Esta página está dirigida a especialistas en redes que quieran migrar el tráfico de una red de VPC compartida de conectores de acceso a VPC sin servidor a salida de VPC directa al enviar tráfico a una red de VPC compartida.
La salida directa de VPC es más rápida y puede gestionar más tráfico que los conectores, lo que permite obtener una latencia más baja y un mayor rendimiento, ya que utiliza una ruta de red directa nueva en lugar de instancias de conector.
Antes de realizar la migración, te recomendamos que te familiarices con los requisitos previos, limitaciones, asignación de direcciones IP> y permisos de gestión de identidades y accesos de la salida de VPC directa.
Migrar servicios a la salida de VPC directa
Migrar servicios a la salida de VPC directa gradualmente
Cuando migres servicios de Cloud Run de conectores de acceso a VPC sin servidor a salida de VPC directa, te recomendamos que lo hagas de forma gradual.
Para hacer la transición gradualmente, sigue estos pasos:
- Sigue las instrucciones de esta guía para actualizar tu servicio o trabajo y usar la salida de VPC directa.
- Divide un pequeño porcentaje del tráfico para comprobar que funciona correctamente.
- Actualiza la división del tráfico para enviar todo el tráfico a la nueva revisión mediante la salida directa de VPC.
Para migrar el tráfico con la salida de VPC directa de un servicio, usa laGoogle Cloud consola o la CLI de Google Cloud:
Consola
En la Google Cloud consola, ve a la página Cloud Run.
Haga clic en el servicio que quiera migrar de un conector a la salida de VPC directa y, a continuación, en Editar y desplegar nueva revisión.
Haz clic en la pestaña Redes.
En Conectarse a una VPC para el tráfico saliente, haga clic en Enviar tráfico directamente a una VPC.
Selecciona Redes compartidas conmigo.
En el campo Red, selecciona la red de VPC compartida a la que quieras enviar el tráfico.
En el campo Subred, selecciona la subred de la que tu servicio recibe direcciones IP. Puedes desplegar varios servicios en la misma subred.
Opcional: Introduce los nombres de las etiquetas de red que quieras asociar a tu servicio o servicios. Las etiquetas de red se especifican a nivel de revisión. Cada revisión de servicio puede tener etiquetas de red diferentes, como
network-tag-2.En Enrutamiento del tráfico, seleccione una de las siguientes opciones:
- Dirige solo las solicitudes a IP privadas a la VPC para enviar solo tráfico a direcciones internas a través de la red VPC compartida.
- Dirige todo el tráfico a la VPC para enviar todo el tráfico saliente a través de la red de VPC compartida.
Haz clic en Desplegar.
Para verificar que tu servicio está en tu red de VPC compartida, haz clic en el servicio y, a continuación, en la pestaña Redes. La red y la subred se muestran en la tarjeta VPC.
Ahora puedes enviar solicitudes directamente desde tu servicio de Cloud Run a cualquier recurso de la red de VPC compartida, tal como lo permiten tus reglas de firewall.
gcloud
Para migrar un servicio de Cloud Run de un conector a una salida de VPC directa mediante la CLI de Google Cloud, sigue estos pasos:
Actualiza tu servicio en la subred compartida especificando los nombres de recursos completos de la red de VPC compartida y la subred con el siguiente comando:
gcloud beta run services update SERVICE_NAME \ --clear-network \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Haz los cambios siguientes:
- SERVICE_NAME: el nombre de tu servicio de Cloud Run.
- IMAGE_URL: URL de la imagen del servicio.
- HOST_PROJECT_ID: el ID de tu proyecto de VPC compartida.
- VPC_NETWORK: el nombre de tu red de VPC compartida.
- REGION: la región de tu servicio de Cloud Run, que debe coincidir con la región de tu subred.
- SUBNET_NAME: el nombre de tu subred.
- Opcional: NETWORK_TAG_NAMES con los nombres separados por comas de las etiquetas de red que quieras asociar a un servicio. En el caso de los servicios, las etiquetas de red se especifican a nivel de revisión. Cada revisión de servicio puede tener etiquetas de red diferentes, como
network-tag-2. - EGRESS_SETTING con un
valor de ajuste de salida:
all-traffic: envía todo el tráfico saliente a través de la red de VPC compartida.private-ranges-only: envía solo tráfico a direcciones internas a través de la red de VPC compartida.
- MAX: número máximo de instancias que se pueden usar en la red de VPC compartida. El número máximo de instancias permitido para los servicios es 100.
Para obtener más información y argumentos opcionales, consulta la referencia de
gcloud.Para verificar que tu servicio está en tu red de VPC compartida, ejecuta el siguiente comando:
gcloud beta run services describe SERVICE_NAME \ --region=REGION
Sustituye:
SERVICE_NAMEcon el nombre de tu servicio.REGIONcon la región de tu servicio que has especificado en el paso anterior.
La salida debe contener el nombre de tu red, subred y ajuste de salida. Por ejemplo:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ahora puede enviar solicitudes desde su servicio de Cloud Run a cualquier recurso de la red de VPC compartida, según lo permitan sus reglas de firewall.
Migrar tareas a la salida de VPC directa
Puedes migrar el tráfico con la salida de VPC directa de una tarea mediante laGoogle Cloud consola o la CLI de Google Cloud.
Consola
En la Google Cloud consola, ve a la página Cloud Run.
Haga clic en la tarea que quiera migrar de un conector a la salida de VPC directa y, a continuación, haga clic en Editar.
Haz clic en la pestaña Redes.
Haz clic en Contenedor, Variables y secretos, Conexiones y Seguridad para desplegar la página de propiedades del trabajo.
Haz clic en la pestaña Conexiones.
En Conectarse a una VPC para el tráfico saliente, haga clic en Enviar tráfico directamente a una VPC.
Selecciona Redes compartidas conmigo.
En el campo Red, selecciona la red de VPC compartida a la que quieras enviar el tráfico.
En el campo Subred, selecciona la subred de la que tu tarea recibe direcciones IP. Puedes implementar varios trabajos en la misma subred.
Opcional: Introduce los nombres de las etiquetas de red que quieras asociar a un trabajo. En el caso de los trabajos, las etiquetas de red se especifican a nivel de ejecución. Cada ejecución de un trabajo puede tener etiquetas de red diferentes, como
network-tag-2.En Enrutamiento del tráfico, seleccione una de las siguientes opciones:
- Dirige solo las solicitudes a IP privadas a la VPC para enviar solo tráfico a direcciones internas a través de la red VPC compartida.
- Dirige todo el tráfico a la VPC para enviar todo el tráfico saliente a través de la red de VPC compartida.
Haz clic en Actualizar.
Para verificar que el trabajo está en tu red de VPC compartida, haz clic en el trabajo y, a continuación, en la pestaña Configuración. La red y la subred se muestran en la tarjeta VPC.
Ahora puedes ejecutar tu trabajo de Cloud Run y enviar solicitudes desde el trabajo a cualquier recurso de la red de VPC compartida, según lo permitan tus reglas de cortafuegos.
gcloud
Para migrar un trabajo de Cloud Run de un conector a una salida de VPC directa mediante la CLI de Google Cloud, sigue estos pasos:
Desconecta el trabajo de la red de VPC compartida ejecutando el comando
gcloud run jobs updatecon la siguiente marca:gcloud run jobs update JOB_NAME --region=REGION \ --clear-network
Haz los cambios siguientes:
- JOB_NAME: nombre del trabajo de Cloud Run.
- REGION: la región de tu tarea de Cloud Run.
Actualiza el trabajo en la subred compartida especificando los nombres de recursos completos de la red de VPC compartida y la subred con el siguiente comando:
gcloud beta run jobs create JOB_NAME \ --clear-network \ --image IMAGE_URL \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Haz los cambios siguientes:
- JOB_NAME: nombre del trabajo de Cloud Run.
- IMAGE_URL: URL de la imagen del trabajo.
- HOST_PROJECT_ID: el ID de tu proyecto de VPC compartida.
- VPC_NETWORK: el nombre de tu red de VPC compartida.
- REGION: la región de tu trabajo de Cloud Run, que debe coincidir con la región de tu subred.
- SUBNET_NAME: el nombre de tu subred.
- Opcional: NETWORK_TAG_NAMES con los nombres separados por comas de las etiquetas de red que quieras asociar a un trabajo. Cada ejecución de un trabajo puede tener etiquetas de red diferentes, como
network-tag-2. - EGRESS_SETTING con un
valor de ajuste de salida:
all-traffic: envía todo el tráfico saliente a través de la red de VPC compartida.private-ranges-only: envía solo tráfico a direcciones internas a través de la red de VPC compartida.
Para obtener más información y argumentos opcionales, consulta la referencia de
gcloud.Para verificar que tu trabajo está en tu red de VPC compartida, ejecuta el siguiente comando:
gcloud beta run jobs describe JOB_NAME \ --region=REGION
Sustituye:
JOB_NAMEcon el nombre del trabajo.REGIONcon la región de tu trabajo que has especificado en el paso anterior.
La salida debe contener el nombre de tu red, subred y ajuste de salida. Por ejemplo:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ahora puedes enviar solicitudes desde tu trabajo de Cloud Run a cualquier recurso de la red de VPC compartida, según lo permitan tus reglas de firewall.