Cette page décrit les bonnes pratiques à suivre pour configurer les options de mise en réseau pour les ressources Cloud Run. Avant de créer vos ressources, nous vous recommandons de consulter toutes les sections de cette page pour comprendre les options de mise en réseau compatibles avec Cloud Run, ainsi que leurs implications.
Bonnes pratiques
Surveiller l'utilisation des adresses IPUtilisez des adresses IP non-RFC 1918.
Utiliser des sous-réseaux IPv4 et IPv6 (double pile)
Utilisez le regroupement de connexions et réutilisez les connexions.
Débit externe plus rapide vers Internet.
Débit interne plus rapide vers une API Google.
Surveiller l'utilisation des adresses IP
Si vous utilisez la sortie VPC directe, assurez-vous que votre sous-réseau dispose de suffisamment d'adresses IP. Le nombre d'adresses IP que vous utilisez dépend du nombre d'instances sur lesquelles vos charges de travail s'exécutent. Nous vous recommandons donc de surveiller votre utilisation des adresses IP. Assurez-vous que votre utilisation des adresses IP au fil du temps reste dans les limites acceptées par le sous-réseau.
Pour estimer votre utilisation des adresses IP :
Dans la console Google Cloud , accédez à la page Explorateur de métriques de Cloud Monitoring :
Recherchez le nombre d'instances dans votre projet à l'aide du type de métrique
run.googleapis.com/container/instance_count. Cloud Monitoring vous permet d'afficher la valeur de cette métrique au fil du temps.Multipliez la valeur de la métrique "Nombre d'instances" par deux pour obtenir une estimation du nombre d'adresses IP utilisées.
Stratégies en cas d'épuisement des adresses IP
Si vous avez un grand nombre de charges de travail Cloud Run, vous pouvez rencontrer des problèmes d'épuisement des adresses IP lorsque vous utilisez l'espace d'adresses IP privées RFC 1918 avec la sortie VPC directe. Les stratégies suivantes peuvent vous aider à gérer l'épuisement des adresses IP en utilisant d'autres plages d'adresses IP.
Utiliser des adresses IPv4 non-RFC 1918
En plus des plages d'adresses IPv4 RFC 1918, Cloud Run est également compatible avec les plages RFC 6598 et Classe E/RFC 5735. Tous les services et fonctionnalitésGoogle Cloud fonctionnent avec ces plages non RFC 1918, y compris les réseaux VPC, Cloud Load Balancing et Private Service Connect.
Pour une compatibilité optimale, nous vous recommandons de commencer par la plage RFC 6598 (100.64.0.0/10). Si vous utilisez déjà cette plage ailleurs, envisagez d'utiliser la classe E/RFC 5735 (240.0.0.0/4). La classe E est un espace immense avec plus de 268 millions d'adresses IP disponibles. Elle vous permettra donc de développer votre activité pendant longtemps. Toutefois, la classe E présente certaines limites. Par exemple, elle n'est pas compatible avec Windows ni avec certains matériels sur site. Découvrez comment exploiter l'espace d'adresses IPv4 de classe E pour atténuer les problèmes d'épuisement des adresses IPv4 dans GKE.
Utiliser Cloud NAT ou Private Service Connect
Si votre charge de travail Cloud Run utilisant une plage non-RFC 1918 doit atteindre une destination sur site qui n'accepte que les adresses RFC 1918, utilisez l'une des solutions suivantes :
- Utilisez Hybrid NAT pour effectuer la traduction d'adresse et la sortie à l'aide d'une petite plage RFC 1918.
- Exposez le service sur site en tant que service hybride Private Service Connect.
Utiliser des sous-réseaux IPv4 et IPv6 (double pile)
Bien que cela ne réduise pas l'épuisement des adresses IPv4, la migration de vos applications vers IPv6 est une bonne première étape. Configurez des ressources à double pile pour éviter les problèmes d'épuisement d'IPv4 à l'avenir.
Stratégies de réduction de l'épuisement des ports
La section suivante décrit les stratégies permettant de réduire l'épuisement des ports avec Cloud Run.
Utiliser le regroupement de connexions et réutiliser les connexions
Lorsque vous envoyez un grand nombre de requêtes à une même adresse IP de destination, utilisez le regroupement de connexions pour gérer et réutiliser les connexions à la destination. Des taux de connexion élevés à une seule adresse IP peuvent épuiser les ports sortants et entraîner des erreurs de connexion refusée.
Stratégies de performances et de débit
Cette section présente les options évolutives permettant d'améliorer les performances et le débit du réseau vers Internet et les services Google.
Utiliser l'environnement d'exécution de deuxième génération
Pour obtenir les meilleures performances réseau pour les services Cloud Run, utilisez l'environnement d'exécution de deuxième génération lorsque vous acheminez le trafic avec la sortie VPC directe. L'environnement de deuxième génération offre des performances réseau plus rapides, en particulier en cas de perte de paquets.
Vous pouvez sélectionner l'environnement d'exécution à l'aide de la console Google Cloud , de gcloud CLI, de YAML ou de Terraform.
Utiliser la sortie VPC directe pour un débit de sortie réseau plus rapide
Pour accélérer le débit des connexions de sortie réseau, utilisez la sortie VPC directe pour acheminer le trafic via votre réseau VPC. Nous vous recommandons de l'utiliser en même temps que l'environnement d'exécution de deuxième génération, comme indiqué précédemment.
Exemple 1 : Trafic externe vers Internet
Si vous envoyez du trafic externe vers l'Internet public, acheminez tout le trafic via le réseau VPC en définissant --vpc-egress=all-traffic.
Avec cette approche, vous devez configurer Cloud NAT pour accéder à l'Internet public.
Pour permettre à Cloud Run d'utiliser une passerelle Cloud NAT pour Public NAT ou Private NAT, consultez Interactions entre Cloud NAT et la sortie VPC directe.
Exemple 2 : Trafic interne vers une API Google
Si vous utilisez la sortie VPC directe pour envoyer du trafic vers une API Google, telle que Cloud Storage, choisissez l'une des options suivantes :
- Spécifiez
private-ranges-only(par défaut) avec l'accès privé à Google :- Définissez l'option
--vpc-egress=private-ranges-only. - Activez l'accès privé à Google.
- Configurez le DNS pour l'accès privé à Google.
Assurez-vous que votre domaine cible (tel que
storage.googleapis.com) est mappé sur l'une des plages d'adresses IP internes suivantes :199.36.153.8/30199.36.153.4/30
- Définissez l'option
- Spécifiez
all-trafficavec l'accès privé à Google :- Définissez l'option
--vpc-egress=all-traffic. - Activez l'accès privé à Google.
- Définissez l'option
Utiliser le paramètre de MTU par défaut pour Cloud Run
Ne modifiez pas le paramètre d'unité de transmission maximale (MTU) d'un réseau VPC lorsque vous l'utilisez avec Cloud Run. Utilisez plutôt la MTU par défaut de 1 460 octets.
Étapes suivantes
- Comparer la sortie VPC directe et les connecteurs VPC.
- Utiliser des tags pour les tests, la migration du trafic et les rollbacks.