Dirección IP de salida estática

gcloud

1. Crea un router de Cloud para programar una pasarela de Cloud NAT:

   gcloud compute routers create ROUTER_NAME \
     --network=NETWORK_NAME \
     --region=REGION

   Haz los cambios siguientes:

   • ROUTER_NAME: nombre del recurso de Cloud Router que quieras crear.
   • NETWORK_NAME: el nombre de la red VPC que has encontrado antes.
   • REGION: la región en la que quieres crear una pasarela de Cloud NAT.

2. Reserva una dirección IP estática. Un recurso de dirección IP reservada conserva la dirección IP subyacente cuando se elimina y se vuelve a crear el recurso al que está asociado:

   gcloud compute addresses create ORIGIN_IP_NAME --region=REGION

   Haz los cambios siguientes:

   • ORIGIN_IP_NAME: el nombre que quieras asignar al recurso de dirección IP.
   • REGION: la región en la que se ejecutará el router de Cloud NAT. Usa la misma región que tu servicio de Cloud Run para minimizar la latencia y los costes de red.

3. Crea una configuración de pasarela Cloud NAT en este router para enrutar el tráfico procedente de la red de VPC mediante la dirección IP estática que has creado:

   gcloud compute routers nats create NAT_NAME \
     --router=ROUTER_NAME \
     --region=REGION \
     --nat-custom-subnet-ip-ranges=SUBNET_NAME \
     --nat-external-ip-pool=ORIGIN_IP_NAME

   Haz los cambios siguientes:

   • NAT_NAME: nombre del recurso de pasarela Cloud NAT que quieras crear.
   • ROUTER_NAME: el nombre de tu Cloud Router.
   • REGION: la región en la que quieres crear una pasarela de Cloud NAT.
   • SUBNET_NAME: el nombre de tu subred.
   • ORIGIN_IP_NAME: el nombre del recurso de dirección IP reservada que has creado en el paso anterior.

Terraform

Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform.

1. Crea un router de Cloud para programar una pasarela de Cloud NAT:

   resource "google_compute_router" "default" {
     name    = "cr-static-ip-router"
     network = google_compute_network.default.name
     region  = google_compute_subnetwork.default.region
   }

   Sustituye cr-static-ip-router por el nombre de tu subred.

2. Reserva una dirección IP estática. Un recurso de dirección IP reservada conserva la dirección IP subyacente cuando se elimina y se vuelve a crear el recurso al que está asociado:

   resource "google_compute_address" "default" {
     name   = "cr-static-ip-addr"
     region = google_compute_subnetwork.default.region
   }

   Sustituye cr-static-ip-addr por el nombre de tu subred.

3. Crea una configuración de pasarela Cloud NAT en este router para enrutar el tráfico procedente de la red de VPC mediante la dirección IP estática que has creado:

   resource "google_compute_router_nat" "default" {
     name   = "cr-static-nat"
     router = google_compute_router.default.name
     region = google_compute_subnetwork.default.region
   
     nat_ip_allocate_option = "MANUAL_ONLY"
     nat_ips                = [google_compute_address.default.self_link]
   
     source_subnetwork_ip_ranges_to_nat = "LIST_OF_SUBNETWORKS"
     subnetwork {
       name                    = google_compute_subnetwork.default.id
       source_ip_ranges_to_nat = ["ALL_IP_RANGES"]
     }
   }

   Sustituye cr-static-nat por el nombre de tu pasarela de Cloud NAT.

gcloud

Salida de VPC directa

Para desplegar o actualizar tu servicio de Cloud Run para que use la salida de VPC directa y enrute todo el tráfico de salida a través de ella, ejecuta el siguiente comando:

gcloud run deploy SERVICE_NAME 

    --image=IMAGE_URL 

    --network=NETWORK 

    --subnet=SUBNET 

    --region=REGION 

    --vpc-egress=all-traffic

Haz los cambios siguientes:

• SERVICE_NAME: el nombre del servicio de Cloud Run que quieres desplegar.
• IMAGE_URL: una referencia a la imagen del contenedor, por ejemplo, us-docker.pkg.dev/cloudrun/container/hello:latest. Si usas Artifact Registry, el repositorio REPO_NAME ya debe estar creado. La URL sigue el formato LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG .
• NETWORK: el nombre de tu red de VPC.
• SUBNET: el nombre de tu subred.
• REGION: una región para tu servicio.

Conector de Acceso a VPC sin servidor

Para implementar o actualizar tu servicio de Cloud Run para que use un conector de acceso a VPC sin servidor y enrutar todo el tráfico de salida a través de él, ejecuta el siguiente comando:

gcloud run deploy SERVICE_NAME 

    --image=IMAGE_URL 

    --vpc-connector=CONNECTOR_NAME 

    --region=REGION 

    --vpc-egress=all-traffic

Haz los cambios siguientes:

• SERVICE_NAME: el nombre del servicio de Cloud Run que quieres desplegar.
• IMAGE_URL: una referencia a la imagen del contenedor, por ejemplo, us-docker.pkg.dev/cloudrun/container/hello:latest. Si usas Artifact Registry, el repositorio REPO_NAME ya debe estar creado. La URL sigue el formato LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG .
• CONNECTOR_NAME: el nombre de tu conector de acceso a VPC sin servidor.
• REGION: una región para tu servicio.

YAML

Salida de VPC directa

1. Si va a crear un servicio, puede saltarse este paso. Si va a actualizar un servicio, descargue su configuración YAML:

   gcloud run services describe SERVICE --format export > service.yaml

2. Haga los cambios necesarios.

   apiVersion: serving.knative.dev/v1
   kind: Service
   metadata:
     name: SERVICE
   spec:
     template:
       metadata:
         annotations:
           run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET"}]'
           run.googleapis.com/vpc-access-egress: all-traffic
       spec:
         containers:
         - image: IMAGE_URL

   Haz los cambios siguientes:

   • SERVICE: nombre del servicio de Cloud Run.
   • NETWORK: el nombre de tu red de VPC.
   • SUBNET: el nombre de tu subred.
   • IMAGE_URL: la URL de la imagen del contenedor de tu servicio.

3. Crea o actualiza el servicio con el siguiente comando:

   gcloud run services replace service.yaml

Conector de Acceso a VPC sin servidor

1. Si va a crear un servicio, puede saltarse este paso. Si va a actualizar un servicio, descargue su configuración YAML:

   gcloud run services describe SERVICE --format export > service.yaml

2. Haga los cambios necesarios.

   apiVersion: serving.knative.dev/v1
   kind: Service
   metadata:
     name: SERVICE
   spec:
     template:
       metadata:
         annotations:
           run.googleapis.com/vpc-access-connector: CONNECTOR_NAME
       spec:
         containers:
         - image: IMAGE_URL

   Haz los cambios siguientes:

   • SERVICE: nombre del servicio de Cloud Run.
   • CONNECTOR_NAME: el nombre de tu red de acceso a VPC sin servidor.
   • IMAGE_URL: una referencia a la imagen del contenedor, por ejemplo, us-docker.pkg.dev/cloudrun/container/hello:latest. Si usas Artifact Registry, el repositorio REPO_NAME ya debe estar creado. La URL sigue el formato LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG .

3. Crea o actualiza el servicio con el siguiente comando:

   gcloud run services replace service.yaml

Terraform

Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform.

Este servicio de Cloud Run usa un conector de VPC y dirige todo el tráfico de salida a través de él:

resource "google_cloud_run_v2_service" "default" {
  name     = "cr-static-ip-service"
  location = google_compute_subnetwork.default.region

  deletion_protection = false # set to "true" in production

  template {
    containers {
      # Replace with the URL of your container
      #   gcr.io/<YOUR_GCP_PROJECT_ID>/<YOUR_CONTAINER_NAME>
      image = "us-docker.pkg.dev/cloudrun/container/hello"
    }
    scaling {
      max_instance_count = 5
    }
    vpc_access {
      connector = google_vpc_access_connector.default.id
      egress    = "ALL_TRAFFIC"
    }
  }
  ingress = "INGRESS_TRAFFIC_ALL"

}

Sustituye us-docker.pkg.dev/cloudrun/container/hello por una referencia a la imagen de tu contenedor.