Questa pagina è dedicata agli esperti di networking che vogliono eseguire la migrazione del traffico di rete VPC condiviso dall'utilizzo dei connettori di accesso VPC serverless all'utilizzo del traffico VPC diretto durante l'invio del traffico a una rete VPC condivisa.
Il traffico in uscita da VPC diretto è più veloce ed è in grado di gestire più traffico rispetto ai connettori, offrendo una latenza inferiore e una velocità effettiva superiore, grazie all'utilizzo di un nuovo percorso di rete diretto anziché delle istanze del connettore.
Prima della migrazione, ti consigliamo di acquisire familiarità con i prerequisiti, le limitazioni, l'allocazione degli indirizzi IP e le autorizzazioni IAM per il traffico VPC diretto.
Esegui la migrazione dei servizi al traffico VPC diretto in uscita
Esegui la migrazione graduale dei servizi al traffico VPC diretto in uscita
Quando esegui la migrazione dei servizi Cloud Run dai connettori di accesso VPC serverless al traffico VPC diretto in uscita, ti consigliamo di farlo in una transizione graduale.
Per eseguire la transizione graduale:
- Segui le istruzioni in questa guida per aggiornare il servizio o il job in modo da utilizzare il traffico in uscita da VPC diretto.
- Suddividi una piccola percentuale di traffico per verificare che il traffico funzioni correttamente.
- Aggiorna la suddivisione del traffico per inviare tutto il traffico alla nuova revisione utilizzando il traffico in uscita da VPC diretto.
Per eseguire la migrazione del traffico con traffico in uscita da VPC diretto per un servizio, utilizza la console Google Cloud o Google Cloud CLI:
Console
Nella console Google Cloud, vai alla pagina Cloud Run.
Fai clic sul servizio di cui vuoi eseguire la migrazione da un connettore al traffico in uscita da VPC diretto, poi fai clic su Modifica ed esegui il deployment di nuova revisione.
Fai clic sulla scheda Networking.
In Connetti a un VPC per il traffico in uscita, fai clic su Invia il traffico direttamente a un VPC.
Seleziona Reti condivise con me.
Nel campo Rete, seleziona la rete VPC condiviso a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il servizio riceve gli indirizzi IP. Puoi eseguire il deployment di più servizi nella stessa subnet.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare al tuo servizio o ai tuoi servizi. I tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere tag di rete diversi, ad esempio
network-tag-2.Per Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo richieste a IP privati per inviare solo il traffico agli indirizzi interni attraverso la rete VPC condiviso.
- Instrada tutto il traffico al VPC per inviare tutto il traffico in uscita attraverso la rete VPC condiviso.
Fai clic su Esegui il deployment.
Per verificare che il servizio sia nella tua rete VPC condiviso, fai clic sul servizio, quindi sulla scheda Networking. La rete e la subnet sono elencate nella scheda VPC.
Ora puoi inviare richieste direttamente dal tuo servizio Cloud Run a qualsiasi risorsa della rete VPC condiviso, in base a quanto consentito dalle regole firewall.
gcloud
Per eseguire la migrazione di un servizio Cloud Run da un connettore al VPC diretto in uscita utilizzando Google Cloud CLI:
Aggiorna il servizio nella subnet condivisa specificando i nomi completi delle risorse per la rete VPC condiviso e la subnet utilizzando il seguente comando:
gcloud beta run services update SERVICE_NAME \ --clear-network \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Sostituisci quanto segue:
- SERVICE_NAME: il nome del servizio Cloud Run.
- IMAGE_URL: l'URL immagine del servizio.
- HOST_PROJECT_ID: l'ID del progetto del VPC condiviso.
- VPC_NETWORK: il nome della tua rete VPC condiviso.
- REGION: la regione del servizio Cloud Run, che deve corrispondere alla regione della subnet.
- SUBNET_NAME: il nome della subnet.
- Facoltativo: NETWORK_TAG_NAMES con i nomi separati da virgole dei tag di rete da associare a un servizio. Per i servizi, i tag di rete
vengono specificati a livello di revisione. Ogni revisione del servizio può avere tag
di rete diversi, ad esempio
network-tag-2. - EGRESS_SETTING con un
valore di impostazione per il traffico in uscita:
all-traffic: invia tutto il traffico in uscita attraverso la rete VPC condiviso.private-ranges-only: invia il traffico solo agli indirizzi interni attraverso la rete VPC condiviso.
- MAX: numero massimo di istanze da utilizzare per la rete VPC condiviso. Il numero massimo di istanze consentite per i servizi è 100.
Per ulteriori dettagli e argomenti facoltativi, consulta la documentazione di riferimento di
gcloud.Per verificare che il servizio si trovi nella tua rete VPC condiviso, esegui questo comando:
gcloud beta run services describe SERVICE_NAME \ --region=REGION
Sostituisci:
SERVICE_NAMEcon il nome del servizio.REGIONcon la regione del servizio specificata nel passaggio precedente.
L'output deve contenere il nome della rete, della subnet e dell'impostazione del traffico in uscita, ad esempio:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ora puoi inviare richieste dal tuo servizio Cloud Run a qualsiasi risorsa della rete VPC condiviso, in base a quanto consentito dalle regole firewall.
Esegui la migrazione dei job al traffico in uscita da VPC diretto
Puoi eseguire la migrazione del traffico con VPC diretto in uscita per un job utilizzando la console Google Cloud o Google Cloud CLI.
Console
Nella console Google Cloud, vai alla pagina Cloud Run.
Fai clic sul job di cui vuoi eseguire la migrazione da un connettore al traffico in uscita da VPC diretto, poi fai clic su Modifica.
Fai clic sulla scheda Networking.
Fai clic su Container, variabili e secret, connessioni, sicurezza per espandere la pagina delle proprietà del job.
Fai clic sulla scheda Connessioni.
In Connetti a un VPC per il traffico in uscita, fai clic su Invia il traffico direttamente a un VPC.
Seleziona Reti condivise con me.
Nel campo Rete, seleziona la rete VPC condiviso a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il job riceve gli indirizzi IP. Puoi eseguire il deployment di più job nella stessa subnet.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare a un job. Per i job, i tag di rete vengono specificati a livello di esecuzione. Ogni esecuzione del job può avere tag di rete diversi, ad esempio
network-tag-2.Per Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo richieste a IP privati per inviare solo il traffico agli indirizzi interni attraverso la rete VPC condiviso.
- Instrada tutto il traffico al VPC per inviare tutto il traffico in uscita attraverso la rete VPC condiviso.
Fai clic su Update (Aggiorna).
Per verificare che il job si trovi nella tua rete VPC condiviso, fai clic sul job, quindi sulla scheda Configurazione. La rete e la subnet sono elencate nella scheda VPC.
Ora puoi eseguire il job Cloud Run e inviare richieste dal job a qualsiasi risorsa della rete VPC condiviso, in base a quanto consentito dalle regole firewall.
gcloud
Per eseguire la migrazione di un job Cloud Run da un connettore al VPC diretto in uscita utilizzando Google Cloud CLI:
Scollega il tuo job dalla rete VPC condiviso eseguendo il comando
gcloud run jobs updatecon il seguente flag:gcloud run jobs update JOB_NAME --region=REGION \ --clear-network
Sostituisci quanto segue:
- JOB_NAME: il nome del job Cloud Run.
- REGION: la regione per il tuo job Cloud Run.
Aggiorna il job nella subnet condivisa specificando i nomi completi delle risorse per la rete VPC condiviso e la subnet utilizzando il seguente comando:
gcloud beta run jobs create JOB_NAME \ --clear-network \ --image IMAGE_URL \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Sostituisci quanto segue:
- JOB_NAME: il nome del job Cloud Run.
- IMAGE_URL: l'URL immagine del job.
- HOST_PROJECT_ID: l'ID del progetto del VPC condiviso.
- VPC_NETWORK: il nome della tua rete VPC condiviso.
- REGION: la regione del job Cloud Run, che deve corrispondere alla regione della subnet.
- SUBNET_NAME: il nome della subnet.
- Facoltativo: NETWORK_TAG_NAMES con i nomi separati da virgole dei tag di rete da associare a un job. Ogni esecuzione del job può avere
tag di rete diversi, ad esempio
network-tag-2. - EGRESS_SETTING con un
valore di impostazione per il traffico in uscita:
all-traffic: invia tutto il traffico in uscita attraverso la rete VPC condiviso.private-ranges-only: invia il traffico solo agli indirizzi interni attraverso la rete VPC condiviso.
Per ulteriori dettagli e argomenti facoltativi, consulta la documentazione di riferimento di
gcloud.Per verificare che il job si trovi nella tua rete VPC condiviso, esegui questo comando:
gcloud beta run jobs describe JOB_NAME \ --region=REGION
Sostituisci:
JOB_NAMEcon il nome del job.REGIONcon la regione del job specificata nel passaggio precedente.
L'output deve contenere il nome della rete, della subnet e dell'impostazione del traffico in uscita, ad esempio:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Ora puoi inviare richieste dal tuo job Cloud Run a qualsiasi risorsa della rete VPC condiviso, in base a quanto consentito dalle regole firewall.