Auf dieser Seite werden die Best Practices für die Konfiguration von Netzwerkoptionen für Cloud Run-Ressourcen erläutert. Bevor Sie Ihre Ressourcen erstellen, empfehlen wir Ihnen, alle Abschnitte auf dieser Seite zu lesen, um die von Cloud Run unterstützten Netzwerkoptionen und ihre Auswirkungen zu verstehen.
Best Practices:
IP-Adressnutzung im Blick behalten:IP-Adressen außerhalb von RFC 1918 verwenden
IPv4- und IPv6-Subnetze (Dual-Stack) verwenden
Verbindungs-Pooling verwenden und Verbindungen wiederverwenden:
Schnellerer externer Durchsatz zum Internet:
Schnellerer interner Durchsatz zu einer Google API
IP-Adressnutzung im Blick behalten
Wenn Sie ausgehenden Direct VPC-Traffic verwenden, achten Sie darauf, dass Sie genügend IP-Adressen für Ihr Subnetz haben. Die Anzahl der verwendeten IP-Adressen hängt von der Anzahl der Instanzen ab, auf denen Ihre Arbeitslasten ausgeführt werden. Wir empfehlen daher, die Nutzung Ihrer IP-Adressen im Blick zu behalten. Achten Sie darauf, dass die IP-Nutzung im Laufe der Zeit innerhalb der vom Subnetz unterstützten Grenzen bleibt.
So schätzen Sie die Nutzung Ihrer IP-Adressen:
Rufen Sie in der Google Cloud Console die Seite „Cloud Monitoring > Metrics Explorer“ auf:
Suchen Sie die Anzahl der Instanzen in Ihrem Projekt mit dem Messwerttyp
run.googleapis.com/container/instance_count. Mit Cloud Monitoring können Sie den Wert dieses Messwerts im Zeitverlauf ansehen.Multiplizieren Sie den Wert des Messwerts für die Anzahl der Instanzen mit 2, um eine Schätzung der Anzahl der verwendeten IP-Adressen zu erhalten.
Strategien zur Vermeidung von IP-Adressenmangel
Eine große Anzahl von Cloud Run-Arbeitslasten kann zu Problemen mit der IP-Erschöpfung führen, wenn der private RFC 1918-IP-Adressbereich mit Direct VPC-Egress verwendet wird. Mit den folgenden Strategien können Sie die Erschöpfung von IP-Adressen durch die Verwendung alternativer IP-Adressbereiche vermeiden.
IPv4-Adressen außerhalb von RFC 1918 verwenden
Neben den RFC 1918-IPv4-Adressbereichen unterstützt Cloud Run auch die Bereiche RFC 6598 und Klasse E/RFC 5735. AlleGoogle Cloud -Dienste und ‑Funktionen funktionieren mit diesen Nicht-RFC 1918-Bereichen, einschließlich VPC-Netzwerken, Cloud Load Balancing und Private Service Connect.
Für eine optimale Kompatibilität empfehlen wir, mit dem Bereich RFC 6598 (100.64.0.0/10) zu beginnen. Wenn Sie diesen Bereich bereits anderweitig verwenden, sollten Sie die Klasse E/RFC 5735 (240.0.0.0/4) verwenden. Die Klasse E ist ein riesiger Bereich mit über 268 Millionen verfügbaren IP-Adressen, sodass sie Ihr Wachstum für lange Zeit unterstützen kann. Für die Klasse E gelten jedoch einige Einschränkungen. Es wird beispielsweise nicht unter Windows und auf einigen lokalen Hardwaregeräten unterstützt. Informationen zur Nutzung des IPv4-Adressbereichs der Klasse E zur Behebung von Problemen mit der Ausschöpfung von IPv4-Adressen in GKE
Cloud NAT oder Private Service Connect verwenden
Wenn Ihre Cloud Run-Arbeitslast, die einen Bereich außerhalb von RFC 1918 verwendet, ein lokales Ziel erreichen muss, das nur RFC 1918 akzeptiert, verwenden Sie eine der folgenden Lösungen:
- Verwenden Sie Hybrid-NAT, um die Adressübersetzung und den ausgehenden Traffic mit einem kleinen RFC 1918-Bereich durchzuführen.
- Machen Sie den lokalen Dienst als Private Service Connect-Hybriddienst verfügbar.
IPv4- und IPv6-Subnetze (Dual-Stack) verwenden
Auch wenn dadurch die Erschöpfung von IPv4 nicht verringert wird, ist die Umstellung Ihrer Apps auf IPv6 ein guter erster Schritt. Dual-Stack-Ressourcen einrichten, um Probleme mit der IPv4-Erschöpfung in Zukunft zu vermeiden.
Strategien zur Reduzierung der Portauslastung
Im folgenden Abschnitt werden Strategien zum Reduzieren der Portauslastung mit Cloud Run beschrieben.
Verbindungs-Pooling verwenden und Verbindungen wiederverwenden
Wenn Sie eine große Anzahl von Anfragen an eine einzelne Ziel-IP-Adresse senden, verwenden Sie Connection Pooling, um Verbindungen zum Ziel aufrechtzuerhalten und wiederzuverwenden. Hohe Verbindungsraten zu einer einzelnen IP-Adresse können die Ausgangsports erschöpfen und zu Fehlern führen, die darauf hinweisen, dass die Verbindung abgelehnt wurde.
Strategien für Leistung und Durchsatz
In diesem Abschnitt werden skalierbare Optionen zur Verbesserung der Netzwerkleistung und des Durchsatzes zum Internet und zu Google-Diensten beschrieben.
Ausführungsumgebung der zweiten Generation verwenden
Für die beste Netzwerkleistung von Cloud Run-Diensten sollten Sie die Ausführungsumgebung der zweiten Generation verwenden, wenn Sie Traffic mit Direct VPC-Ausgang weiterleiten. Die Umgebung der zweiten Generation bietet eine höhere Netzwerkleistung, insbesondere bei Paketverlust.
Sie können die Ausführungsumgebung über die Google Cloud Console, die gcloud CLI, YAML oder Terraform auswählen.
Ausgehenden Direct VPC-Traffic für schnelleren ausgehenden Netzwerkdurchsatz verwenden
Um einen schnelleren Durchsatz für ausgehende Netzwerkverbindungen zu erreichen, können Sie ausgehenden Direct VPC-Traffic nutzen, um den Traffic über Ihr VPC-Netzwerk zu leiten. Wir empfehlen, diese Funktion in Verbindung mit der Ausführungsumgebung der zweiten Generation zu verwenden, wie bereits erwähnt.
Beispiel 1: Externer Traffic zum Internet
Wenn Sie externen Traffic an das öffentliche Internet senden, leiten Sie den gesamten Traffic über das VPC-Netzwerk weiter, indem Sie --vpc-egress=all-traffic festlegen.
Bei diesem Ansatz müssen Sie Cloud NAT einrichten, um auf das öffentliche Internet zuzugreifen.
Informationen dazu, wie Sie Cloud Run für die Verwendung eines Cloud NAT-Gateways für Public NAT oder Private NAT konfigurieren, finden Sie unter Interaktionen zwischen ausgehendem Direct VPC-Traffic und Cloud NAT.
Beispiel 2: Interner Traffic zu einer Google API
Wenn Sie ausgehenden Direct VPC-Traffic verwenden, um Traffic an eine Google API wie Cloud Storage zu senden, wählen Sie eine der folgenden Optionen:
- Geben Sie
private-ranges-only(Standard) mit privatem Google-Zugriff an:- Legen Sie das Flag
--vpc-egress=private-ranges-onlyfest. - Privaten Google-Zugriff aktivieren
- DNS für den privaten Google-Zugriff konfigurieren.
Achten Sie darauf, dass Ihre Zieldomain (z. B.
storage.googleapis.com) einem der folgenden internen IP-Adressbereiche zugeordnet ist:199.36.153.8/30199.36.153.4/30
- Legen Sie das Flag
- Geben Sie
all-trafficmit privatem Google-Zugriff an:- Legen Sie das Flag
--vpc-egress=all-trafficfest. - Privaten Google-Zugriff aktivieren
- Legen Sie das Flag
Standard-MTU-Einstellung für Cloud Run verwenden
Ändern Sie die Einstellung für die maximale Übertragungseinheit (MTU) eines VPC-Netzwerks nicht, wenn Sie es mit Cloud Run verwenden. Verwenden Sie stattdessen die Standard-MTU von 1.460 Byte.
Nächste Schritte
- Ausgehenden Direct VPC-Traffic und VPC-Connectors vergleichen
- Tags für Tests, Trafficmigration und Rollbacks verwenden.