC é mais rápida e pode processar mais tráfego do que os conetores, oferecendo uma latência mais baixa e um débito mais elevado, uma vez que usa um novo caminho de rede direto em vez de instâncias de conetores.

Antes da migração, recomendamos que se familiarize com os pré-requisitos, limitações, atribuição de endereços IP> e autorizações de IAM da saída da VPC direta.

Migre serviços para a saída da VPC direta

Migre os serviços para a saída da VPC direta gradualmente

Quando migrar os serviços do Cloud Run de conetores do Acesso a VPC sem servidor para a saída da VPC direta, recomendamos que o faça numa transição gradual.

Para fazer a transição gradualmente:

  1. Siga as instruções nesta secção para atualizar o seu serviço de modo a usar a saída da VPC direta.
  2. Divida uma pequena percentagem do tráfego para determinar se o tráfego funciona corretamente.
  3. Atualize a divisão de tráfego para enviar todo o tráfego para a nova revisão através da saída da VPC direta.

Para migrar o tráfego com a saída da VPC direta para um serviço, use a Google Cloud consola ou a CLI do Google Cloud:

Consola

  1. Na Google Cloud consola, aceda à página Cloud Run.

    Aceda ao Cloud Run

  2. Clique no serviço que quer migrar de um conector para a saída do VPC direto e, de seguida, clique em Editar e implementar nova revisão.

  3. Clique no separador Rede.

  4. Em Ligue-se a uma VPC para tráfego de saída, clique em Enviar tráfego diretamente para uma VPC.

  5. No campo Rede, selecione a rede VPC para a qual quer enviar tráfego.

  6. No campo Sub-rede, selecione a sub-rede a partir da qual o seu serviço recebe endereços IP. Pode implementar vários serviços na mesma sub-rede.

  7. Opcional: introduza os nomes das etiquetas de rede que quer associar ao seu serviço ou serviços. As etiquetas de rede são especificadas ao nível da revisão. Cada revisão do serviço pode ter etiquetas de rede diferentes, como network-tag-2.

  8. Para Encaminhamento de tráfego, selecione uma das seguintes opções:

    • Encaminhe apenas pedidos para IPs privados para a VPC para enviar apenas tráfego para endereços internos através da rede VPC.
    • Encaminhe todo o tráfego para a VPC para enviar todo o tráfego de saída através da rede de VPC.

  9. Clique em Implementar.

  10. Para verificar se o seu serviço está na rede VPC, clique no serviço e, de seguida, clique no separador Redes. A rede e a sub-rede estão listadas no cartão VPC.

    Agora, pode enviar pedidos diretamente do seu serviço do Cloud Run para qualquer recurso na rede da VPC, conforme permitido pelas suas regras de firewall.

gcloud

Para migrar um serviço do Cloud Run de um conetor para a saída da VPC direta através da CLI do Google Cloud:

  1. Atualize o seu serviço do Cloud Run com o seguinte comando:

    gcloud run services update SERVICE_NAME \
--clear-vpc-connector \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION

    Substituir:

    • SERVICE_NAME com o nome do seu serviço.
    • NETWORK com o nome da sua rede VPC.
    • SUBNET com o nome da sua sub-rede. Pode implementar ou executar vários serviços ou tarefas na mesma sub-rede.
    • Opcional: NETWORK_TAG_NAMES com os nomes separados por vírgulas das etiquetas de rede que quer associar a um serviço. Para serviços, as etiquetas de rede são especificadas ao nível da revisão. Cada revisão do serviço pode ter etiquetas de rede diferentes, como network-tag-2.
    • EGRESS_SETTING com um valor de definição de saída:
      • all-traffic: envia todo o tráfego de saída através da rede VPC.
      • private-ranges-only: envia apenas tráfego para endereços internos através da rede VPC.
    • REGION com uma região para o seu serviço.

  2. Para verificar se o seu serviço está na rede VPC, execute o seguinte comando:

    gcloud run services describe SERVICE_NAME \
--region=REGION

    Substituir:

    • SERVICE_NAME com o nome do seu serviço.
    • REGION com a região do seu serviço que especificou no passo anterior.

    O resultado deve conter o nome da sua rede, sub-rede e definição de saída, por exemplo:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Já pode enviar pedidos do seu serviço do Cloud Run para qualquer recurso na rede VPC, conforme permitido pelas regras da firewall.

Migre trabalhos para a saída da VPC direta

Pode migrar o tráfego com a saída da VPC direta para uma tarefa através da Google Cloud consola ou da CLI do Google Cloud.

Consola

  1. Na Google Cloud consola, aceda à página Cloud Run.

    Aceda ao Cloud Run

  2. Clique na tarefa que quer migrar de um conetor para a saída do VPC direto e, de seguida, clique em Editar.

  3. Clique no separador Rede.

  4. Clique em Recipiente, variáveis e segredos, ligações, segurança para expandir a página de propriedades da tarefa.

  5. Clique no separador Ligações.

  6. Em Ligue-se a uma VPC para tráfego de saída, clique em Enviar tráfego diretamente para uma VPC.

  7. No campo Rede, selecione a rede VPC para a qual quer enviar tráfego.

  8. No campo Sub-rede, selecione a sub-rede a partir da qual a tarefa recebe endereços IP. Pode implementar várias tarefas na mesma sub-rede.

  9. Opcional: introduza os nomes das etiquetas de rede que quer associar ao seu serviço ou serviços. As etiquetas de rede são especificadas ao nível da revisão. Cada revisão do serviço pode ter etiquetas de rede diferentes, como network-tag-2.

  10. Para Encaminhamento de tráfego, selecione uma das seguintes opções:

    • Encaminhe apenas pedidos para IPs privados para a VPC para enviar apenas tráfego para endereços internos através da rede VPC.
    • Encaminhe todo o tráfego para a VPC para enviar todo o tráfego de saída através da rede de VPC.

  11. Clique em Atualizar.

  12. Para verificar se a tarefa está na sua rede VPC, clique na tarefa e, de seguida, clique no separador Configuração. A rede e a sub-rede estão indicadas no cartão VPC.

Já pode executar a tarefa do Cloud Run e enviar pedidos da tarefa para qualquer recurso na rede da VPC, conforme permitido pelas regras de firewall.

gcloud

Para migrar uma tarefa do Cloud Run de um conetor para a saída do VPC direto através da CLI do Google Cloud:

  1. Atualize a tarefa do Cloud Run com o seguinte comando:

    gcloud run jobs update JOB_NAME \
--clear-network \
--image=IMAGE_URL \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION

    Substituir:

    • JOB_NAME com o nome do seu trabalho.
    • NETWORK com o nome da sua rede VPC.
    • SUBNET com o nome da sua sub-rede. Pode implementar ou executar vários serviços ou tarefas na mesma sub-rede.
    • Opcional: NETWORK_TAG_NAMES com os nomes das etiquetas de rede que quer associar a uma tarefa. Para trabalhos, as etiquetas de rede são especificadas ao nível da execução. Cada execução de tarefa pode ter etiquetas de rede diferentes, como network-tag-2.
    • EGRESS_SETTING com um valor de definição de saída:
      • all-traffic: envia todo o tráfego de saída através da rede VPC.
      • private-ranges-only: envia apenas tráfego para endereços internos através da rede VPC.
    • REGION com uma região para o seu trabalho.

  2. Para verificar se o trabalho está na sua rede VPC, execute o seguinte comando:

    gcloud run jobs describe JOB_NAME \
--region=REGION

    Substituir:

    • JOB_NAME com o nome do seu trabalho.
    • REGION com a região do seu trabalho que especificou no passo anterior.

    O resultado deve conter o nome da sua rede, sub-rede e definição de saída, por exemplo:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Já pode enviar pedidos da sua tarefa do Cloud Run para qualquer recurso na rede VPC, conforme permitido pelas regras da firewall.