Esta página descreve as práticas recomendadas para configurar opções de rede para recursos do Cloud Run. Antes de criar seus recursos, recomendamos que você analise todas as seções desta página para entender as opções de rede com suporte do Cloud Run e as implicações delas.
Práticas recomendadas:
Monitorar o uso do endereço IP.Use endereços IP não RFC 1918.
Use sub-redes IPv4 e IPv6 (pilha dupla).
Use o pool de conexões e reutilize conexões.
Taxa de transferência externa mais rápida para a Internet.
Taxa de transferência interna mais rápida para uma API do Google.
Monitorar o uso do endereço IP
Se você estiver usando a saída direta da VPC, verifique se você tem endereços IP suficientes para a sub-rede. O número de endereços IP que você usa depende do número de instâncias que os workloads executam. Por isso, recomendamos monitorar o uso de endereços IP. Confira se o uso do IP ao longo do tempo permanece dentro dos limites aceitos pela subrede.
Para estimar o uso do seu endereço IP:
No console do Google Cloud, acesse a página do Metrics Explorer do Cloud Monitoring:
Procure o número de instâncias no seu projeto usando o tipo de métrica
run.googleapis.com/container/instance_count. O Cloud Monitoring permite conferir o valor dessa métrica ao longo do tempo.Multiplique o valor da métrica de contagem de instâncias por 4 para ter uma estimativa do número de endereços IP em uso.
Estratégias de esgotamento de endereços IP
Ter um grande número de workloads do Cloud Run pode causar problemas de esgotamento de IP ao usar o espaço de endereço IP particular RFC 1918 com a saída direta da VPC. As estratégias a seguir podem ajudar a gerenciar o esgotamento de endereços IP usando intervalos de endereços IP alternativos.
Usar endereços IPv4 não RFC 1918
Além dos intervalos de endereços IPv4 RFC 1918, o Cloud Run também aceita os intervalos RFC 6598 e Classe E/RFC 5735. Todos os serviços e recursosGoogle Cloud funcionam com esses intervalos que não são RFC 1918, incluindo redes VPC, balanceamento de carga do Cloud e Private Service Connect.
Para a melhor compatibilidade, recomendamos começar com o intervalo RFC 6598 (100.64.0.0/10). Se você já estiver usando esse intervalo em outro lugar, use a classe E/RFC 5735 (240.0.0.0/4). A classe E é um espaço enorme com mais de 268 milhões de endereços IP disponíveis, então ela vai apoiar seu crescimento por muito tempo. No entanto, a Classe E tem algumas limitações. Por exemplo, ele não é compatível com o Windows e com alguns hardwares locais. Leia sobre como usar o espaço de endereço IPv4 de classe E para reduzir problemas de esgotamento de IPv4 no GKE.
Usar sub-redes IPv4 e IPv6 (pilha dupla)
Embora não reduza o esgotamento do IPv4, migrar seus apps para o IPv6 é uma boa primeira etapa. Configure recursos de pilha dupla para evitar problemas de esgotamento do IPv4 no futuro.
Estratégias de redução do esgotamento de portas
A seção a seguir descreve estratégias para reduzir o esgotamento de portas com o Cloud Run.
Usar o pool de conexões e reutilizar conexões
Ao enviar um grande número de solicitações para um único endereço IP de destino, use o agrupamento de conexões para manter e reutilizar as conexões com o destino. Taxas de conexão altas para um único endereço IP podem esgotar as portas de saída e causar erros de recusa de conexão.
Estratégias de desempenho e capacidade
Esta seção aborda opções escalonáveis para melhorar o desempenho da rede e a capacidade de rede para a Internet e os Serviços do Google.
Usar a saída direta de VPC para aumentar a capacidade de processamento da saída de rede
Para ter uma capacidade de processamento mais rápida nas conexões de saída de rede, use a saída direta de VPC a fim de rotear o tráfego pela rede VPC.
Exemplo 1: tráfego externo para a Internet
Ao enviar tráfego externo para a Internet pública, defina --vpc-egress=all-traffic
a fim de rotear todo o tráfego pela
rede VPC. Com essa
abordagem, você precisa configurar o Cloud NAT para acessar a Internet pública. Observe que
o Cloud NAT é um produto pago.
Exemplo 2: tráfego interno para uma API do Google
Ao usar a saída direta de VPC para enviar tráfego a uma API do Google, como a API Cloud Storage, escolha uma das seguintes opções:
- Especifique
private-ranges-only(padrão) com Acesso privado do Google:- Defina a flag
--vpc-egress=private-ranges-only. - Ative o Acesso privado do Google.
- Configure o DNS para o Acesso privado do Google.
Verifique se o domínio de destino, como
storage.googleapis.com, está mapeado para um dos seguintes intervalos de endereços IP internos:199.36.153.8/30199.36.153.4/30
- Defina a flag
- Especifique
all-trafficcom o Acesso privado do Google:- Defina a flag
--vpc-egress=all-traffic. - Ative o Acesso privado do Google.
- Defina a flag
A seguir
- Compare a saída direta de VPC e os conectores de VPC.
- Use tags para teste, migração de tráfego e reversões.