Freigegebenen VPC-Connector zu ausgehendem Direct VPC-Traffic migrieren

Diese Seite richtet sich an Netzwerkexperten, die Standard-VPC-Netzwerk-Traffic vom Verwenden von Connectors für serverlosen VPC-Zugriff zur Verwendung von ausgehendem Direct VPC-Traffic migrieren möchten wenn sie Traffic zu einem VPC-Netzwerk senden.

Ausgehender Direct VPC-Traffic ist schneller und kann mehr Traffic als Connectors verarbeiten. Dies bietet eine geringere Latenz und einen höheren Durchsatz, da er einen neuen, direkten Netzwerkpfad anstelle von Connector-Instanzen verwendet.

Wir empfehlen Ihnen, sich vor der Migration mit den Voraussetzungen für ausgehenden Direct-VPC-Traffic, Einschränkungen und der Zuweisung von IP-Adressen vertraut zu machen und mit IAM-Berechtigungen.

Dienste zu ausgehendem Direct VPC-Traffic migrieren

Dienste schrittweise zu ausgehendem Direct VPC-Traffic migrieren

Wenn Sie Cloud Run-Dienste von Connectors für serverlosen VPC-Zugriff zum ausgehenden Direct VPC-Traffic migrieren, empfehlen wir dies eine graduelle Umstellung.

So stellen Sie schrittweise um:

Folgen Sie der Anleitung in dieser Anleitung, um Ihren Dienst oder Job für die Verwendung von ausgehendem Direct VPC-Traffic zu aktualisieren.
Spalten Sie einen kleinen Prozentsatz des Traffics ab, um zu testen, ob dieser korrekt verarbeitet wird.
Aktualisieren Sie die Trafficaufteilung, um den gesamten Traffic über die neue Version mit ausgehendem Direct VPC zu senden.

Verwenden Sie die Google Cloud Console oder die Google Cloud CLI, um Traffic mit ausgehendem Direct VPC-Traffic für einen Dienst zu migrieren:

Console

Wechseln Sie in der Google Cloud Console zur Seite Cloud Run.

Zu Cloud Run
Klicken Sie auf den Dienst, den Sie von einem Connector zu ausgehendem Direct VPC-Traffic migrieren möchten, und dann auf Neue Überarbeitung bearbeiten und bereitstellen.
Klicken Sie auf den Tab Netzwerk.
Klicken Sie unter Mit einer VPC für ausgehenden Traffic verbinden auf Traffic direkt an eine VPC senden.
Wählen Sie Für mich freigegebene Netzwerke aus.
Wählen Sie im Feld Netzwerk das freigegebene VPC-Netzwerk aus, an das Sie Traffic senden möchten.
Wählen Sie im Feld Subnetz das Subnetz aus, von dem Ihr Dienst IP-Adressen empfängt. Sie können mehrere Dienste im selben Subnetz bereitstellen.
Optional: Geben Sie die Namen der Netzwerk-Tags ein, die Sie Ihrem Dienst oder Ihren Diensten zuordnen möchten. Netzwerktags werden auf Versionsebene angegeben. Jede Dienstversion kann unterschiedliche Netzwerk-Tags haben, z. B. network-tag-2.
Wählen Sie für Traffic-Routing eine der folgenden Optionen:
- Nur Anfragen an private IPs an die VPC weiterleiten, um nur Traffic an interne Adressen über das freigegebene VPC-Netzwerk zu senden.
- Gesamten Traffic an die VPC weiterleiten, um den gesamten ausgehenden Traffic über das VPC-Netzwerk zu senden.
Klicken Sie auf Bereitstellen.
Klicken Sie auf den Dienst und dann auf den Tab Netzwerk, um zu prüfen, ob sich der Dienst in Ihrem freigegebenen VPC-Netzwerk befindet. Netzwerk und Subnetz werden auf der VPC-Karte aufgeführt.

Sie können nun Anfragen von Ihrem Cloud Run-Dienst an eine beliebige Ressource im freigegebenen VPC-Netzwerk senden, je nach Ihren Firewallregeln.

gcloud

So migrieren Sie einen Cloud Run-Dienst von einem Connector zu ausgehendem Direct VPC-Traffic mithilfe der Google Cloud CLI:

Aktualisieren Sie Ihren Dienst im freigegebenen Subnetz. Geben Sie dazu mit folgendem Befehl die vollständig qualifizierten Ressourcennamen für das freigegebene VPC-Netzwerk und das Subnetz an:
```
gcloud beta run services update SERVICE_NAME \
  --clear-network \
  --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \
  --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \
  --network-tags NETWORK_TAG_NAMES \
  --vpc-egress=EGRESS_SETTING \
  --region REGION \
  --max-instances MAX
  
```
Ersetzen Sie Folgendes:
- SERVICE_NAME: Der Name Ihres Cloud Run-Dienstes.
- IMAGE_URL: Die Bild-URL des Dienstes.
- HOST_PROJECT_ID: Die ID Ihres freigegebenen VPC-Projekts.
- VPC_NETWORK: Der Name des freigegebenen VPC-Netzwerks.
- REGION durch die Region für Ihren Cloud Run-Dienst; diese muss der Region Ihres Subnetzes entsprechen.
- SUBNET_NAME: Der Name Ihres Subnetzes.
- Optional: NETWORK_TAG_NAMES durch die durch Kommas getrennten Namen der Netzwerk-Tags ersetzen, die Sie mit einem Dienst verknüpfen möchten. Bei Diensten werden Netzwerk-Tags auf Versionsebene angegeben. Jede Dienstversion kann unterschiedliche Netzwerk-Tags haben, z. B. network-tag-2.
- EGRESS_SETTING durch einen Wert für die Einstellung für ausgehenden Traffic:
  - all-traffic: Sendet den gesamten ausgehenden Traffic über das freigegebene VPC-Netzwerk.
  - private-ranges-only: Sendet nur Traffic an interne Adressen über das freigegebene VPC-Netzwerk.
- MAX: Die maximale Anzahl an Instanzen, die für das freigegebene VPC-Netzwerk verwendet werden sollen. Für Dienste sind maximal 100 Instanzen zulässig.
Weitere Informationen und optionale Argumente finden Sie in der gcloud-Referenz.
Führen Sie folgenden Befehl aus, um zu prüfen, ob sich Ihr Dienst in Ihrem freigegebenen VPC-Netzwerk befindet:
```
gcloud beta run services describe SERVICE_NAME \
--region=REGION
```
Ersetzen Sie:
- SERVICE_NAME durch den Namen des Dienstes.
- REGION durch die Region für Ihren Dienst, die Sie im vorherigen Schritt angegeben haben.
Die Ausgabe sollte die Einstellung für Netzwerk, Subnetz und ausgehenden Traffic enthalten, zum Beispiel:
```
VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only
```

Sie können nun Anfragen von Ihrem Cloud Run-Dienst an eine beliebige Ressource im freigegebenen VPC-Netzwerk senden, je nach Ihren Firewallregeln.

Jobs zu ausgehendem Direct VPC-Traffic migrieren

Sie können Traffic mit ausgehendem Direct VPC-Traffic für einen Job über die Google Cloud Console oder die Google Cloud CLI migrieren.

Console

Wechseln Sie in der Google Cloud Console zur Seite Cloud Run.

Zu Cloud Run
Klicken Sie auf den Job, den Sie von einem Connector zu ausgehendem Direct VPC-Traffic migrieren möchten, und dann auf Bearbeiten.
Klicken Sie auf den Tab Netzwerk.
Klicken Sie auf Container, Variablen und Secrets, Verbindungen, Sicherheit, um die Seite mit den Jobattributen zu maximieren.
Klicken Sie auf den Tab Verbindungen.
Klicken Sie unter Mit einer VPC für ausgehenden Traffic verbinden auf Traffic direkt an eine VPC senden.
Wählen Sie Für mich freigegebene Netzwerke aus.
Wählen Sie im Feld Netzwerk das freigegebene VPC-Netzwerk aus, an das Sie Traffic senden möchten.
Wählen Sie im Feld Subnetz das Subnetz aus, von dem Ihr Job IP-Adressen empfängt. Sie können mehrere Jobs im selben Subnetz bereitstellen.
Optional: Geben Sie die Namen der Netzwerk-Tags ein, die Sie einem Job zuordnen möchten. Für Jobs werden Netzwerk-Tags auf Ausführungsebene angegeben. Jede Jobausführung kann unterschiedliche Netzwerk-Tags haben, z. B. network-tag-2.
Wählen Sie für Traffic-Routing eine der folgenden Optionen:
- Nur Anfragen an private IPs an die VPC weiterleiten, um nur Traffic an interne Adressen über das freigegebene VPC-Netzwerk zu senden.
- Gesamten Traffic an die VPC weiterleiten, um den gesamten ausgehenden Traffic über das VPC-Netzwerk zu senden.
Klicken Sie auf Aktualisieren.
Klicken Sie auf den Job und dann auf den Tab Konfiguration, um zu prüfen, ob sich der Job in Ihrem freigegebenen VPC-Netzwerk befindet. Netzwerk und Subnetz werden auf der VPC-Karte aufgeführt.

Sie können Ihren Cloud Run-Job jetzt ausführen und Anfragen vom Job an eine beliebige Ressource im freigegebenen VPC-Netzwerk senden, je nach Firewallregeln.

gcloud

So migrieren Sie einen Cloud Run-Job von einem Connector zu ausgehendem Direct VPC-Traffic mithilfe der Google Cloud CLI:

Trennen Sie Ihren Job vom freigegebenen VPC-Netzwerk, indem Sie den Befehl gcloud run jobs update mit dem folgenden Flag ausführen:
```
gcloud run jobs update JOB_NAME --region=REGION \
--clear-network
```
Ersetzen Sie Folgendes:
- JOB_NAME: Der Name Ihres Cloud Run-Jobs.
- REGION: Die Region für Ihren Cloud Run-Job.
Aktualisieren Sie Ihren Job im freigegebenen Subnetz. Geben Sie dazu die vollständig qualifizierten Ressourcennamen für das freigegebene VPC-Netzwerk und das Subnetz mit folgendem Befehl an:
```
gcloud beta run jobs create JOB_NAME \
  --clear-network \
  --image IMAGE_URL \
  --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \
  --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \
  --network-tags NETWORK_TAG_NAMES \
  --vpc-egress=EGRESS_SETTING \
  --region REGION \
  --max-instances MAX
  
```
Ersetzen Sie Folgendes:
- JOB_NAME: Der Name Ihres Cloud Run-Jobs.
- IMAGE_URL: Die Image-URL des Jobs.
- HOST_PROJECT_ID: Die ID Ihres freigegebenen VPC-Projekts.
- VPC_NETWORK: Der Name des freigegebenen VPC-Netzwerks.
- REGION: durch Die Region für Ihren Cloud Run-Job, die der Region des Subnetzes entsprechen muss.
- SUBNET_NAME: Der Name Ihres Subnetzes.
- Optional: NETWORK_TAG_NAMES durch die durch Kommas getrennten Namen der Netzwerk-Tags ersetzen, die Sie mit einem Job verknüpfen möchten. Jede Jobausführung kann unterschiedliche Netzwerk-Tags haben, z. B. network-tag-2.
- EGRESS_SETTING durch einen Wert für die Einstellung für ausgehenden Traffic:
  - all-traffic: Sendet den gesamten ausgehenden Traffic über das freigegebene VPC-Netzwerk.
  - private-ranges-only: Sendet nur Traffic an interne Adressen über das freigegebene VPC-Netzwerk.
Weitere Informationen und optionale Argumente finden Sie in der gcloud-Referenz.
Führen Sie folgenden Befehl aus, um zu prüfen, ob sich der Job in Ihrem freigegebenen VPC-Netzwerk befindet:
```
gcloud beta run jobs describe JOB_NAME \
--region=REGION
```
Ersetzen Sie:
- JOB_NAME durch den Namen des Jobs.
- REGION durch die Region des Jobs, die Sie im vorherigen Schritt angegeben haben.
Die Ausgabe sollte die Einstellung für Netzwerk, Subnetz und ausgehenden Traffic enthalten, zum Beispiel:
```
VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only
```

Sie können nun Anfragen von Ihrem Cloud Run-Dienst an eine beliebige Ressource im freigegebenen VPC-Netzwerk senden, je nach Ihren Firewallregeln.