Questa pagina è stata tradotta dall'API Cloud Translation.

VPC diretto in uscita con una rete VPC condiviso

Puoi abilitare il servizio o il job Cloud Run per inviare traffico a una rete VPC condivisa utilizzando il traffico VPC diretto in uscita senza che sia richiesto un connettore di accesso VPC serverless.

Questa pagina descrive come configurare le autorizzazioni IAM di Cloud Run per utilizzare la subnet della rete VPC condiviso e quindi posizionare il servizio o il job nella subnet condivisa.

Prima di iniziare

Quando utilizzi il traffico VPC diretto in uscita, assicurati che la subnet abbia almeno alcune centinaia di indirizzi IP disponibili. Se il numero totale di istanze in tutti i tuoi servizi Cloud Run supera le 100, ti consigliamo di avere almeno 4 volte (4 volte) il numero totale disponibile.

Limitazioni

Le seguenti limitazioni si applicano sia ai servizi che ai job di Cloud Run:

Cloud Run supporta una velocità effettiva fino a 1 Gbps per singola istanza. Il superamento di questo importo determina una limitazione del rendimento.
Una quota di utilizzo di Cloud Run limita il numero massimo di istanze che puoi configurare per utilizzare il traffico VPC diretto in uscita. Il numero massimo è configurato per ogni revisione o esecuzione di job Cloud Run. Per aumentare i limiti predefiniti, consulta Come aumentare le quote. Puoi controllare la tua quota utilizzando la console Google Cloud.
I servizi e i job Cloud Run potrebbero riscontrare interruzioni di connessione durante gli eventi di manutenzione dell'infrastruttura di rete. Ti consigliamo di utilizzare librerie client che possono gestire reimpostazioni occasionali della connessione.

Le seguenti limitazioni si applicano solo ai job Cloud Run e non ai servizi:

Il traffico VPC diretto in uscita per i job Cloud Run è disponibile solo in anteprima.
Per garantire la corretta esecuzione dei job, utilizza il traffico VPC diretto in uscita solo per i job che non richiedono più di 8 istanze simultanee e assicurati di prenotare un minimo di 1024 indirizzi IP.

Gli elementi seguenti non sono supportati dal VPC diretto in uscita:

Log di flusso VPC non fornisce il nome del servizio o della revisione Cloud Run.
I log di flusso VPC non vengono creati da risorse non VM come Cloud Run o da macchine on-premise.
Logging delle regole firewall
Mirroring pacchetto
Network Intelligence Center
Traffico IPv6
Secure Web Proxy
Utilizzo di tag di rete nelle regole firewall in entrata applicate alla risorsa di destinazione.
Viene utilizzata l'identità di servizio come account di servizio di origine nelle regole firewall in entrata applicate alla risorsa di destinazione.
Le regole firewall non possono utilizzare i tag di Resource Manager collegati ai carichi di lavoro di Cloud Run.
I job Cloud Run eseguiti per più di un'ora potrebbero subire interruzioni di connessione. Possono verificarsi durante gli eventi di manutenzione che eseguono la migrazione del job da una macchina all'altra. Il container riceve un indicatore SIGTSTP 10 secondi prima dell'evento e un indicatore SIGCONT dopo l'evento. Dopo che il container ha ricevuto l'indicatore SIGCONT, riprova a eseguire la connessione.

Configura le autorizzazioni IAM

Prima che Cloud Run in un progetto di servizio del VPC condiviso possa accedere a una rete VPC condivisa, devi assicurarti che l'agente di servizio Cloud Run disponga di autorizzazioni sufficienti per utilizzare la subnet.

Per accedere alla rete VPC condiviso, concedi autorizzazioni sufficienti all'agente di servizio Cloud Run aggiungendo uno dei seguenti ruoli:
- Utente di rete Compute (compute.networkUser) nel progetto host VPC condiviso.
  
  Ad esempio, esegui questo comando:
```
gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member "serviceAccount:service-SERVICE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com" \
--role "roles/compute.networkUser"
```
  Sostituisci quanto segue:
  - HOST_PROJECT_ID: l'ID del progetto host del VPC condiviso.
  - SERVICE_PROJECT_NUMBER: il numero del progetto di servizio del VPC condiviso in cui esegui il deployment del servizio o del job Cloud Run.
- Visualizzatore di rete Compute (compute.networkViewer) sul progetto host del VPC condiviso e il ruolo Utente di rete Compute (compute.networkUser) sulla subnet VPC condivisa.
  
  Ad esempio, per concedere il ruolo Visualizzatore di rete Compute nella subnet, esegui questo comando:
```
gcloud compute networks subnets add-iam-policy-binding SUBNET_NAME \
  --region REGION \
  --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com" \
  --role "roles/compute.networkUser" \
  --project HOST_PROJECT_ID
```
  Sostituisci quanto segue:
  - SUBNET_NAME: il nome della subnet in cui vuoi eseguire i servizi Cloud Run.
  - REGION: la regione per il servizio Cloud Run, che deve corrispondere a quella della subnet.
  - SERVICE_PROJECT_NUMBER: il numero del progetto di servizio del VPC condiviso in cui esegui il deployment del servizio o del job Cloud Run.
  - HOST_PROJECT_ID: l'ID del progetto host del VPC condiviso.
L'agente di servizio Cloud Run richiede il ruolo di agente di servizio Cloud Run nel progetto Cloud Run. Puoi verificare che il ruolo non sia stato rimosso manualmente eseguendo questo comando:
```
gcloud projects get-iam-policy SERVICE_PROJECT_ID \
  --flatten bindings \
  --filter "bindings.role:roles/run.serviceAgent"
```
Sostituisci SERVICE_PROJECT_ID con l'ID progetto del tuo servizio o job Cloud Run.

Per un controllo più granulare, puoi assicurarti che l'agente di servizio Cloud Run disponga delle seguenti autorizzazioni:

compute.networks.get nel progetto host del VPC condiviso
compute.subnetworks.get sul progetto host o nella subnet specifica
compute.subnetworks.use sul progetto host o nella subnet specifica
compute.addresses.get nel progetto di servizio del VPC condiviso
compute.addresses.list nel progetto di servizio del VPC condiviso
compute.addresses.createInternal nel progetto di servizio del VPC condiviso
compute.addresses.deleteInternal nel progetto di servizio del VPC condiviso

Allocazione degli indirizzi IP

Per collocare il tuo servizio o job Cloud Run su una rete VPC, devi specificare una rete e una subnet. Cloud Run alloca gli indirizzi IP dalla subnet.

Gli indirizzi IP sono temporanei, quindi non creare criteri basati sui singoli IP. Se devi creare un criterio basato sugli IP, ad esempio nelle regole firewall, devi utilizzare l'intervallo di indirizzi IP dell'intera subnet.

Per modificare la rete o la subnet utilizzata dal tuo servizio o job, esegui il deployment di una nuova revisione del servizio o esegui una nuova attività di job che utilizzi i nuovi valori di rete e subnet.

Scale up

Per consentire lo scale up rapido in caso di picco di traffico, Cloud Run alloca gli indirizzi IP prima che siano necessari.

È probabile che in un determinato momento ci siano più indirizzi IP allocati rispetto al numero di istanze esistenti. Per garantire che Cloud Run possa ottenere un numero sufficiente di indirizzi IP, verifica che la subnet abbia almeno alcune centinaia di indirizzi IP disponibili. Se il numero totale di istanze della subnet in tutti i servizi e job Cloud Run supera le 100, ti consigliamo di avere almeno 4 volte (4 volte) il numero totale disponibile. Se Cloud Run non può allocare altri indirizzi IP, non può avviare altre istanze di servizio o attività di job finché non sono disponibili altri indirizzi IP. Se lo spazio degli indirizzi IP è limitato, consulta Intervalli IP supportati per ulteriori opzioni. Per ottimizzare l'allocazione degli IP e semplificare la gestione, posiziona più servizi o job nella stessa subnet.

Scalabilità verso il basso

Anche dopo fare lo scale down di tutti i servizi o job fino a zero, Cloud Run riserva alcuni indirizzi IP della subnet per un massimo di 20 minuti nel caso in cui sia necessario fare di nuovo rapidamente lo scale up di servizi o job. Ogni istanza richiede un indirizzo IP, ma Cloud Run riserva una subnet mask minima di /28 all'inizio. Una volta eliminate tutte le 16 istanze, Cloud Run crea una nuova subnet.

Per eliminare la subnet, devi prima eliminare o rieseguire il deployment dei servizi o job Cloud Run per interrompere l'utilizzo della subnet, quindi attendere 1-2 ore.

Intervalli IP supportati

Cloud Run supporta i seguenti intervalli IPv4 per la tua subnet:

RFC 1918 (consigliato)
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
RFC 6598
- 100.64.0.0/10
Classe E (non consigliata con le configurazioni on-premise)
- 240.0.0.0/4

Esegui il deployment di un servizio

Il traffico VPC diretto in uscita consente al servizio Cloud Run di inviare traffico a una rete VPC condiviso senza un connettore di accesso VPC serverless. I costi di rete vengono scalati fino a zero, proprio come il servizio stesso. Puoi anche utilizzare i tag di rete direttamente sulle revisioni del servizio Cloud Run per una sicurezza di rete più granulare.

Puoi configurare il traffico VPC diretto in uscita con un servizio utilizzando la console Google Cloud, Google Cloud CLI o YAML.

Console

Vai a Cloud Run
Fai clic su Crea servizio se stai configurando un nuovo servizio in cui stai eseguendo il deployment. Se stai configurando ed eseguendo il deployment di un servizio esistente, fai clic sul servizio e poi su Modifica ed esegui il deployment di una nuova revisione.
Se stai configurando un nuovo servizio, compila la pagina iniziale delle impostazioni del servizio in base alle tue esigenze, poi fai clic su Container, volumi, networking, sicurezza per espandere la pagina di configurazione del servizio.
Fai clic sulla scheda Networking.
Fai clic su Connettiti a un VPC per il traffico in uscita.
Fai clic su Invia il traffico direttamente a un VPC.
Seleziona Reti condivise con me.
Nel campo Rete, seleziona la rete VPC condiviso a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il tuo servizio riceve gli indirizzi IP.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare al tuo servizio o servizi. I tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere diversi tag di rete, ad esempio network-tag-2.
Per Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo le richieste a IP privati per inviare solo il traffico agli indirizzi interni tramite la rete VPC condiviso.
- Instrada tutto il traffico al VPC per inviare tutto il traffico in uscita attraverso la rete VPC condiviso.
Fai clic su Crea o Esegui il deployment.
Per verificare che il tuo servizio sia sulla tua rete VPC condiviso, fai clic sul servizio e poi sulla scheda Networking. La rete e la subnet sono elencate nella scheda VPC.

Ora puoi inviare richieste dal tuo servizio Cloud Run a qualsiasi risorsa sulla rete VPC condiviso, come consentito dalle tue regole firewall.

gcloud

Per posizionare il servizio nella subnet condivisa, specifica i nomi completi delle risorse per la rete e la subnet VPC condiviso condivise eseguendo questo comando:

gcloud run deploy SERVICE_NAME \
  --image IMAGE_URL \
  --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \
  --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \
  --network-tags NETWORK_TAG_NAMES \
  --vpc-egress=EGRESS_SETTING \
  --region REGION \
  --max-instances MAX

Sostituisci quanto segue:

SERVICE_NAME: il nome del tuo servizio Cloud Run.
IMAGE_URL: l'URL dell'immagine del servizio.
HOST_PROJECT_ID: l'ID del tuo progetto del VPC condiviso.
VPC_NETWORK: il nome della tua rete VPC condiviso.
REGION: la regione per il servizio Cloud Run, che deve corrispondere a quella della subnet.
SUBNET_NAME: il nome della subnet.
(Facoltativo) NETWORK_TAG_NAMES con i nomi separati da virgole dei tag di rete che vuoi associare a un servizio. Per i servizi, i tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere tag di rete diversi, ad esempio network-tag-2.
EGRESS_SETTING con un valore di impostazione del traffico in uscita:
- all-traffic: invia tutto il traffico in uscita attraverso la rete VPC condiviso.
- private-ranges-only: invia solo il traffico agli indirizzi interni tramite la reteVPC condivisoa.
MAX: il numero massimo di istanze da utilizzare per la rete VPC condiviso. Il numero massimo di istanze consentite per i servizi è 100.

Per ulteriori dettagli e argomenti facoltativi, consulta la documentazione di riferimento di gcloud.

YAML

Se stai creando un nuovo servizio, salta questo passaggio. Se stai aggiornando un servizio esistente, scarica la relativa configurazione YAML:
```
gcloud run services describe SERVICE --format export > service.yaml
```
Aggiorna i seguenti attributi:
```
apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: SERVICE_NAME
  labels:
    cloud.googleapis.com/location: REGION
spec:
  template:
    metadata:
      annotations:
        run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET","tags":"NETWORK_TAG_NAMES"}]'
        run.googleapis.com/vpc-access-egress: EGRESS_SETTING
    spec:
      containers:
      - image: IMAGE
```
Sostituisci:
- SERVICE_NAME con il nome del tuo servizio Cloud Run. I nomi dei servizi devono contenere al massimo 49 caratteri e devono essere univoci per ogni regione e progetto.
- REGION con la regione per il servizio Cloud Run, che deve corrispondere a quella della subnet.
- NETWORK con il nome della tua rete VPC condiviso.
- SUBNET_NAME con il nome della tua subnet.
- (Facoltativo) NETWORK_TAG_NAMES con i nomi dei tag di rete da associare a un servizio. Per i servizi, i tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere tag di rete diversi, ad esempio network-tag-2.
- EGRESS_SETTING con un valore di impostazione del traffico in uscita:
  - all-traffic: invia tutto il traffico in uscita attraverso la rete VPC condiviso.
  - private-ranges-only: invia solo il traffico agli indirizzi interni tramite la reteVPC condivisoa.
- IMAGE con l'URL dell'immagine del container di servizio.
Crea o aggiorna il servizio utilizzando il comando seguente:
```
gcloud run services replace service.yaml
```

Terraform

Per scoprire come applicare o rimuovere una configurazione Terraform, vedi Comandi Terraform di base.

Aggiungi quanto segue al tuo file main.tf:

/**
 * Copyright 2024 Google LLC
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *      http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

# Example configuration of a Cloud Run service with direct VPC

resource "google_cloud_run_v2_service" "default" {
  name     = "cloudrun-service"
  location = "us-central1"

  template {
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello"
    }
    vpc_access {
      network_interfaces {
        network    = "default"
        subnetwork = "default"
        tags       = ["tag1", "tag2", "tag3"]
      }
    }
  }
}

Facoltativamente, rendi pubblico il servizio se vuoi consentire l'accesso non autenticato al servizio.

Crea un job

Il traffico VPC diretto in uscita consente al job Cloud Run di inviare traffico a una rete VPC condiviso senza un connettore di accesso VPC serverless.

Puoi configurare il traffico VPC diretto in uscita con un job utilizzando la console Google Cloud, Google Cloud CLI o YAML.

Console

Vai a Cloud Run
Se stai configurando un nuovo job, fai clic sulla scheda Job e compila la pagina iniziale delle impostazioni del job in base alle tue esigenze. Se stai configurando un job esistente, fai clic sul job e poi su Modifica.
Fai clic su Container, variabili e secret, connessioni, sicurezza per espandere la pagina delle proprietà del job.
Fai clic sulla scheda Connessioni.
Fai clic su Connettiti a un VPC per il traffico in uscita.
Fai clic su Invia il traffico direttamente a un VPC.
Seleziona Reti condivise con me.
Nel campo Rete, seleziona la rete VPC condiviso a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il job riceve gli indirizzi IP.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare a un job. Per i job, i tag di rete vengono specificati a livello di esecuzione. Ogni esecuzione del job può avere tag di rete diversi, ad esempio network-tag-2.
Per Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo le richieste a IP privati per inviare solo il traffico agli indirizzi interni tramite la rete VPC condiviso.
- Instrada tutto il traffico al VPC per inviare tutto il traffico in uscita attraverso la rete VPC condiviso.
Fai clic su Crea o Aggiorna.
Per verificare che si trovi sulla rete VPC condiviso, fai clic sul job, quindi sulla scheda Configurazione. La rete e la subnet sono elencate nella scheda VPC.

Ora puoi eseguire il tuo job Cloud Run e inviare richieste dal job a qualsiasi risorsa sulla rete VPC condiviso, come consentito dalle regole firewall.

gcloud

Per posizionare il job nella subnet condivisa, specifica i nomi completi delle risorse per la rete e la subnet VPC condiviso condivise eseguendo questo comando:

gcloud run jobs create JOB_NAME \
  --image IMAGE_URL \
  --network projects/HOST_PROJECT_ID/global/networks/VPC_NETWORK \
  --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \
  --network-tags NETWORK_TAG_NAMES \
  --vpc-egress=EGRESS_SETTING \
  --region REGION \

Sostituisci quanto segue:

JOB_NAME: il nome del tuo job Cloud Run.
IMAGE_URL: l'URL dell'immagine del job.
HOST_PROJECT_ID: l'ID del progetto host del VPC condiviso.
VPC_NETWORK: il nome della tua rete VPC condiviso.
REGION: la regione per il job Cloud Run, che deve corrispondere alla regione della subnet.
SUBNET_NAME: il nome della subnet.
(Facoltativo) NETWORK_TAG_NAMES con i nomi separati da virgole dei tag di rete che vuoi associare a un job. Ogni esecuzione del job può avere diversi tag di rete, ad esempio network-tag-2.
EGRESS_SETTING con un valore di impostazione del traffico in uscita:
- all-traffic: invia tutto il traffico in uscita attraverso la rete VPC condiviso.
- private-ranges-only: invia solo il traffico agli indirizzi interni tramite la reteVPC condivisoa.

Per ulteriori dettagli e argomenti facoltativi, consulta la documentazione di riferimento di gcloud.

YAML

Se stai creando un nuovo job, salta questo passaggio. Se stai aggiornando un job esistente, scarica la relativa configurazione YAML:
```
gcloud run jobs describe JOB_NAME --format export > job.yaml
```
Aggiorna i seguenti attributi:
```
apiVersion: run.googleapis.com/v1
kind: Job
metadata:
  name: JOB_NAME
  annotations:
    run.googleapis.com/launch-stage: BETA
  labels:
    cloud.googleapis.com/location: REGION
spec:
  template:
    metadata:
      annotations:
        run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET","tags":"NETWORK_TAG_NAMES"}]'
        run.googleapis.com/vpc-access-egress: EGRESS_SETTING
    spec:
      containers:
      - image: IMAGE
```
Sostituisci:
- JOB_NAME con il nome del tuo job Cloud Run. I nomi dei job devono contenere al massimo 49 caratteri e devono essere univoci per ogni regione e progetto.
- REGION con la regione per il job Cloud Run, che deve corrispondere alla regione della subnet.
- NETWORK con il nome della tua rete VPC condiviso.
- SUBNET con il nome della tua subnet.
- (Facoltativo) NETWORK_TAG_NAMES con i nomi dei tag di rete da associare a un job. Per i job, i tag di rete vengono specificati a livello di esecuzione. Ogni esecuzione del job può avere tag di rete diversi, ad esempio network-tag-2.
- EGRESS_SETTING con un valore di impostazione del traffico in uscita:
  - all-traffic: invia tutto il traffico in uscita attraverso la rete VPC condiviso.
  - private-ranges-only: invia solo il traffico agli indirizzi interni tramite la reteVPC condivisoa.
- IMAGE con l'URL dell'immagine container del job.
Crea o aggiorna il job utilizzando il comando seguente:
```
gcloud run jobs replace job.yaml
```

Scollegare un servizio

Console

Per rimuovere il tuo servizio dalla rete VPC condiviso:
1. Vai a Cloud Run
2. Fai clic sul servizio da rimuovere e poi su Modifica ed esegui il deployment di una nuova revisione.
3. Fai clic sulla scheda Networking.
4. Deseleziona Connetti a un VPC per il traffico in uscita.
5. Fai clic su Esegui il deployment.
6. Per verificare che il tuo servizio non sia più nella tua rete VPC condiviso, fai clic sulla scheda Networking. La rete e la subnet non sono più elencate nella scheda VPC.
Per rimuovere solo i tag di rete mantenendo il servizio connesso alla rete VPC condiviso:
1. Fai clic sul servizio che contiene i tag di rete che vuoi rimuovere, poi fai clic su Modifica ed esegui il deployment di una nuova revisione.
2. Fai clic sulla scheda Networking.
3. Cancella i nomi dei tag di rete che non vuoi più associare al tuo servizio.
4. Fai clic su Esegui il deployment.

gcloud

Per rimuovere il tuo servizio dalla rete VPC condiviso, esegui questo comando:

gcloud run services update SERVICE_NAME --region=REGION \
--clear-network

Per rimuovere solo i tag di rete mantenendo il servizio connesso alla rete VPC condiviso, esegui questo comando:
```
gcloud run services update SERVICE_NAME --region=REGION \
--clear-network-tags
```
Sostituisci quanto segue:
- SERVICE_NAME: il nome del tuo servizio Cloud Run.
- REGION: la regione per il tuo servizio Cloud Run.

YAML

Per rimuovere il tuo servizio dalla rete VPC condiviso:
1. Scarica la configurazione YAML del servizio:
```
gcloud run services describe SERVICE_NAME --format export > service.yaml
```
2. Rimuovi i seguenti contenuti dal file service.yaml:
```
run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET","tags":"NETWORK_TAG_NAMES"}]'
```
  Dove
  - NETWORK: il nome della tua rete VPC condiviso.
  - SUBNET: il nome della subnet.
  - (Facoltativo) NETWORK_TAG_NAMES: i nomi dei tag di rete se li hai associati a un servizio.
3. Aggiorna il servizio utilizzando il comando seguente:
```
gcloud run services replace service.yaml
```
Per rimuovere solo i tag di rete mantenendo il servizio connesso alla rete VPC condiviso:
1. Scarica la configurazione YAML del servizio:
```
gcloud run services describe SERVICE_NAME --format export > service.yaml
```
2. Rimuovi la variabile tags dai contenuti del file service.yaml, lasciando invariate le variabili network e subnetwork, come mostrato nell'esempio seguente:
```
run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET"}]'
```
  Sostituisci quanto segue:
  - NETWORK: il nome della tua rete VPC condiviso.
  - SUBNET: il nome della subnet.
3. Aggiorna il servizio utilizzando il comando seguente:
```
gcloud run services replace service.yaml
```

Scollega un job

Console

Per rimuovere il job dalla rete VPC condiviso:
1. Vai a Cloud Run
2. Fai clic sul job da rimuovere, quindi su Modifica ed esegui il deployment di una nuova revisione.
3. Fai clic sulla scheda Configuration (Configurazione).
4. Deseleziona Connetti a un VPC per il traffico in uscita.
5. Fai clic su Update (Aggiorna).
6. Per verificare che il job non sia più nella tua rete VPC condiviso, fai clic sulla scheda Configurazione. La rete e la subnet non sono più elencate nella scheda VPC.
Per rimuovere solo i tag di rete mantenendo il job connesso alla reteVPC condivisoa:
1. Fai clic sul job che contiene i tag di rete che vuoi rimuovere, poi fai clic su Modifica ed esegui il deployment di una nuova revisione.
2. Fai clic sulla scheda Connessioni.
3. Cancella i nomi dei tag di rete che non vuoi più associare al tuo job.
4. Fai clic su Update (Aggiorna).

gcloud

Per rimuovere il job dalla rete VPC condiviso, esegui questo comando:

gcloud run jobs update JOB_NAME --region=REGION \
  --clear-network

Per rimuovere solo i tag di rete mantenendo il job connesso alla rete VPC condiviso, esegui questo comando:
```
gcloud run jobs update JOB_NAME --region=REGION \
  --clear-network-tags
  
```
Sostituisci quanto segue:
- JOB_NAME: il nome del tuo job Cloud Run.
- REGION: la regione per il tuo job Cloud Run.

YAML

Per rimuovere il job dalla rete VPC condiviso:
1. Scarica la configurazione YAML del job:
```
gcloud run jobs describe JOB_NAME --format export > job.yaml
```
2. Rimuovi i seguenti contenuti dal file job.yaml:
```
run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET","tags":"NETWORK_TAG_NAMES"}]'
```
  Dove
  - NETWORK: il nome della tua rete VPC condiviso.
  - SUBNET: il nome della subnet.
  - (Facoltativo) NETWORK_TAG_NAMES: i nomi dei tag di rete se li hai associati a un job.
3. Aggiorna il job utilizzando il comando seguente:
```
gcloud run jobs replace job.yaml
```
Per rimuovere solo i tag di rete mantenendo il job connesso alla reteVPC condivisoa:
1. Scarica la configurazione YAML del job:
```
gcloud run jobs describe JOB_NAME --format export > job.yaml
```
2. Rimuovi i seguenti contenuti dal file job.yaml:
```
run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET","tags":"NETWORK_TAG_NAMES"}]'
```
  Dove
  - NETWORK: il nome della tua rete VPC condiviso.
  - SUBNET: il nome della subnet.
  - (Facoltativo) NETWORK_TAG_NAMES: i nomi dei tag di rete se li hai associati a un job.
3. Aggiorna il job utilizzando il comando seguente:
```
gcloud run jobs replace job.yaml
```

Risoluzione dei problemi

Impossibile eliminare la subnet

Per eliminare una subnet, devi prima eliminare tutte le risorse che la utilizzano. Se Cloud Run utilizza una subnet, devi scollegare Cloud Run dalla rete VPC condiviso o spostarlo in un'altra subnet prima di eliminare la subnet.

Impossibile scollegare la rete VPC condiviso

Per scollegare la rete VPC condivisa nel progetto host, segui i passaggi per eseguire il deprovisioning di un VPC condiviso e assicurati di disconnettere eventuali servizi o job Cloud Run dalla rete VPC condivisa.

Per vedere quali risorse Cloud Run utilizzano la rete VPC condiviso, esegui questo comando:

gcloud compute shared-vpc list-associated-resources HOST_PROJECT_ID

Sostituisci HOST_PROJECT_ID con l'ID del progetto host del VPC condiviso.

La subnet VPC diretta esaurisce gli indirizzi IP

Se la subnet della rete VPC condiviso esaurisce gli indirizzi IP, viene registrata da Cloud Logging. In questo caso, Cloud Run non può avviare altre istanze di servizio o attività di job finché non sono disponibili altri indirizzi IP.

Visualizza gli indirizzi IP allocati

Per vedere quali indirizzi IP sono stati allocati da Cloud Run, vai alla pagina Indirizzi IP nella console Google Cloud o esegui il comando seguente da Google Cloud CLI:

gcloud compute addresses list