Esta página destina-se a especialistas em redes que querem migrar o tráfego de rede da VPC partilhada da utilização de conetores do Acesso a VPC sem servidor para a utilização da saída da VPC direta quando enviam tráfego para uma rede da VPC partilhada.
A saída da VPC direta é mais rápida e pode processar mais tráfego do que os conetores, oferecendo uma latência mais baixa e um débito mais elevado, porque usa um novo caminho de rede direto em vez de instâncias de conetores.
Antes da migração, recomendamos que se familiarize com os pré-requisitos, limitações, atribuição de endereços IP> e autorizações de IAM da saída da VPC direta.
Migre serviços para a saída da VPC direta
Migre os serviços para a saída da VPC direta gradualmente
Quando migrar os serviços do Cloud Run de conetores do Acesso a VPC sem servidor para a saída da VPC direta, recomendamos que o faça numa transição gradual.
Para fazer a transição gradualmente:
- Siga as instruções neste guia para atualizar o seu serviço ou tarefa de forma a usar a saída da VPC direta.
- Divida uma pequena percentagem do tráfego para testar se o tráfego funciona corretamente.
- Atualize a divisão de tráfego para enviar todo o tráfego para a nova revisão através da saída da VPC direta.
Para migrar o tráfego com a saída da VPC direta para um serviço, use a Google Cloud consola ou a CLI do Google Cloud:
Consola
Na Google Cloud consola, aceda à página Cloud Run.
Clique no serviço que quer migrar de um conector para a saída do VPC direto e, de seguida, clique em Editar e implementar nova revisão.
Clique no separador Rede.
Em Ligue-se a uma VPC para tráfego de saída, clique em Enviar tráfego diretamente para uma VPC.
Selecione Redes partilhadas comigo.
No campo Rede, selecione a rede de VPC partilhada para a qual quer enviar tráfego.
No campo Sub-rede, selecione a sub-rede a partir da qual o seu serviço recebe endereços IP. Pode implementar vários serviços na mesma sub-rede.
Opcional: introduza os nomes das etiquetas de rede que quer associar ao seu serviço ou serviços. As etiquetas de rede são especificadas ao nível da revisão. Cada revisão do serviço pode ter etiquetas de rede diferentes, como
network-tag-2.Para Encaminhamento de tráfego, selecione uma das seguintes opções:
- Encaminhe apenas pedidos para IPs privados para a VPC para enviar apenas tráfego para endereços internos através da rede da VPC partilhada.
- Encaminhe todo o tráfego para a VPC para enviar todo o tráfego de saída através da rede VPC partilhada.
Clique em Implementar.
Para verificar se o seu serviço está na rede VPC partilhada, clique no serviço e, de seguida, clique no separador Rede. A rede e a sub-rede estão listadas no cartão VPC.
Agora, pode enviar pedidos diretamente do seu serviço do Cloud Run para qualquer recurso na rede de VPC partilhada, conforme permitido pelas suas regras de firewall.
gcloud
Para migrar um serviço do Cloud Run de um conetor para a saída da VPC direta através da CLI do Google Cloud:
Atualize o seu serviço na sub-rede partilhada especificando os nomes dos recursos totalmente qualificados para a rede e a sub-rede da VPC partilhada através do seguinte comando:
gcloud beta run services update SERVICE_NAME \ --clear-network \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Substitua o seguinte:
- SERVICE_NAME: o nome do seu serviço do Cloud Run.
- IMAGE_URL: o URL da imagem do serviço.
- HOST_PROJECT_ID: o ID do seu projeto de VPC partilhada.
- VPC_NETWORK: o nome da sua rede VPC partilhada.
- REGION: a região do seu serviço do Cloud Run, que tem de corresponder à região da sua sub-rede.
- SUBNET_NAME: o nome da sua sub-rede.
- Opcional: NETWORK_TAG_NAMES com os nomes separados por vírgulas das etiquetas de rede que quer associar a um serviço. Para serviços, as etiquetas de rede são especificadas ao nível da revisão. Cada revisão do serviço pode ter etiquetas de rede diferentes, como
network-tag-2. - EGRESS_SETTING com um
valor de definição de saída:
all-traffic: envia todo o tráfego de saída através da rede VPC partilhada.private-ranges-only: envia apenas tráfego para endereços internos através da rede VPC partilhada.
- MAX: o número máximo de instâncias a usar para a rede VPC partilhada. O número máximo de instâncias permitidas para serviços é 100.
Para ver mais detalhes e argumentos opcionais, consulte a referência
gcloud.Para verificar se o seu serviço está na rede VPC partilhada, execute o seguinte comando:
gcloud beta run services describe SERVICE_NAME \ --region=REGION
Substituir:
SERVICE_NAMEcom o nome do seu serviço.REGIONcom a região do seu serviço que especificou no passo anterior.
O resultado deve conter o nome da sua rede, sub-rede e definição de saída, por exemplo:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Já pode enviar pedidos do seu serviço do Cloud Run para qualquer recurso na rede de VPC partilhada, conforme permitido pelas regras da firewall.
Migre trabalhos para a saída da VPC direta
Pode migrar o tráfego com a saída da VPC direta para uma tarefa através da Google Cloud consola ou da CLI do Google Cloud.
Consola
Na Google Cloud consola, aceda à página Cloud Run.
Clique na tarefa que quer migrar de um conetor para a saída do VPC direto e, de seguida, clique em Editar.
Clique no separador Rede.
Clique em Recipiente, variáveis e segredos, ligações, segurança para expandir a página de propriedades da tarefa.
Clique no separador Ligações.
Em Ligue-se a uma VPC para tráfego de saída, clique em Enviar tráfego diretamente para uma VPC.
Selecione Redes partilhadas comigo.
No campo Rede, selecione a rede de VPC partilhada para a qual quer enviar tráfego.
No campo Sub-rede, selecione a sub-rede a partir da qual a tarefa recebe endereços IP. Pode implementar várias tarefas na mesma sub-rede.
Opcional: introduza os nomes das etiquetas de rede que quer associar a uma tarefa. Para trabalhos, as etiquetas de rede são especificadas ao nível da execução. Cada execução de tarefa pode ter etiquetas de rede diferentes, como
network-tag-2.Para Encaminhamento de tráfego, selecione uma das seguintes opções:
- Encaminhe apenas pedidos para IPs privados para a VPC para enviar apenas tráfego para endereços internos através da rede da VPC partilhada.
- Encaminhe todo o tráfego para a VPC para enviar todo o tráfego de saída através da rede VPC partilhada.
Clique em Atualizar.
Para verificar se a tarefa está na sua rede de VPC partilhada, clique na tarefa e, de seguida, no separador Configuração. A rede e a sub-rede estão indicadas no cartão VPC.
Já pode executar a sua tarefa do Cloud Run e enviar pedidos da tarefa para qualquer recurso na rede da VPC partilhada, conforme permitido pelas suas regras de firewall.
gcloud
Para migrar uma tarefa do Cloud Run de um conetor para a saída do VPC direto através da CLI do Google Cloud:
Desligue a tarefa da rede VPC partilhada executando o comando
gcloud run jobs updatecom a seguinte flag:gcloud run jobs update JOB_NAME --region=REGION \ --clear-network
Substitua o seguinte:
- JOB_NAME: o nome da tarefa do Cloud Run.
- REGION: a região da sua tarefa do Cloud Run.
Atualize a tarefa na sub-rede partilhada especificando os nomes dos recursos totalmente qualificados para a rede VPC partilhada e a sub-rede através do seguinte comando:
gcloud beta run jobs create JOB_NAME \ --clear-network \ --image IMAGE_URL \ --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \ --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \ --network-tags NETWORK_TAG_NAMES \ --vpc-egress=EGRESS_SETTING \ --region REGION \ --max-instances MAX
Substitua o seguinte:
- JOB_NAME: o nome da tarefa do Cloud Run.
- IMAGE_URL: o URL da imagem da oferta de emprego.
- HOST_PROJECT_ID: o ID do seu projeto de VPC partilhada.
- VPC_NETWORK: o nome da sua rede VPC partilhada.
- REGION: a região da sua tarefa do Cloud Run, que tem de corresponder à região da sua sub-rede.
- SUBNET_NAME: o nome da sua sub-rede.
- Opcional: NETWORK_TAG_NAMES com os nomes separados por vírgulas das etiquetas de rede que quer associar a uma tarefa. Cada execução de tarefa pode ter etiquetas de rede diferentes, como
network-tag-2. - EGRESS_SETTING com um
valor de definição de saída:
all-traffic: envia todo o tráfego de saída através da rede VPC partilhada.private-ranges-only: envia apenas tráfego para endereços internos através da rede VPC partilhada.
Para ver mais detalhes e argumentos opcionais, consulte a referência
gcloud.Para verificar se a tarefa está na sua rede VPC partilhada, execute o seguinte comando:
gcloud beta run jobs describe JOB_NAME \ --region=REGION
Substituir:
JOB_NAMEcom o nome do seu trabalho.REGIONcom a região do seu trabalho que especificou no passo anterior.
O resultado deve conter o nome da sua rede, sub-rede e definição de saída, por exemplo:
VPC access: Network: default Subnet: subnet Egress: private-ranges-only
Já pode enviar pedidos da sua tarefa do Cloud Run para qualquer recurso na rede de VPC partilhada, conforme permitido pelas regras da firewall.