Esta página descreve as práticas recomendadas para configurar as opções de rede para recursos do Cloud Run. Antes de criar os seus recursos, recomendamos que reveja todas as secções desta página para compreender as opções de rede suportadas pelo Cloud Run, bem como as respetivas implicações.
Práticas recomendadas:
Monitorize a utilização de endereços IP.Usar endereços IP não RFC 1918.
Use sub-redes IPv4 e IPv6 (pilha dupla).
Use a pool de ligações e reutilize as ligações.
Débito externo mais rápido para a Internet.
Processamento interno mais rápido para uma API Google.
Monitorize a utilização de endereços IP
Se estiver a usar a saída da VPC direta, certifique-se de que tem endereços IP suficientes para a sua sub-rede. O número de endereços IP que usa depende do número de instâncias em que as suas cargas de trabalho são executadas, pelo que recomendamos que monitorize a sua utilização de endereços IP. Certifique-se de que a sua utilização de IPs ao longo do tempo permanece dentro dos limites suportados pela sub-rede.
Para estimar a sua utilização de endereços IP:
Na Google Cloud consola, aceda à página Explorador de métricas do Cloud Monitoring:
Procure o número de instâncias no seu projeto através do tipo de métrica
run.googleapis.com/container/instance_count. O Cloud Monitoring permite-lhe ver o valor desta métrica ao longo do tempo.Multiplique o valor da métrica de contagem de instâncias por 2 para obter uma estimativa do número de endereços IP em utilização.
Estratégias de esgotamento de endereços IP
Ter um grande número de cargas de trabalho do Cloud Run pode causar problemas de esgotamento de IPs quando usar o espaço de endereços IP privado RFC 1918 com saída direta da VPC. As seguintes estratégias podem ajudar a gerir o esgotamento de endereços IP através da utilização de intervalos de endereços IP alternativos.
Use endereços IPv4 não RFC 1918
Além dos intervalos de endereços IPv4 RFC 1918, o Cloud Run também suporta os intervalos RFC 6598 e Classe E/RFC 5735. Todos os Google Cloud serviços e funcionalidades funcionam com estes intervalos não RFC 1918, incluindo redes VPC, Cloud Load Balancing e Private Service Connect.
Para a melhor compatibilidade, recomendamos que comece com o intervalo RFC 6598 (100.64.0.0/10). Se já estiver a usar este intervalo noutro local, considere usar a classe E/RFC 5735 (240.0.0.0/4). A classe E é um espaço enorme com mais de 268 milhões de endereços IP disponíveis, pelo que vai suportar o seu crescimento durante muito tempo. No entanto, a classe E tem algumas limitações. Por exemplo, não é suportado no Windows e em alguns hardware no local. Leia sobre como tirar partido do espaço de endereços IPv4 de classe E para mitigar problemas de esgotamento de IPv4 no GKE.
Use o Cloud NAT ou o Private Service Connect
Se a sua carga de trabalho do Cloud Run que usa um intervalo não RFC 1918 precisar de alcançar um destino no local que aceite apenas RFC 1918, use uma das seguintes soluções:
- Use o NAT híbrido para fazer a tradução de endereços e a saída com um pequeno intervalo RFC 1918.
- Exponha o serviço no local como um serviço híbrido do Private Service Connect.
Use sub-redes IPv4 e IPv6 (pilha dupla)
Embora não reduza o esgotamento do IPv4, a mudança das suas apps para o IPv6 é um bom primeiro passo. Configure recursos de pilha dupla para evitar problemas de esgotamento do IPv4 no futuro.
Estratégias de redução do esgotamento de portas
A secção seguinte descreve estratégias para reduzir o esgotamento de portas com o Cloud Run.
Use a pool de ligações e reutilize ligações
Quando enviar um grande número de pedidos para um único endereço IP de destino, use o agrupamento de ligações para manter e reutilizar as ligações ao destino. As taxas de ligação elevadas a um único endereço IP podem esgotar as portas de saída e causar erros de ligação recusada.
Estratégias de desempenho e débito
Esta secção aborda opções escaláveis para melhorar o desempenho da rede e a taxa de transferência para a Internet e os serviços Google.
Use a saída da VPC direta para uma taxa de débito de saída da rede mais rápida
Para alcançar um débito mais rápido nas ligações de saída da rede, use a saída da rede da VPC direta para encaminhar o tráfego através da sua rede da VPC.
Exemplo 1: tráfego externo para a Internet
Se estiver a enviar tráfego externo para a Internet pública, encaminhe todo o tráfego através da rede VPC definindo --vpc-egress=all-traffic.
Com esta abordagem, tem de configurar o Cloud NAT para alcançar a Internet pública.
Para permitir que o Cloud Run use uma gateway do Cloud NAT para NAT público ou NAT privado, consulte as interações de saída da VPC direta do Cloud NAT.
Exemplo 2: tráfego interno para uma API Google
Se estiver a usar a saída do VPC direta para enviar tráfego para uma API Google, como o Cloud Storage, escolha uma das seguintes opções:
- Especifique
private-ranges-only(predefinição) com o acesso privado da Google:- Definir o sinalizador
--vpc-egress=private-ranges-only. - Ative o acesso privado à Google.
- Configure o DNS para o acesso privado da Google.
Certifique-se de que o seu domínio de destino (como
storage.googleapis.com) é mapeado para um dos seguintes intervalos de endereços IP internos:199.36.153.8/30199.36.153.4/30
- Definir o sinalizador
- Especifique
all-trafficcom o acesso privado do Google:- Definir o sinalizador
--vpc-egress=all-traffic. - Ative o acesso privado à Google.
- Definir o sinalizador
Use a predefinição de MTU para o Cloud Run
Não altere a definição da unidade de transmissão máxima (MTU) de uma rede de VPC quando a usar com o Cloud Run. Em alternativa,use a MTU predefinida de 1460 bytes.
O que se segue?
- Compare a saída direta da VPC e os conetores de VPC.
- Use etiquetas para testes, migração de tráfego e reversões.