Auf dieser Seite werden die Best Practices für die Konfiguration von Netzwerkoptionen für Cloud Run-Ressourcen erläutert. Bevor Sie Ihre Ressourcen erstellen, empfehlen wir Ihnen, alle Abschnitte auf dieser Seite zu lesen, um die von Cloud Run unterstützten Netzwerkoptionen und ihre Auswirkungen zu verstehen.
Best Practices:
IP-Adressnutzung beobachtenIP-Adressen außerhalb von RFC 1918 verwenden
IPv4- und IPv6-Subnetze (Dual-Stack) verwenden
Verbindungs-Pooling verwenden und Verbindungen wiederverwenden
Höherer externer Durchsatz zum Internet
Höherer interner Durchsatz für eine Google API.
IP-Adressnutzung überwachen
Wenn Sie den direkten VPC-Traffic (Vorabversion) verwenden, achten Sie darauf, dass Sie genügend IP-Adressen für Ihr Subnetz haben. Die Anzahl der verwendeten IP-Adressen hängt von der Anzahl der Instanzen ab, in denen Ihre Arbeitslasten ausgeführt werden. Wir empfehlen daher, die IP-Adressnutzung im Blick zu behalten. Achten Sie darauf, dass Ihre IP-Nutzung im Laufe der Zeit innerhalb der vom Subnetz unterstützten Grenzen bleibt.
So schätzen Sie die Nutzung Ihrer IP-Adresse:
Rufen Sie in der Google Cloud Console die Seite „Cloud Monitoring Metrics Explorer“ auf:
Rufen Sie die Anzahl der Instanzen in Ihrem Projekt mit dem Messwerttyp
run.googleapis.com/container/instance_countab. Mit Cloud Monitoring können Sie den Wert dieses Messwerts im Zeitverlauf ansehen.Multiplizieren Sie den Wert des Messwerts „Instanzanzahl“ mit 4, um eine Schätzung der Anzahl der verwendeten IP-Adressen zu erhalten.
Strategien zur Vermeidung von IP-Adressengpässen
Wenn Sie eine große Anzahl von Cloud Run-Arbeitslasten haben, kann es bei Verwendung des privaten IP-Adressbereichs RFC 1918 mit direktem VPC-Ausgang zu Problemen mit der IP-Ausschöpfung kommen. Mit den folgenden Strategien können Sie die Ausschöpfung von IP-Adressen durch die Verwendung alternativer IP-Adressbereiche verwalten.
IPv4-Adressen außerhalb von RFC 1918 verwenden
Neben den IPv4-Adressbereichen von RFC 1918 unterstützt Cloud Run auch Bereiche von RFC 6598 und Klasse E/RFC 5735. AlleGoogle Cloud Dienste und Funktionen funktionieren mit diesen nicht RFC 1918-Bereichen, einschließlich VPC-Netzwerken, Cloud Load Balancing und Private Service Connect.
Für eine optimale Kompatibilität empfehlen wir, mit dem Bereich RFC 6598 (100.64.0.0/10) zu beginnen. Wenn Sie diesen Bereich bereits an anderer Stelle verwenden, können Sie Klasse E/RFC 5735 (240.0.0.0/4) verwenden. Klasse E ist ein riesiger Bereich mit über 268 Millionen verfügbaren IP-Adressen. Sie bietet also langfristig ausreichend Platz für Ihr Wachstum. Für die Klasse E gelten jedoch einige Einschränkungen. Beispielsweise wird es unter Windows und auf einigen On-Premise-Hardware-Plattformen nicht unterstützt. Weitere Informationen zum Nutzen des IPv4-Adressbereichs der Klasse E, um Probleme mit der IPv4-Ausschöpfung in GKE zu vermeiden
IPv4- und IPv6-Subnetze (Dual-Stack) verwenden
Die Umstellung Ihrer Apps auf IPv6 ist zwar kein direkter Schritt zur Vermeidung der IPv4-Ausschöpfung, aber ein guter erster Schritt. Richten Sie Dual-Stack-Ressourcen ein, um Probleme mit der IPv4-Ausschöpfung in Zukunft zu vermeiden.
Strategien zur Verringerung der Portauslastung
Im folgenden Abschnitt werden Strategien beschrieben, mit denen Sie die Ausschöpfung von Ports mit Cloud Run reduzieren können.
Verbindungs-Pooling verwenden und Verbindungen wiederverwenden
Wenn Sie eine große Anzahl von Anfragen an eine einzelne Ziel-IP-Adresse senden, sollten Sie das Verbindungs-Pooling verwenden, um Verbindungen zum Ziel aufrechtzuerhalten und wiederzuverwenden. Hohe Verbindungsraten zu einer einzelnen IP-Adresse können Ausgangsports erschöpfen und zu Fehlern bei der Verbindungsverweigerung führen.
Strategien für Leistung und Durchsatz
In diesem Abschnitt werden skalierbare Optionen zur Verbesserung der Netzwerkleistung und des Durchsatzes in Richtung Internet und Google-Dienste beschrieben.
Ausgehenden Direct VPC-Traffic für schnelleren ausgehenden Netzwerkdurchsatz verwenden
Um einen schnelleren Durchsatz für ausgehende Netzwerkverbindungen zu erreichen, können Sie ausgehenden Direct VPC-Traffic nutzen, um den Traffic über Ihr VPC-Netzwerk zu leiten.
Beispiel 1: Externer Traffic zum Internet
Wenn Sie externen Traffic an das öffentliche Internet senden, leiten Sie den gesamten Traffic über das VPC-Netzwerk weiter, indem Sie --vpc-egress=all-traffic festlegen. Bei diesem Ansatz müssen Sie Cloud NAT einrichten, um das öffentliche Internet zu erreichen. Cloud NAT ist ein kostenpflichtiges Produkt.
Beispiel 2: Interner Traffic zu einer Google API
Wenn Sie ausgehenden Direct VPC-Traffic verwenden, um Traffic an eine Google API wie Cloud Storage zu senden, wählen Sie eine der folgenden Optionen:
- Geben Sie
private-ranges-only(Standard) mit Privatem Google-Zugriff an:- Legen Sie das Flag
--vpc-egress=private-ranges-onlyfest. - Privaten Google-Zugriff aktivieren
- DNS für den privaten Google-Zugriff konfigurieren
Die Zieldomain (z. B.
storage.googleapis.com) muss einem der folgenden internen IP-Adressbereiche zugeordnet sein:199.36.153.8/30199.36.153.4/30
- Legen Sie das Flag
- Geben Sie
all-trafficmit dem privaten Google-Zugriff an:- Legen Sie das Flag
--vpc-egress=all-trafficfest. - Privaten Google-Zugriff aktivieren
- Legen Sie das Flag
Wie geht es weiter?
- Ausgehenden Direct VPC-Traffic und VPC-Connectors vergleichen
- Tags für Tests, Trafficmigration und Rollbacks verwenden.