Questa pagina illustra le best practice per la configurazione delle opzioni di networking per le risorse Cloud Run. Prima di creare le risorse, ti consigliamo di esaminare tutte le sezioni di questa pagina per comprendere le opzioni di rete supportate da Cloud Run e le relative implicazioni.
Best practice:
Monitora l'utilizzo degli indirizzi IP.Utilizza indirizzi IP non RFC 1918.
Utilizza le subnet IPv4 e IPv6 (doppio stack).
Utilizza il pool di connessioni e riutilizza le connessioni.
Throughput esterno più elevato verso internet.
Throughput interno più elevato per un'API Google.
Monitorare l'utilizzo degli indirizzi IP
Se utilizzi l'uscita diretta VPC, assicurati di disporre di indirizzi IP sufficienti per la tua subnet. Il numero di indirizzi IP che utilizzi dipende dal numero di istanze che vengono eseguite dai tuoi carichi di lavoro, pertanto ti consigliamo di monitorare l'utilizzo degli indirizzi IP. Assicurati che l'utilizzo dell'IP nel tempo rimanga nei limiti supportati dalla sottorete.
Per stimare l'utilizzo del tuo indirizzo IP:
Nella console Google Cloud, vai alla pagina Esplora metriche di Cloud Monitoring:
Cerca il numero di istanze nel progetto utilizzando il tipo di metrica
run.googleapis.com/container/instance_count. Cloud Monitoring ti consente di visualizzare il valore di questa metrica nel tempo.Moltiplica il valore della metrica Conteggio istanze per 4 per ottenere una stima del numero di indirizzi IP in uso.
Strategie per evitare l'esaurimento degli indirizzi IP
Avere un numero elevato di carichi di lavoro Cloud Run può causare problemi di esaurimento degli IP quando si utilizza lo spazio degli indirizzi IP privati RFC 1918 con l'egress VPC diretto. Le seguenti strategie possono aiutarti a gestire l'esaurimento degli indirizzi IP utilizzando intervalli di indirizzi IP alternativi.
Utilizzare indirizzi IPv4 non RFC 1918
Oltre agli intervalli di indirizzi IPv4 RFC 1918, Cloud Run supporta anche gli intervalli RFC 6598 e Class E/RFC 5735. Tutti Google Cloud i servizi e le funzionalità funzionano con questi intervalli non RFC 1918, incluse le reti VPC, Cloud Load Balancing e Private Service Connect.
Per la massima compatibilità, ti consigliamo di iniziare con l'intervallo RFC 6598 (100.64.0.0/10). Se utilizzi già questo intervallo altrove, puoi utilizzare la classe E/RFC 5735 (240.0.0.0/4). La classe E è uno spazio enorme con oltre 268 milioni di indirizzi IP disponibili, quindi supporterà la tua crescita per molto tempo. Tuttavia, la classe E presenta alcune limitazioni. Ad esempio, non è supportato su Windows e su alcuni hardware on-premise. Scopri di più su come sfruttare lo spazio degli indirizzi IPv4 di classe E per mitigare i problemi di esaurimento IPv4 in GKE.
Utilizza subnet IPv4 e IPv6 (stack doppio)
Anche se non riduce l'esaurimento di IPv4, il trasferimento delle app a IPv6 è un buon primo passo. Configura le risorse dual-stack per evitare problemi di esaurimento IPv4 in futuro.
Strategie per ridurre l'esaurimento delle porte
La sezione seguente descrive le strategie per ridurre l'esaurimento delle porte con Cloud Run.
Utilizza il pool di connessioni e riutilizza le connessioni
Quando invii un numero elevato di richieste a un singolo indirizzo IP di destinazione, utilizza il pooling delle connessioni per mantenere e riutilizzare le connessioni alla destinazione. Le frequenze di connessione elevate a un singolo indirizzo IP possono esaurire le porte in uscita e causare errori di connessione rifiutata.
Strategie di rendimento e throughput
Questa sezione illustra le opzioni scalabili per migliorare le prestazioni e la larghezza di banda della rete verso internet e i servizi Google.
Utilizza il VPC diretto in uscita per una maggiore larghezza di banda in uscita della rete
Per ottenere una maggiore velocità in uscita sulle connessioni di rete, utilizza il VPC diretto per instradare il traffico attraverso la rete VPC.
Esempio 1: traffico esterno verso internet
Se invii traffico esterno alla rete internet pubblica, instrada tutto il traffico
tramite la rete VPC impostando
--vpc-egress=all-traffic. Con questo approccio, devi configurare Cloud NAT per raggiungere la rete internet pubblica. Tieni presente che Cloud NAT è un prodotto a pagamento.
Esempio 2: traffico interno verso un'API Google
Se utilizzi l'egress VPC diretto per inviare traffico a un'API Google, come Cloud Storage, scegli una delle seguenti opzioni:
- Specifica
private-ranges-only(valore predefinito) con Accesso privato Google:- Imposta il flag
--vpc-egress=private-ranges-only. - Attiva l'accesso privato Google.
- Configura il DNS per l'accesso privato Google.
Assicurati che il dominio di destinazione (ad esempio
storage.googleapis.com) sia mappato a uno dei seguenti intervalli di indirizzi IP interni:199.36.153.8/30199.36.153.4/30
- Imposta il flag
- Specifica
all-trafficcon Accesso privato Google:- Imposta il flag
--vpc-egress=all-traffic. - Attiva l'accesso privato Google.
- Imposta il flag
Passaggi successivi
- Confronta l'uscita VPC diretta e i connettori VPC.
- Utilizza i tag per i test, la migrazione del traffico e i rollback.