Cette page s'adresse aux spécialistes de la mise en réseau qui souhaitent migrer le trafic d'un réseau VPC partagé utilisant des connecteurs d'accès au VPC sans serveur vers une sortie VPC directe lors de l'envoi du trafic vers un réseau VPC partagé.
La sortie VPC directe est plus rapide et peut gérer plus de trafic que les connecteurs. Elle offre ainsi une latence plus faible et un débit plus élevé, car elle utilise un nouveau chemin réseau direct au lieu d'instances de connecteur.
Avant la migration, nous vous recommandons de vous familiariser avec les conditions préalables, les limites, l'attribution d'adresses IP et les autorisations IAM de la sortie VPC directe.
Migrer des services vers la sortie VPC directe
Migrer progressivement les services vers la sortie VPC directe
Lorsque vous migrez des services Cloud Run depuis des connecteurs d'accès au VPC sans serveur vers la sortie VPC directe, nous vous recommandons de le faire dans le cadre d'une transition progressive.
Pour effectuer une transition progressive :
- Suivez les instructions de ce guide pour mettre à jour votre service ou votre job afin d'utiliser la sortie VPC directe.
- Répartissez un faible pourcentage du trafic pour vérifier qu'il fonctionne correctement.
- Mettez à jour la répartition du trafic pour envoyer tout le trafic vers la nouvelle révision à l'aide de la sortie VPC directe.
Pour migrer le trafic avec la sortie VPC directe pour un service, utilisez la console Google Cloud ou la Google Cloud CLI :
Console
Dans la console Google Cloud, accédez à la page Cloud Run.
Cliquez sur le service que vous souhaitez migrer depuis un connecteur vers la sortie VPC directe, puis sur Modifier et déployer la nouvelle révision.
Cliquez sur l'onglet Mise en réseau.
Dans le champ Se connecter à un VPC pour le trafic sortant, cliquez sur Envoyer le trafic directement vers un VPC.
Sélectionnez Réseaux partagés avec moi.
Dans le champ Réseau, sélectionnez le réseau VPC partagé vers lequel vous souhaitez envoyer du trafic.
Dans le champ Sous-réseau, sélectionnez le sous-réseau à partir duquel votre service reçoit des adresses IP. Vous pouvez déployer plusieurs services sur le même sous-réseau.
Facultatif : saisissez les noms des tags réseau que vous souhaitez associer à votre ou vos services. Les tags réseau sont spécifiés au niveau de la révision. Chaque révision de service peut avoir des tags réseau différents, tels que
network-tag-2.Dans le champ Routage du trafic, sélectionnez l'une des options suivantes:
- Acheminez uniquement les requêtes adressées à des adresses IP privées vers le VPC pour envoyer uniquement le trafic vers des adresses internes via le réseau VPC partagé.
- Acheminez tout le trafic vers le VPC pour envoyer tout le trafic sortant via le réseau VPC partagé.
Cliquez sur Deploy (Déployer).
Pour vérifier que votre service se trouve sur votre réseau VPC partagé, cliquez sur le service, puis sur l'onglet Mise en réseau. Le réseau et le sous-réseau sont répertoriés dans la fiche VPC.
Vous pouvez désormais envoyer des requêtes directement à partir de votre service Cloud Run vers n'importe quelle ressource du réseau VPC partagé, conformément à vos règles de pare-feu.
gcloud
Pour migrer un service Cloud Run d'un connecteur vers la sortie VPC directe à l'aide de la Google Cloud CLI, procédez comme suit :
Mettez à jour votre service sur le sous-réseau partagé en spécifiant les noms complets des ressources du sous-réseau et du réseau VPC partagé à l'aide de la commande suivante :
gcloud beta run services update SERVICE_NAME \ --clear-network \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Remplacez les éléments suivants :
- SERVICE_NAME : nom de votre service Cloud Run.
- IMAGE_URL: URL de l'image du service.
- HOST_PROJECT_ID: ID de votre projet VPC partagé.
- VPC_NETWORK: nom de votre réseau VPC partagé.
- REGION: région de votre service Cloud Run, qui doit correspondre à la région de votre sous-réseau.
- SUBNET_NAME : nom de votre sous-réseau
- Facultatif: NETWORK_TAG_NAMES par les noms des tags réseau séparés par une virgule que vous souhaitez associer à un service. Pour les services, les tags réseau sont spécifiés au niveau de la révision. Chaque révision de service peut avoir des tags réseau différents, tels que
network-tag-2. - EGRESS_SETTING par une valeur de paramètre de sortie :
all-traffic: achemine tout le trafic sortant via le réseau VPC partagé.private-ranges-only: achemine uniquement le trafic destiné à des adresses internes via le réseau VPC partagé.
- MAX: nombre maximal d'instances à utiliser pour le réseau VPC partagé. Le nombre maximal d'instances autorisées pour les services est de 100.
Pour plus d'informations et d'arguments facultatifs, consultez la documentation de référence sur
gcloud.Pour vérifier que votre service se trouve sur votre réseau VPC partagé, exécutez la commande suivante :
gcloud beta run services describe SERVICE_NAME \ --region=REGION
Remplacez :
SERVICE_NAMEpar le nom de votre service.REGIONpar la région du service que vous avez spécifiée à l'étape précédente.
La sortie doit contenir le nom du réseau, du sous-réseau et du trafic sortant, par exemple :
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Vous pouvez désormais envoyer des requêtes à partir de votre service Cloud Run vers n'importe quelle ressource du réseau VPC partagé, conformément à vos règles de pare-feu.
Migrer des jobs vers la sortie VPC directe
Vous pouvez migrer le trafic avec la sortie VPC directe pour un job à l'aide de la console Google Cloud ou de la Google Cloud CLI.
Console
Dans la console Google Cloud, accédez à la page Cloud Run.
Cliquez sur le job que vous souhaitez migrer d'un connecteur vers la sortie VPC directe, puis sur Modifier.
Cliquez sur l'onglet Mise en réseau.
Cliquez sur Conteneur, variables et secrets, connexions, sécurité pour développer la page des propriétés du job.
Cliquez sur l'onglet Connexions.
Dans le champ Se connecter à un VPC pour le trafic sortant, cliquez sur Envoyer le trafic directement vers un VPC.
Sélectionnez Réseaux partagés avec moi.
Dans le champ Réseau, sélectionnez le réseau VPC partagé vers lequel vous souhaitez envoyer du trafic.
Dans le champ Sous-réseau, sélectionnez le sous-réseau à partir duquel votre job reçoit des adresses IP. Vous pouvez déployer plusieurs jobs sur le même sous-réseau.
Facultatif: saisissez les noms des tags réseau que vous souhaitez associer à un job. Pour les jobs, les tags réseau sont spécifiés au niveau de l'exécution. Chaque exécution de job peut avoir des tags réseau différents, tels que
network-tag-2.Dans le champ Routage du trafic, sélectionnez l'une des options suivantes:
- Acheminez uniquement les requêtes adressées à des adresses IP privées vers le VPC pour envoyer uniquement le trafic vers des adresses internes via le réseau VPC partagé.
- Acheminez tout le trafic vers le VPC pour envoyer tout le trafic sortant via le réseau VPC partagé.
Cliquez sur Update (Mettre à jour).
Pour vérifier que votre job se trouve sur votre réseau VPC partagé, cliquez sur le job, puis sur l'onglet Configuration. Le réseau et le sous-réseau sont répertoriés dans la fiche VPC.
Vous pouvez maintenant exécuter votre job Cloud Run et envoyer des requêtes à partir du job vers n'importe quelle ressource du réseau VPC partagé, conformément à vos règles de pare-feu.
gcloud
Pour migrer un job Cloud Run d'un connecteur vers la sortie VPC directe à l'aide de la Google Cloud CLI, procédez comme suit :
Déconnectez votre job du réseau VPC partagé en exécutant la commande
gcloud run jobs updateavec l'option suivante :gcloud run jobs update JOB_NAME --region=REGION \ --clear-network
Remplacez les éléments suivants :
- JOB_NAME : nom de votre job Cloud Run.
- REGION : région de votre job Cloud Run.
Mettez à jour votre job sur le sous-réseau partagé en spécifiant les noms complets des ressources du sous-réseau et du réseau VPC partagé à l'aide de la commande suivante :
gcloud beta run jobs create JOB_NAME \ --clear-network \ --image IMAGE_URL \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Remplacez les éléments suivants :
- JOB_NAME : nom de votre job Cloud Run.
- IMAGE_URL: URL de l'image du job.
- HOST_PROJECT_ID: ID de votre projet VPC partagé.
- VPC_NETWORK: nom de votre réseau VPC partagé.
- REGION : région de votre job Cloud Run, qui doit correspondre à la région du sous-réseau.
- SUBNET_NAME : nom de votre sous-réseau
- Facultatif: NETWORK_TAG_NAMES par les noms des tags réseau séparés par une virgule que vous souhaitez associer à un job. Chaque exécution de job peut avoir des tags réseau différents, tels que
network-tag-2. - EGRESS_SETTING par une valeur de paramètre de sortie :
all-traffic: achemine tout le trafic sortant via le réseau VPC partagé.private-ranges-only: achemine uniquement le trafic destiné à des adresses internes via le réseau VPC partagé.
Pour plus d'informations et d'arguments facultatifs, consultez la documentation de référence sur
gcloud.Pour vérifier que votre job se trouve sur votre réseau VPC partagé, exécutez la commande suivante :
gcloud beta run jobs describe JOB_NAME \ --region=REGION
Remplacez :
JOB_NAMEpar le nom de votre tâche.REGIONpar la région de votre job que vous avez spécifié à l'étape précédente.
La sortie doit contenir le nom du réseau, du sous-réseau et du trafic sortant, par exemple :
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Vous pouvez désormais envoyer des requêtes à partir de votre job Cloud Run vers n'importe quelle ressource du réseau VPC partagé, conformément à vos règles de pare-feu.