Memigrasikan konektor VPC Bersama ke traffic keluar VPC Langsung

Halaman ini ditujukan untuk spesialis jaringan yang ingin memigrasikan traffic jaringan VPC Bersama dari menggunakan konektor Akses VPC Serverless ke Traffic keluar VPC Langsung saat mengirim traffic ke jaringan VPC Bersama.

Traffic keluar VPC langsung lebih cepat dan dapat menangani lebih banyak traffic daripada konektor, yang memberikan latensi lebih rendah dan throughput yang lebih tinggi karena menggunakan jalur jaringan langsung yang baru, bukan instance konektor.

Sebelum migrasi, sebaiknya Anda memahami prasyarat, batasan, alokasi alamat IP, dan izin IAM Langsung.

Memigrasikan layanan ke traffic keluar VPC Langsung

Memigrasikan layanan ke traffic keluar VPC Langsung secara bertahap

Saat memigrasikan layanan Cloud Run dari konektor Akses VPC Serverless ke traffic keluar VPC Langsung, sebaiknya lakukan transisi secara bertahap.

Untuk melakukan transisi secara bertahap:

  1. Ikuti petunjuk dalam panduan ini untuk memperbarui layanan atau tugas Anda agar dapat menggunakan traffic keluar VPC Langsung.
  2. Bagi sebagian kecil traffic untuk menguji apakah traffic berfungsi dengan benar.
  3. Perbarui pemisahan traffic untuk mengirim semua traffic ke revisi baru menggunakan traffic keluar VPC Langsung.

Untuk memigrasikan traffic dengan traffic keluar VPC Langsung untuk suatu layanan, gunakan Konsol Google Cloud atau Google Cloud CLI:

Konsol

  1. Pada konsol Google Cloud, buka halaman Cloud Run.

    Buka Cloud Run

  2. Klik layanan yang ingin Anda migrasikan dari konektor ke traffic keluar VPC Langsung, lalu klik Edit and deploy new revision.

  3. Klik tab Networking.

  4. Dari Connect to a VPC for outbound traffic, klik Send traffic directly to a VPC.

  5. Pilih Jaringan yang dibagikan kepada saya.

  6. Di kolom Jaringan, pilih jaringan VPC Bersama yang ingin Anda kirimi traffic.

  7. Di kolom Subnet, pilih subnet tempat alamat IP diterima oleh layanan Anda. Anda dapat men-deploy beberapa layanan di subnet yang sama.

  8. Opsional: Masukkan nama tag jaringan yang ingin dikaitkan dengan layanan Anda atau layanan lainnya. Tag jaringan ditentukan pada tingkat revisi. Setiap revisi layanan dapat memiliki tag jaringan yang berbeda, seperti network-tag-2.

  9. Untuk Pemilihan rute traffic, pilih salah satu opsi berikut ini:

    • Hanya arahkan permintaan pada IP pribadi ke VPC untuk hanya mengirim traffic ke alamat internal melalui jaringan VPC Bersama.
    • Mengarahkan semua traffic ke VPC untuk mengirim semua traffic keluar melalui jaringan VPC Bersama.

  10. Klik Deploy.

  11. Untuk memverifikasi bahwa layanan Anda berada di jaringan VPC Bersama, klik layanan, lalu klik tab Networking. Jaringan dan subnet tercantum dalam kartu VPC.

    Kini Anda dapat mengirim permintaan langsung dari layanan Cloud Run ke resource apa pun di jaringan VPC Bersama, sebagaimana diizinkan oleh aturan firewall Anda.

gcloud

Untuk memigrasikan layanan Cloud Run dari konektor ke traffic VPC Langsung menggunakan Google Cloud CLI:

  1. Update layanan Anda di subnet bersama dengan menentukan nama resource yang sepenuhnya memenuhi syarat untuk subnet dan jaringan VPC Bersama menggunakan perintah berikut:

    gcloud beta run services update SERVICE_NAME \
  --clear-network \
  --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \
  --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \
  --network-tags NETWORK_TAG_NAMES \
  --vpc-egress=EGRESS_SETTING \
  --region REGION \
  --max-instances MAX

    Ganti kode berikut:

    • SERVICE_NAME: nama layanan Cloud Run Anda.
    • IMAGE_URL: URL image layanan.
    • HOST_PROJECT_ID: ID project VPC Bersama Anda.
    • VPC_NETWORK: nama jaringan VPC Bersama Anda.
    • REGION: region untuk layanan Cloud Run, yang harus sesuai dengan region subnet Anda.
    • SUBNET_NAME: nama subnet Anda.
    • Opsional: NETWORK_TAG_NAMES dengan nama tag jaringan yang dipisahkan koma yang ingin Anda kaitkan dengan layanan. Untuk layanan, tag jaringan ditentukan pada tingkat revisi. Setiap revisi layanan memiliki tag jaringan yang berbeda, sepertinetwork-tag-2.
    • EGRESS_SETTING dengan nilai setelan traffic keluar:
      • all-traffic: Mengirim semua traffic keluar melalui jaringan VPC Bersama.
      • private-ranges-only: Hanya mengirim traffic ke alamat internal melalui jaringan VPC Bersama.
    • MAX: jumlah instance maksimum yang akan digunakan untuk jaringan VPC Bersama. Jumlah instance maksimum yang diizinkan untuk layanan adalah 100.

    Untuk mengetahui detail dan argumen opsional, lihat referensi gcloud.

  2. Untuk memverifikasi bahwa layanan Anda berada di jaringan VPC Bersama, jalankan perintah berikut:

    gcloud beta run services describe SERVICE_NAME \
--region=REGION

    Ganti:

    • SERVICE_NAME dengan nama layanan Anda.
    • REGION dengan region untuk layanan yang Anda tentukan di langkah sebelumnya.

    Output harus berisi nama jaringan, subnet, dan setelan egress, misalnya:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Kini Anda dapat mengirim permintaan dari layanan Cloud Run Anda ke resource mana pun di jaringan VPC Bersama, seperti yang diizinkan oleh aturan firewall Anda.

Memigrasikan tugas ke traffic keluar VPC Langsung

Anda dapat memigrasikan traffic dengan traffic keluar VPC Langsung untuk sebuah tugas menggunakan Konsol Google Cloud atau Google Cloud CLI.

Konsol

  1. Pada konsol Google Cloud, buka halaman Cloud Run.

    Buka Cloud Run

  2. Klik tugas yang ingin Anda migrasikan dari konektor ke traffic keluar VPC Langsung, lalu klik Edit.

  3. Klik tab Networking.

  4. Klik Container, Variabel, & Rahasia, Koneksi, Keamanan untuk memperluas halaman properti tugas.

  5. Klik tab Koneksi.

  6. Dari Connect to a VPC for outbound traffic, klik Send traffic directly to a VPC.

  7. Pilih Jaringan yang dibagikan kepada saya.

  8. Di kolom Jaringan, pilih jaringan VPC Bersama yang ingin Anda kirimi traffic.

  9. Di kolom Subnet, pilih subnet tempat alamat IP diterima oleh tugas Anda. Anda dapat men-deploy beberapa tugas di subnet yang sama.

  10. Opsional: Masukkan nama tag jaringan yang ingin dikaitkan dengan tugas. Untuk tugas, tag jaringan ditentukan pada tingkat eksekusi. Setiap eksekusi tugas dapat memiliki tag jaringan yang berbeda, seperti network-tag-2.

  11. Untuk Pemilihan rute traffic, pilih salah satu opsi berikut ini:

    • Hanya arahkan permintaan pada IP pribadi ke VPC untuk hanya mengirim traffic ke alamat internal melalui jaringan VPC Bersama.
    • Mengarahkan semua traffic ke VPC untuk mengirim semua traffic keluar melalui jaringan VPC Bersama.

  12. Klik Perbarui.

  13. Untuk memverifikasi bahwa tugas Anda berada di jaringan VPC Bersama, klik tugas tersebut, lalu klik tab Configuration. Jaringan dan subnet tercantum dalam kartuVPC.

Sekarang Anda dapat menjalankan tugas Cloud Run dan mengirim permintaan dari tugas ke resource manapun pada jaringan VPC Bersama, seperti yang diizinkan oleh aturan firewall Anda.

gcloud

Untuk memigrasikan tugas Cloud Run dari konektor ke traffic VPC Langsung menggunakan Google Cloud CLI:

  1. Putuskan hubungan tugas Anda dari jaringan VPC Bersama dengan menjalankan perintah gcloud run jobs update dengan tanda berikut:

    gcloud run jobs update JOB_NAME --region=REGION \
--clear-network

    Ganti kode berikut:

    • JOB_NAME: nama tugas Cloud Run Anda.
    • REGION: region untuk tugas Cloud Run Anda.

  2. Perbarui tugas Anda di subnet bersama dengan menentukan nama resource yang sepenuhnya memenuhi syarat untuk subnet dan jaringan VPC Bersama menggunakan perintah berikut:

    gcloud beta run jobs create JOB_NAME \
  --clear-network \
  --image IMAGE_URL \
  --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \
  --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \
  --network-tags NETWORK_TAG_NAMES \
  --vpc-egress=EGRESS_SETTING \
  --region REGION \
  --max-instances MAX

    Ganti kode berikut:

    • JOB_NAME: nama tugas Cloud Run Anda.
    • IMAGE_URL: URL image tugas
    • HOST_PROJECT_ID: ID project VPC Bersama Anda.
    • VPC_NETWORK: nama jaringan VPC Bersama Anda.
    • REGION: region untuk tugas Cloud Run Anda, yang harus sesuai dengan region subnet Anda.
    • SUBNET_NAME: nama subnet Anda.
    • Opsional: NETWORK_TAG_NAMES dengan nama tag jaringan yang dipisahkan koma yang ingin Anda kaitkan dengan tugas. Setiap eksekusi tugas memiliki tag jaringan yang berbeda, sepertinetwork-tag-2.
    • EGRESS_SETTING dengan nilai setelan traffic keluar:
      • all-traffic: Mengirim semua traffic keluar melalui jaringan VPC Bersama.
      • private-ranges-only: Hanya mengirim traffic ke alamat internal melalui jaringan VPC Bersama.

    Untuk mengetahui detail dan argumen opsional, lihat referensi gcloud.

  3. Untuk memverifikasi bahwa tugas Anda berada di jaringan VPC Bersama, jalankan perintah berikut:

    gcloud beta run jobs describe JOB_NAME \
--region=REGION

    Ganti:

    • JOB_NAME dengan nama tugas Anda.
    • REGION dengan region untuk tugas yang Anda tentukan di langkah sebelumnya.

    Output harus berisi nama jaringan, subnet, dan setelan egress, misalnya:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Kini Anda dapat mengirim permintaan dari tugas Cloud Run ke resource apa pun di Jaringan VPC Bersama, seperti yang diizinkan oleh aturan firewall Anda.