Indirizzo IP in uscita statico

gcloud

1. Crea un nuovo router Cloud per programmare un gateway Cloud NAT:

   gcloud compute routers create ROUTER_NAME \
     --network=NETWORK_NAME \
     --region=REGION

   Sostituisci quanto segue:

   • ROUTER_NAME: un nome per la risorsa router Cloud che vuoi creare.
   • NETWORK_NAME: il nome della rete VPC che hai trovato in precedenza.
   • REGION: la regione in cui vuoi creare un gateway Cloud NAT.

2. Prenota un indirizzo IP statico. Una risorsa indirizzo IP riservato conserva l'indirizzo IP sottostante quando la risorsa a cui è associata viene eliminata e ricreata:

   gcloud compute addresses create ORIGIN_IP_NAME --region=REGION

   Sostituisci quanto segue:

   • ORIGIN_IP_NAME: il nome che vuoi assegnare alla risorsa dell'indirizzo IP.
   • REGION: la regione in cui verrà eseguito il router Cloud NAT. Utilizza la stessa regione del tuo servizio Cloud Run per ridurre al minimo la latenza e i costi di rete.

3. Crea una configurazione del gateway Cloud NAT su questo router per instradare il traffico proveniente dalla rete VPC utilizzando l'indirizzo IP statico che hai creato:

   gcloud compute routers nats create NAT_NAME \
     --router=ROUTER_NAME \
     --region=REGION \
     --nat-custom-subnet-ip-ranges=SUBNET_NAME \
     --nat-external-ip-pool=ORIGIN_IP_NAME

   Sostituisci quanto segue:

   • NAT_NAME: un nome per la risorsa gateway Cloud NAT che vuoi creare.
   • ROUTER_NAME: il nome del tuo router Cloud.
   • REGION: la regione in cui vuoi creare un gateway Cloud NAT.
   • SUBNET_NAME: il nome della subnet.
   • ORIGIN_IP_NAME: il nome della risorsa dell'indirizzo IP riservato che hai creato nel passaggio precedente.

Terraform

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

1. Crea un nuovo router Cloud per programmare un gateway Cloud NAT:

   resource "google_compute_router" "default" {
     name    = "cr-static-ip-router"
     network = google_compute_network.default.name
     region  = google_compute_subnetwork.default.region
   }

   Sostituisci cr-static-ip-router con il nome della tua subnet.

2. Prenota un indirizzo IP statico. Una risorsa indirizzo IP riservato conserva l'indirizzo IP sottostante quando la risorsa a cui è associata viene eliminata e ricreata:

   resource "google_compute_address" "default" {
     name   = "cr-static-ip-addr"
     region = google_compute_subnetwork.default.region
   }

   Sostituisci cr-static-ip-addr con il nome della tua subnet.

3. Crea una configurazione del gateway Cloud NAT su questo router per instradare il traffico proveniente dalla rete VPC utilizzando l'indirizzo IP statico che hai creato:

   resource "google_compute_router_nat" "default" {
     name   = "cr-static-nat"
     router = google_compute_router.default.name
     region = google_compute_subnetwork.default.region
   
     nat_ip_allocate_option = "MANUAL_ONLY"
     nat_ips                = [google_compute_address.default.self_link]
   
     source_subnetwork_ip_ranges_to_nat = "LIST_OF_SUBNETWORKS"
     subnetwork {
       name                    = google_compute_subnetwork.default.id
       source_ip_ranges_to_nat = ["ALL_IP_RANGES"]
     }
   }

   Sostituisci cr-static-nat con il nome del tuo gateway Cloud NAT.

gcloud

VPC diretto in uscita

Per eseguire il deployment o l'aggiornamento del servizio Cloud Run in modo che utilizzi l'uscita VPC diretto e instradi tutto il traffico in uscita, esegui questo comando:

gcloud run deploy SERVICE_NAME 

    --image=IMAGE_URL 

    --network=NETWORK 

    --subnet=SUBNET 

    --region=REGION 

    --vpc-egress=all-traffic

Sostituisci quanto segue:

• SERVICE_NAME: il nome del servizio Cloud Run che vuoi eseguire il deployment.
• IMAGE_URL: un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest. Se utilizzi Artifact Registry, il repository REPO_NAME deve essere già stato creato. L'URL segue il formato LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG .
• NETWORK: il nome della tua rete VPC.
• SUBNET: il nome della subnet.
• REGION: una regione per il servizio.

Connettore di accesso VPC serverless

Per eseguire il deployment o l'aggiornamento del servizio Cloud Run in modo che utilizzi un connettore di accesso VPC serverless e instradi tutto il traffico in uscita, esegui questo comando:

gcloud run deploy SERVICE_NAME 

    --image=IMAGE_URL 

    --vpc-connector=CONNECTOR_NAME 

    --region=REGION 

    --vpc-egress=all-traffic

Sostituisci quanto segue:

• SERVICE_NAME: il nome del servizio Cloud Run che vuoi eseguire il deployment.
• IMAGE_URL: un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest. Se utilizzi Artifact Registry, il repository REPO_NAME deve essere già stato creato. L'URL segue il formato LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG .
• CONNECTOR_NAME: il nome del connettore di accesso VPC serverless.
• REGION: una regione per il servizio.

YAML

VPC diretto in uscita

1. Se stai creando un nuovo servizio, salta questo passaggio. Se stai aggiornando un servizio esistente, scarica la relativa configurazione YAML:

   gcloud run services describe SERVICE --format export > service.yaml

2. Aggiorna se necessario.

   apiVersion: serving.knative.dev/v1
   kind: Service
   metadata:
     name: SERVICE
   spec:
     template:
       metadata:
         annotations:
           run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET"}]'
           run.googleapis.com/vpc-access-egress: all-traffic
       spec:
         containers:
         - image: IMAGE_URL

   Sostituisci quanto segue:

   • SERVICE: il nome del servizio Cloud Run.
   • NETWORK: il nome della tua rete VPC.
   • SUBNET: il nome della subnet.
   • IMAGE_URL: l'URL dell'immagine del contenitore del servizio.

3. Crea o aggiorna il servizio utilizzando il seguente comando:

   gcloud run services replace service.yaml

Connettore di accesso VPC serverless

1. Se stai creando un nuovo servizio, salta questo passaggio. Se stai aggiornando un servizio esistente, scarica la relativa configurazione YAML:

   gcloud run services describe SERVICE --format export > service.yaml

2. Aggiorna se necessario.

   apiVersion: serving.knative.dev/v1
   kind: Service
   metadata:
     name: SERVICE
   spec:
     template:
       metadata:
         annotations:
           run.googleapis.com/vpc-access-connector: CONNECTOR_NAME
       spec:
         containers:
         - image: IMAGE_URL

   Sostituisci quanto segue:

   • SERVICE: il nome del servizio Cloud Run.
   • CONNECTOR_NAME: il nome della tua rete di accesso VPC serverless.
   • IMAGE_URL: un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest. Se utilizzi Artifact Registry, il repository REPO_NAME deve essere già stato creato. L'URL segue il formato LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG .

3. Crea o aggiorna il servizio utilizzando il seguente comando:

   gcloud run services replace service.yaml

Terraform

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Questo servizio Cloud Run utilizza un connettore VPC e instrada tutto il traffico in uscita attraverso di esso:

resource "google_cloud_run_v2_service" "default" {
  name     = "cr-static-ip-service"
  location = google_compute_subnetwork.default.region

  deletion_protection = false # set to "true" in production

  template {
    containers {
      # Replace with the URL of your container
      #   gcr.io/<YOUR_GCP_PROJECT_ID>/<YOUR_CONTAINER_NAME>
      image = "us-docker.pkg.dev/cloudrun/container/hello"
    }
    scaling {
      max_instance_count = 5
    }
    vpc_access {
      connector = google_vpc_access_connector.default.id
      egress    = "ALL_TRAFFIC"
    }
  }
  ingress = "INGRESS_TRAFFIC_ALL"

}

Sostituisci us-docker.pkg.dev/cloudrun/container/hello con un riferimento all'immagine container.