Esta página está destinada a los especialistas en redes que desean migrar el tráfico de red de VPC compartida del uso de los conectores de Acceso a VPC sin servidores al uso de la salida de VPC directa cuando se envía a una red de VPC compartida.
La salida de VPC directa es más rápida y puede manejar más tráfico que los conectores, lo que entrega una latencia menor y una capacidad de procesamiento mayor, ya que usa una ruta de red nueva y directa en lugar de las instancias de conectores.
Antes de la migración, recomendamos que te familiarices con los requisitos previos, las limitaciones y la asignación de direcciones IP y los permisos de IAM de salida de VPC directa.
Migra servicios a la salida de VPC directa
Migra servicios a la salida de VPC directa de forma gradual
Cuando migres los servicios de Cloud Run de los conectores del Acceso a VPC sin servidores a la salida de VPC directa, te recomendamos que lo hagas en una transición gradual.
Para realizar una transición gradual, haz lo siguiente:
- Sigue las instrucciones de esta guía para actualizar tu servicio o trabajo para usar la salida de VPC directa.
- Divide un pequeño porcentaje de tráfico para probar que el tráfico funcione de forma correcta.
- Actualiza la división del tráfico para enviar todo el tráfico a la revisión nueva mediante la salida de VPC directa.
Si deseas migrar el tráfico con la salida de VPC directa para un servicio, usa la consola de Google Cloud o Google Cloud CLI:
Console
En la consola de Google Cloud, ve a la página Cloud Run.
Haz clic en el servicio que deseas migrar de un conector a la salida de VPC directa y, luego, en Implementar y editar la nueva revisión.
Haz clic en la pestaña Redes.
En Conéctate a una VPC para el tráfico saliente, haz clic en Enviar tráfico directamente a una VPC.
Selecciona Redes compartidas conmigo.
En el campo Red, selecciona la red de VPC compartida a la que deseas enviar tráfico.
En el campo Subred, selecciona la subred desde la que tu servicio recibe direcciones IP. Puedes implementar varios servicios en la misma subred.
Opcional: Ingresa los nombres de las etiquetas de red que quieres asociar con tu servicio o tus servicios. Las etiquetas de red se especifican a nivel de revisión. Cada revisión del servicio puede tener diferentes etiquetas de red, como
network-tag-2.En Enrutamiento del tráfico, selecciona una de las siguientes opciones:
- Enruta solo las solicitudes a IPs privadas a la VPC para enviar solo tráfico a direcciones internas a través de la red de VPC compartida.
- Enruta todo el tráfico a la VPC para enviar todo el tráfico saliente a través de la red de VPC compartida.
Haz clic en Implementar.
Para verificar que tu servicio esté en la red de VPC compartida, haz clic en el servicio y, luego, en la pestaña Herramientas de redes. Las redes y las subredes se detallan en la tarjeta VPC.
Ahora puedes enviar solicitudes directamente desde tu servicio de Cloud Run a cualquier recurso en la red de VPC compartida, como lo permiten las reglas de firewall.
gcloud
Para migrar un servicio de Cloud Run de un conector a una salida de VPC directa a través de Google Cloud CLI, haz lo siguiente:
Para actualizar tu servicio en la subred compartida, especifica los nombres de recursos completamente calificados para la red de VPC compartida y la subred con el siguiente comando:
gcloud beta run services update SERVICE_NAME \ --clear-network \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Reemplaza lo siguiente:
- SERVICE_NAME: el nombre de tu servicio de Cloud Run.
- IMAGE_URL: la URL de la imagen del servicio.
- HOST_PROJECT_ID: el ID de tu proyecto de VPC compartida.
- VPC_NETWORK: el nombre de tu red de VPC compartida.
- REGION: es la región del servicio de Cloud Run, que debe coincidir con la región de la subred.
- SUBNET_NAME: el nombre de tu subred.
- Opcional: NETWORK_TAG_NAMES por los nombres separados por comas de las etiquetas de red que deseas asociar con un servicio. Para los servicios, las etiquetas de red se especifican a nivel de revisión. Cada revisión del servicio puede tener etiquetas de red diferentes, como
network-tag-2. - EGRESS_SETTING por un valor de configuración de salida:
all-traffic: Envía todo el tráfico saliente por medio de la red de VPC compartida.private-ranges-only: Envía solo tráfico a direcciones internas a través de la red de VPC compartida.
- MAX es la cantidad máxima de instancias que se usarán para la red de VPC compartida. El número máximo de instancias permitidas para los servicios es 100.
Para obtener más detalles y ver los argumentos opcionales, consulta la referencia de
gcloud.Para verificar que tu servicio esté en la red de VPC compartida, ejecuta el siguiente comando:
gcloud beta run services describe SERVICE_NAME \ --region=REGION
Reemplaza lo siguiente:
SERVICE_NAMEpor el nombre de tu servicioREGIONpor la región del servicio que especificaste en el paso anterior.
El resultado debe contener el nombre de tu red, subred y configuración de salida, por ejemplo:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ahora puedes enviar solicitudes desde tu servicio de Cloud Run a cualquier recurso en la red de VPC compartida, como lo permiten las reglas de firewall.
Migra trabajos a la salida de VPC directa
Puedes migrar el tráfico con la salida de VPC directa para un trabajo a través de la consola de Google Cloud o Google Cloud CLI.
Console
En la consola de Google Cloud, ve a la página Cloud Run.
Haz clic en el trabajo que deseas migrar de un conector a la salida de VPC directa y, luego, en Editar.
Haz clic en la pestaña Redes.
Haz clic en Contenedor, variables y secretos, conexiones y seguridad para expandir la página de propiedades del trabajo.
Haz clic en la pestaña Conexiones.
En Conéctate a una VPC para el tráfico saliente, haz clic en Enviar tráfico directamente a una VPC.
Selecciona Redes compartidas conmigo.
En el campo Red, selecciona la red de VPC compartida a la que deseas enviar tráfico.
En el campo Subred, selecciona la subred desde la que tu trabajo recibe direcciones IP. Puedes implementar varios trabajos en la misma subred.
Opcional: Ingresa los nombres de las etiquetas de red que quieres asociar a un trabajo. Para los trabajos, las etiquetas de red se especifican a nivel de ejecución. Cada ejecución de trabajo puede tener diferentes etiquetas de red, como
network-tag-2.En Enrutamiento del tráfico, selecciona una de las siguientes opciones:
- Enruta solo las solicitudes a IPs privadas a la VPC para enviar solo tráfico a direcciones internas a través de la red de VPC compartida.
- Enruta todo el tráfico a la VPC para enviar todo el tráfico saliente a través de la red de VPC compartida.
Haz clic en Update.
Para verificar que tu trabajo esté en la red de VPC compartida, haz clic en el trabajo y, luego, en la pestaña Configuración. Las redes y las subredes se detallan en la tarjeta VPC.
Ahora puedes ejecutar el trabajo de Cloud Run y enviar solicitudes desde el trabajo a cualquier recurso en la red de VPC compartida, como lo permiten las reglas de firewall.
gcloud
Para migrar un trabajo de Cloud Run de un conector a una salida de VPC directa a través de Google Cloud CLI, haz lo siguiente:
Desconecta tu trabajo de la red de VPC compartida a través de la ejecución del comando
gcloud run jobs updatecon la siguiente marca:gcloud run jobs update JOB_NAME --region=REGION \ --clear-network
Reemplaza lo siguiente:
- JOB_NAME: por el nombre del trabajo de Cloud Run.
- REGION: la región del trabajo de Cloud Run.
Para actualizar tu trabajo en la subred compartida, especifica los nombres de recursos completamente calificados para la red de VPC compartida y la subred con el siguiente comando:
gcloud beta run jobs create JOB_NAME \ --clear-network \ --image IMAGE_URL \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Reemplaza lo siguiente:
- JOB_NAME: por el nombre del trabajo de Cloud Run.
- IMAGE_URL: por la URL de la imagen del trabajo.
- HOST_PROJECT_ID: el ID de tu proyecto de VPC compartida.
- VPC_NETWORK: el nombre de tu red de VPC compartida.
- REGION: por la región del trabajo de Cloud Run, que debe coincidir con la región de la subred.
- SUBNET_NAME: el nombre de tu subred.
- Opcional: NETWORK_TAG_NAMES por los nombres separados por comas de las etiquetas de red que deseas asociar con un trabajo. Cada ejecución de trabajo puede tener etiquetas de red diferentes, como
network-tag-2. - EGRESS_SETTING por un valor de configuración de salida:
all-traffic: Envía todo el tráfico saliente por medio de la red de VPC compartida.private-ranges-only: Envía solo tráfico a direcciones internas a través de la red de VPC compartida.
Para obtener más detalles y ver los argumentos opcionales, consulta la referencia de
gcloud.Para verificar que tu trabajo esté en la red de VPC compartida, ejecuta el siguiente comando:
gcloud beta run jobs describe JOB_NAME \ --region=REGION
Reemplaza lo siguiente:
JOB_NAMEpor el nombre de tu trabajo.REGIONpor la región del trabajo que especificaste en el paso anterior.
El resultado debe contener el nombre de tu red, subred y configuración de salida, por ejemplo:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ahora puedes enviar solicitudes desde tu trabajo de Cloud Run a cualquier recurso en la red de VPC compartida, como lo permiten las reglas de firewall.