Esegui la migrazione del connettore VPC condiviso all'uscita VPC diretta

Questa pagina è rivolta agli esperti di reti che vogliono eseguire la migrazione del traffico di rete VPC condiviso dall'utilizzo di connettori di accesso VPC serverless all'utilizzo del traffico VPC diretto in uscita quando inviano traffico a una rete VPC condivisa.

Il traffico in uscita VPC diretto è più veloce e può gestire più traffico rispetto ai connettori, offrendo una latenza inferiore e una maggiore velocità effettiva perché utilizza un nuovo percorso di rete diretto invece di istanze di connettore.

Prima della migrazione, ti consigliamo di acquisire familiarità con i prerequisiti, le limitazioni, l'allocazione degli indirizzi IP e le autorizzazioni IAM per l'egress VPC diretto.

Esegui la migrazione dei servizi all'uscita VPC diretto

Esegui la migrazione dei servizi all'egress VPC diretto gradualmente

Quando esegui la migrazione dei servizi Cloud Run dai connettori di accesso VPC serverless al traffico VPC diretto in uscita, ti consigliamo di farlo in una transizione graduale.

Per eseguire la transizione gradualmente:

  1. Segui le istruzioni riportate in questa guida per aggiornare il servizio o il job in modo da utilizzare l'egress VPC diretto.
  2. Suddividi una piccola percentuale di traffico per verificare che funzioni correttamente.
  3. Aggiorna la suddivisione del traffico per inviare tutto il traffico alla nuova revisione utilizzando l'uscita diretta del VPC.

Per eseguire la migrazione del traffico con l'egress VPC diretto per un servizio, utilizza la console Google Cloud o Google Cloud CLI:

Console

  1. Nella Google Cloud console, vai alla pagina Cloud Run.

    Vai a Cloud Run

  2. Fai clic sul servizio di cui vuoi eseguire la migrazione da un connettore all'egress VPC diretto e poi su Modifica ed esegui il deployment di una nuova revisione.

  3. Fai clic sulla scheda Networking.

  4. In Connettiti a un VPC per il traffico in uscita, fai clic su Invia il traffico direttamente a un VPC.

  5. Seleziona Reti condivise con me.

  6. Nel campo Rete, seleziona la rete VPC condiviso a cui vuoi inviare il traffico.

  7. Nel campo Subnet, seleziona la subnet da cui il servizio riceve gli indirizzi IP. Puoi eseguire il deployment di più servizi nella stessa subnet.

  8. (Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare al tuo servizio o ai tuoi servizi. I tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere diversi tag di rete, ad esempio network-tag-2.

  9. Per Routing del traffico, seleziona una delle seguenti opzioni:

    • Instrada al VPC solo richieste a IP privati per inviare solo trafico agli indirizzi interni tramite la rete VPC condiviso.
    • Instrada tutto il traffico al VPC per inviare tutto il traffico in uscita tramite la rete VPC condivisa.

  10. Fai clic su Esegui il deployment.

  11. Per verificare che il servizio si trovi nella rete VPC condivisa, fai clic sul servizio, quindi sulla scheda Networking. La rete e la subnet sono elencate nella scheda VPC.

    Ora puoi inviare richieste direttamente dal tuo servizio Cloud Run a qualsiasi risorsa sulla rete VPC condiviso, come consentito dalle regole del firewall.

gcloud

Per eseguire la migrazione di un servizio Cloud Run da un connettore al VPC diretto per il traffico in uscita utilizzando Google Cloud CLI:

  1. Aggiorna il servizio nella subnet condivisa specificando i nomi delle risorse completi per la rete e la subnet VPC condivisa utilizzando il seguente comando:

    gcloud beta run services update SERVICE_NAME \
  --clear-network \
  --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \
  --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \
  --network-tags NETWORK_TAG_NAMES \
  --vpc-egress=EGRESS_SETTING \
  --region REGION \
  --max-instances MAX

    Sostituisci quanto segue:

    • SERVICE_NAME: il nome del servizio Cloud Run.
    • IMAGE_URL: l'URL immagine del servizio.
    • HOST_PROJECT_ID: l'ID del progetto VPC condiviso.
    • VPC_NETWORK: il nome della rete VPC condiviso.
    • REGION: la regione del servizio Cloud Run, che deve corrispondere alla regione della sottorete.
    • SUBNET_NAME: il nome della subnet.
    • (Facoltativo) NETWORK_TAG_NAMES con i nomi separati da virgole dei tag di rete che vuoi associare a un servizio. Per i servizi, i tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere tag di rete diversi, ad esempio network-tag-2.
    • EGRESS_SETTING con un valore dell'impostazione di uscita:
      • all-traffic: invia tutto il traffico in uscita tramite la rete VPC condiviso.
      • private-ranges-only: invia solo traffico agli indirizzi interni tramite la rete VPC condivisa.
    • MAX: il numero massimo di istanze da utilizzare per la rete VPC condiviso. Il numero massimo di istanze consentite per i servizi è 100.

    Per maggiori dettagli e argomenti facoltativi, consulta le informazioni di riferimento su gcloud.

  2. Per verificare che il servizio si trovi nella rete VPC condiviso, esegui il seguente comando:

    gcloud beta run services describe SERVICE_NAME \
--region=REGION

    Sostituisci:

    • SERVICE_NAME con il nome del servizio.
    • REGION con la regione per il servizio specificata nel passaggio precedente.

    L'output deve contenere il nome della rete, della sottorete e dell'impostazione di uscita, ad esempio:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Ora puoi inviare richieste dal tuo servizio Cloud Run a qualsiasi risorsa sulla rete VPC condiviso, come consentito dalle regole del firewall.

Eseguire la migrazione dei job all'uscita VPC diretta

Puoi eseguire la migrazione del traffico con uscita VPC diretta per un job utilizzando la console Google Cloud o Google Cloud CLI.

Console

  1. Nella Google Cloud console, vai alla pagina Cloud Run.

    Vai a Cloud Run

  2. Fai clic sul job di cui vuoi eseguire la migrazione da un connettore all'egress VPC diretto e poi su Modifica.

  3. Fai clic sulla scheda Networking.

  4. Fai clic su Contenitore, variabili e secret, connessioni, sicurezza per espandere la pagina delle proprietà del job.

  5. Fai clic sulla scheda Connessioni.

  6. In Connettiti a un VPC per il traffico in uscita, fai clic su Invia il traffico direttamente a un VPC.

  7. Seleziona Reti condivise con me.

  8. Nel campo Rete, seleziona la rete VPC condiviso a cui vuoi inviare il traffico.

  9. Nel campo Subnet, seleziona la subnet da cui il job riceve gli indirizzi IP. Puoi eseguire il deployment di più job nella stessa subnet.

  10. (Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare a un job. Per i job, i tag di rete vengono specificati a livello di esecuzione. Ogni esecuzione del job può avere tag di rete diversi, ad esempio network-tag-2.

  11. Per Routing del traffico, seleziona una delle seguenti opzioni:

    • Instrada al VPC solo richieste a IP privati per inviare solo trafico agli indirizzi interni tramite la rete VPC condiviso.
    • Instrada tutto il traffico al VPC per inviare tutto il traffico in uscita tramite la rete VPC condivisa.

  12. Fai clic su Aggiorna.

  13. Per verificare che il job si trovi nella rete VPC condiviso, fai clic sul job e poi sulla scheda Configurazione. La rete e la subnet sono elencate nella scheda VPC.

Ora puoi eseguire il tuo job Cloud Run e inviare richieste dal job a qualsiasi risorsa sulla rete VPC condiviso, come consentito dalle regole del firewall.

gcloud

Per eseguire la migrazione di un job Cloud Run da un connettore all'egress VPC diretto utilizzando l'interfaccia a Google Cloud CLI:

  1. Scollega il job dalla rete VPC condivisa eseguendo il comando gcloud run jobs update con il seguente flag:

    gcloud run jobs update JOB_NAME --region=REGION \
--clear-network

    Sostituisci quanto segue:

    • JOB_NAME: il nome del job Cloud Run.
    • REGION: la regione per il tuo job Cloud Run.

  2. Aggiorna il job nella subnet condivisa specificando i nomi delle risorse completi per la rete e la subnet VPC condiviso utilizzando il seguente comando:

    gcloud beta run jobs create JOB_NAME \
  --clear-network \
  --image IMAGE_URL \
  --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \
  --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \
  --network-tags NETWORK_TAG_NAMES \
  --vpc-egress=EGRESS_SETTING \
  --region REGION \
  --max-instances MAX

    Sostituisci quanto segue:

    • JOB_NAME: il nome del job Cloud Run.
    • IMAGE_URL: l'URL immagine del job.
    • HOST_PROJECT_ID: l'ID del progetto VPC condiviso.
    • VPC_NETWORK: il nome della rete VPC condiviso.
    • REGION: la regione per il tuo job Cloud Run, che deve corrispondere alla regione della tua subnet.
    • SUBNET_NAME: il nome della subnet.
    • (Facoltativo) NETWORK_TAG_NAMES con i nomi separati da virgole dei tag di rete che vuoi associare a un job. Ogni esecuzione del job può avere diversi tag di rete, ad esempio network-tag-2.
    • EGRESS_SETTING con un valore dell'impostazione di uscita:
      • all-traffic: invia tutto il traffico in uscita tramite la rete VPC condiviso.
      • private-ranges-only: invia solo traffico agli indirizzi interni tramite la rete VPC condivisa.

    Per maggiori dettagli e argomenti facoltativi, consulta le informazioni di riferimento su gcloud.

  3. Per verificare che il job si trovi nella rete VPC condiviso, esegui il seguente comando:

    gcloud beta run jobs describe JOB_NAME \
--region=REGION

    Sostituisci:

    • JOB_NAME con il nome del job.
    • REGION con la regione per il tuo job specificata nel passaggio precedente.

    L'output deve contenere il nome della rete, della sottorete e dell'impostazione di uscita, ad esempio:

    VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only

Ora puoi inviare richieste dal tuo job Cloud Run a qualsiasi risorsa sulla rete VPC condivisa, come consentito dalle regole del firewall.