Migrar o conector de VPC padrão para a saída direta de VPC

Esta página é destinada a especialistas de rede que querem migrar o tráfego de rede VPC padrão do uso dos conectores de acesso VPC sem servidor para a saída direta de VPC ao enviar o tráfego para uma rede VPC.

A saída de VPC direta é mais rápida e pode lidar com mais tráfego do que os conectores, oferecendo menor latência e maior capacidade. Isso acontece porque ela usa um novo caminho de rede direto em vez de instâncias de conector.

Antes da migração, recomendamos familiarizar-se com os pré-requisitos da saída direta de VPC, as limitações, a alocação de endereços IP e as permissões do IAM.

Migrar serviços para a saída direta de VPC

Migrar serviços gradualmente para a saída direta de VPC

Ao migrar os serviços do Cloud Run dos conectores de acesso VPC sem servidor para a saída direta de VPC, recomendamos que você faça isso em uma transição gradual.

Para fazer a transição gradual:

Siga as instruções nesta seção para atualizar seu serviço e usar a saída direta de VPC.
Divida uma pequena porcentagem do tráfego para determinar se ele funciona corretamente.
Atualize a divisão de tráfego a fim de enviar todo o tráfego para a nova revisão usando a saída direta de VPC.

Para migrar o tráfego da saída direta de VPC para um serviço, use o console do Google Cloud ou a CLI do Google Cloud:

Console

No console do Google Cloud, acesse a página do Cloud Run.

Acesse o Cloud Run
Clique no serviço que você quer migrar de um conector para a saída direta de VPC e, em seguida, clique em Editar e implantar nova revisão.
Clique na guia Rede.
Em Conectar a uma VPC para o tráfego de saída, clique em Enviar tráfego diretamente a uma VPC.
No campo Rede, selecione a rede VPC que receberá o tráfego enviado.
No campo Sub-rede, selecione a sub-rede que enviará os endereços IP ao seu serviço. É possível implantar vários serviços na mesma sub-rede.
Opcional: insira os nomes das tags de rede que você quer associar ao seu serviço (ou serviços). As tags de rede são especificadas no nível da revisão. Cada revisão de serviço pode ter tags de rede diferentes, como network-tag-2.
Em Roteamento de tráfego, selecione uma das seguintes opções:
- Encaminhar solicitações apenas para IPs privados para a VPC a fim de enviar apenas o tráfego para endereços internos pela rede VPC.
- Rotear todo o tráfego para a VPC a fim de enviar todo o tráfego de saída pela rede VPC.
Selecione Implantar.
Para verificar se o serviço está na sua rede VPC, clique nele e depois na guia Rede. A rede e a sub-rede estão listadas no card da VPC.

Agora é possível enviar solicitações do seu serviço do Cloud Run para qualquer recurso na rede VPC, conforme permitido pelas regras de firewall.

gcloud

Para migrar um serviço do Cloud Run de um conector para a saída direta de VPC usando a CLI do Google Cloud, faça o seguinte:

Implante o serviço do Cloud Run com o seguinte comando:
```
gcloud beta run services update SERVICE_NAME \
--clear-vpc-connector \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION
```
Substitua:
- SERVICE_NAME pelo nome do serviço;
- NETWORK pelo nome da sua rede VPC;
- SUBNET pelo nome da sub-rede. É possível implantar ou executar vários serviços ou jobs na mesma sub-rede;
- Opcional: NETWORK_TAG_NAMES pelos nomes separados por vírgula das tags de rede que você quer associar a um serviço. Para serviços, as tags de rede são especificadas no nível da revisão. Cada revisão de serviço pode ter tags de rede diferentes, como network-tag-2;
- EGRESS_SETTING por um valor de configuração de saída:
  - all-traffic: envia todo o tráfego de saída pela rede VPC.
  - private-ranges-only: envia o tráfego apenas para endereços internos pela rede VPC.
- REGION por uma região do seu serviço.
Para verificar se o serviço está na sua rede VPC, execute o seguinte comando:
```
gcloud beta run services describe SERVICE_NAME \
--region=REGION
```
Substitua:
- SERVICE_NAME pelo nome do serviço;
- REGION pela região do serviço que você especificou na etapa anterior.
A saída precisa conter o nome da sua rede, sub-rede e configuração de saída. Por exemplo:
```
VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only
```

Agora, é possível enviar solicitações do seu serviço do Cloud Run para qualquer recurso na rede VPC, conforme permitido pelas regras de firewall.

Migrar jobs para a saída direta de VPC

É possível migrar o tráfego da saída direta de VPC para um job usando o console do Google Cloud ou a CLI do Google Cloud.

Console

No console do Google Cloud, acesse a página do Cloud Run.

Acesse o Cloud Run
Clique no job que você quer migrar de um conector para a saída direta de VPC e, em seguida, clique em Editar.
Clique na guia Rede.
Clique em Contêiner, variáveis e secrets, conexões, segurança para expandir a página de properties do job.
Clique na guia Conexões.
Em Conectar a uma VPC para o tráfego de saída, clique em Enviar tráfego diretamente a uma VPC.
No campo Rede, selecione a rede VPC que receberá o tráfego enviado.
No campo Sub-rede, selecione a sub-rede que enviará os endereços IP ao seu job. É possível executar vários jobs na mesma sub-rede.
Opcional: insira os nomes das tags de rede que você quer associar ao seu serviço (ou serviços). As tags de rede são especificadas no nível da revisão. Cada revisão de serviço pode ter tags de rede diferentes, como network-tag-2.
Em Roteamento de tráfego, selecione uma das seguintes opções:
- Encaminhar solicitações apenas para IPs privados para a VPC a fim de enviar apenas o tráfego para endereços internos pela rede VPC.
- Rotear todo o tráfego para a VPC a fim de enviar todo o tráfego de saída pela rede VPC.
Clique em Atualizar.
Para verificar se o job está na sua rede VPC, clique nele e depois na guia Configuração. A rede e a sub-rede estão listadas no card da VPC.

Agora, é possível executar seu job do Cloud Run e enviar solicitações dele para qualquer recurso na rede VPC, conforme permitido pelas regras de firewall.

gcloud

Para migrar um job do Cloud Run de um conector para a saída direta de VPC usando a CLI do Google Cloud, faça o seguinte:

Atualize seu job do Cloud Run com o seguinte comando:
```
gcloud run jobs update JOB_NAME \
--clear-network \
--image=IMAGE_URL \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION
```
Substitua:
- JOB_NAME pelo nome do job.
- NETWORK pelo nome da sua rede VPC;
- SUBNET pelo nome da sub-rede. É possível implantar ou executar vários serviços ou jobs na mesma sub-rede;
- Opcional: NETWORK_TAG_NAMES pelos nomes das tags de rede que você quer associar a um job. Para jobs, as tags de rede são especificadas no nível da execução. Cada execução de job pode ter tags de rede diferentes, como network-tag-2;
- EGRESS_SETTING por um valor de configuração de saída:
  - all-traffic: envia todo o tráfego de saída pela rede VPC.
  - private-ranges-only: envia o tráfego apenas para endereços internos pela rede VPC.
- REGION por uma região do seu job.
Para verificar se o job está na sua rede VPC, execute o seguinte comando:
```
gcloud beta run jobs describe JOB_NAME \
--region=REGION
```
Substitua:
- JOB_NAME pelo nome do job.
- REGION pela região do job especificada na etapa anterior.
A saída precisa conter o nome da sua rede, sub-rede e configuração de saída. Por exemplo:
```
VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only
```

Agora é possível enviar solicitações do seu serviço do Cloud Run para qualquer recurso na rede VPC, conforme permitido pelas regras de firewall.