Questa pagina è stata tradotta dall'API Cloud Translation.

Uscita VPC diretta con una rete VPC

Puoi consentire al servizio o al job Cloud Run di inviare traffico a una rete VPC utilizzando il traffico VPC diretto in uscita senza dover utilizzare un connettore di accesso VPC serverless.

Prima di iniziare

Se non hai ancora una rete VPC nel progetto, creane una.
Se utilizzi VPC condiviso, consulta Connessione a una rete VPC condivisa.
Se utilizzi una subnet VPC, la subnet deve essere di almeno /24.
Per assicurarti di avere a disposizione un numero sufficiente di indirizzi IP da utilizzare in Cloud Run, tieni presente le seguenti condizioni:
- La subnet in cui prevedi di eseguire il deployment di servizi o revisioni Cloud Run deve avere almeno alcune centinaia di indirizzi IP disponibili.
- In stato stazionario, se il numero totale di istanze Cloud Run che utilizzano la sottorete è pari o superiore a 100, prenota indirizzi IP sufficienti per almeno 4 volte (4 volte) il numero di istanze. Quando una revisione viene ridotta, tieni presente che Cloud Run conserva i suoi indirizzi IP per un massimo di 20 minuti. Ad esempio, se esegui l'upgrade delle revisioni in modo che revision 1 esegui il ridimensionamento da 100 istanze a zero, mentre revision 2 esegui il ridimensionamento da zero a 100, Cloud Run conserva gli indirizzi IP di revision 1 per un massimo di 20 minuti dopo il ridimensionamento verso il basso. In questo caso, durante il periodo di 20 minuti, devi prenotare almeno 800 indirizzi IP ((100 + 100) * 4).

Limitazioni

Le seguenti limitazioni si applicano sia ai servizi che ai job Cloud Run:

Cloud Run supporta un throughput fino a 1 Gbps per singola istanza. Se si supera questa quantità, le prestazioni vengono limitate.
Una quota di utilizzo di Cloud Run limita il numero massimo di istanze che puoi configurare per utilizzare il traffico in uscita VPC diretto. Il numero massimo è configurato per revisione o esecuzione del job Cloud Run. Per aumentare i limiti predefiniti, consulta come aumentare le quote. Puoi controllare la tua quota utilizzando la console Google Cloud.
I servizi e i job Cloud Run potrebbero subire interruzioni di connessione durante gli eventi di manutenzione dell'infrastruttura di rete. Ti consigliamo di utilizzare librerie client in grado di gestire occasionali reimpostazioni della connessione.

Le seguenti limitazioni si applicano solo ai job Cloud Run e non ai servizi:

Il traffico VPC in uscita diretto per i job Cloud Run è disponibile solo in anteprima.
Per garantire l'esecuzione corretta dei job, utilizza l'uscita VPC diretta solo per i job che non richiedono più di 8 istanze simultanee e assicurati di prenotare almeno 1024 indirizzi IP.

I seguenti elementi non sono supportati dall'egress VPC diretto:

I log di flusso VPC non forniscono il nome del servizio o della revisione Cloud Run.
I log di flusso VPC non vengono registrati da risorse non VM come Cloud Run o macchine on-premise.
Logging delle regole firewall
Mirroring pacchetto
Network Intelligence Center
Traffico IPv6
NAT privato
Utilizzo dei tag di rete nelle regole firewall in entrata applicate alla risorsa di destinazione.
Utilizzo dell'identità di servizio come account di servizio di origine nelle regole del firewall in entrata applicate alla risorsa di destinazione.
Le regole del firewall non possono utilizzare i tag Resource Manager associati ai carichi di lavoro Cloud Run.
I job Cloud Run che vengono eseguiti per più di un'ora potrebbero subire interruzioni della connessione. Questi possono verificarsi durante gli eventi di manutenzione che eseguono la migrazione del job da una macchina all'altra. Il contenitore riceve un SIGTSTP segnale 10 secondi prima dell'evento e un SIGCONT segnale dopo l'evento. Dopo che il contenitore ha ricevuto il segnale SIGCONT, riprova a connetterti.

Allocazione degli indirizzi IP

Per posizionare il servizio o il job Cloud Run su una rete VPC, devi specificare una rete e una subnet. Cloud Run alloca gli indirizzi IP della tua subnet.

Gli indirizzi IP sono temporanei, quindi non creare criteri in base a singoli IP. Se devi creare un criterio in base agli IP, ad esempio nelle regole firewall, devi utilizzare l'intervallo di indirizzi IP dell'intera subnet.

Per modificare la rete o la subnet utilizzata dal servizio o dal job, esegui il deployment di una nuova revisione del servizio o esegui una nuova attività del job che utilizzi i nuovi valori di rete e subnet.

Scale up

Per consentire un rapido ridimensionamento in caso di picco di traffico, Cloud Run alloca gli indirizzi IP prima che siano necessari.

In un determinato momento, è probabile che esistano più indirizzi IP allocati rispetto al numero di istanze esistenti. Per assicurarti che Cloud Run possa ottenere indirizzi IP sufficienti, assicurati che la tua subnet abbia almeno qualche centinaio di indirizzi IP disponibili. Se il numero totale di istanze della sottorete in tutti i servizi e i job Cloud Run supera 100, ti consigliamo di avere almeno quattro volte (4 volte) il numero totale disponibile. Se Cloud Run non riesce ad allocare altri indirizzi IP, non può avviare altre istanze di servizio o attività di job finché non saranno disponibili altri indirizzi IP. Se lo spazio degli indirizzi IP è limitato, consulta Intervalli IP supportati per altre opzioni. Per l'efficienza e la facilità di gestione dell'allocazione IP, posiziona più servizi o job nella stessa sottorete.

Scalabilità verso il basso

Anche dopo che tutti i servizi o i job fare lo scale down a zero, Cloud Run preleva alcuni indirizzi IP dalla subnet per un massimo di 20 minuti nel caso in cui i servizi o i job debbano essere scalati di nuovo rapidamente. Ogni istanza richiede un indirizzo IP, ma Cloud Run riserva una subnet mask minima di /28 all'inizio. Una volta esaurite tutte le 16 istanze, Cloud Run crea una nuova sottorete.

Per eliminare la sottorete, devi prima eliminare o eseguire nuovamente il deployment dei servizi o dei job Cloud Run per interrompere l'utilizzo della sottorete, quindi attendere 1-2 ore.

Intervalli IP supportati

Cloud Run supporta i seguenti intervalli IPv4 per la tua subnet:

RFC 1918 (consigliato)
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
RFC 6598
- 100.64.0.0/10
Classe E (non consigliata per le configurazioni on-premise)
- 240.0.0.0/4

Configura le autorizzazioni IAM

Assicurati che Cloud Run abbia accesso alla rete VPC utilizzando uno dei seguenti metodi:

Ruolo Agente di servizio Cloud Run: per impostazione predefinita, l'agente di servizio Cloud Run ha il ruolo Agente di servizio Cloud Run (roles/run.serviceAgent) che contiene le autorizzazioni necessarie.
Autorizzazioni personalizzate: per un controllo più granulare, concedi all'agente di servizio Cloud Run le seguenti autorizzazioni aggiuntive sul progetto:
- compute.networks.get
- compute.subnetworks.get
- compute.subnetworks.use nel progetto o nella subnet specifica
- compute.addresses.get
- compute.addresses.list
- compute.addresses.createInternal
- compute.addresses.deleteInternal
Ruolo Utente di rete Compute: se non utilizzi il ruolo Agente di servizio Cloud Run predefinito o le autorizzazioni personalizzate, concedi il ruolo Utente di rete Compute (roles/compute.networkUser) all'account di servizio Agente di servizio Cloud Run eseguendo il seguente comando:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com" \
--role "roles/compute.networkUser"
```
Sostituisci quanto segue:
- PROJECT_ID: l'ID del progetto.
- PROJECT_NUMBER: il numero del progetto in cui viene eseguito il deployment del servizio o del job Cloud Run.

Esegui il deployment di un servizio

Il traffico VPC diretto in uscita consente al servizio Cloud Run di inviare traffico a una rete VPC senza un connettore di accesso VPC serverless. I costi di rete si azzerano, proprio come il servizio stesso. Puoi anche aggiungere tag di rete direttamente nelle revisioni del servizio Cloud Run per una sicurezza di rete più granulare, ad esempio applicando regole del firewall VPC.

Puoi configurare l'egress diretto della VPC con un servizio utilizzando la console Google Cloud, Google Cloud CLI, YAML o Terraform.

Console

Vai a Cloud Run
Fai clic su Crea servizio se stai configurando un nuovo servizio di destinazione del deployment. Se stai configurando ed eseguendo il deployment di un servizio esistente, fai clic sul servizio, quindi su Modifica ed esegui il deployment di una nuova revisione.
Se stai configurando un nuovo servizio, compila la pagina iniziale delle impostazioni del servizio in base alle tue esigenze, quindi fai clic su Contenitori, volumi, networking, sicurezza per espandere la pagina di configurazione del servizio.
Fai clic sulla scheda Networking.
Fai clic su Connettiti a un VPC per il traffico in uscita.
Fai clic su Invia il traffico direttamente a un VPC.
Nel campo Rete, seleziona la rete VPC a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il servizio riceve gli indirizzi IP. Puoi eseguire il deployment di più servizi nella stessa subnet.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare al tuo servizio o ai tuoi servizi. I tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere diversi tag di rete, ad esempio network-tag-2.
Per Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo richieste a IP privati per inviare solo trafico agli indirizzi interni tramite la rete VPC.
- Instrada tutto il traffico al VPC per inviare tutto il traffico in uscita tramite la rete VPC.
Fai clic su Crea o Esegui il deployment.
Per verificare che il servizio si trovi sulla rete VPC, fai clic sul servizio, quindi sulla scheda Networking. La rete e la subnet sono elencate nella scheda VPC.

Ora puoi inviare richieste dal tuo servizio Cloud Run a qualsiasi risorsa sulla rete VPC, come consentito dalle regole del firewall.

gcloud

Per eseguire il deployment di un servizio Cloud Run senza un connettore da Google Cloud CLI:

Aggiorna i componenti di gcloud alla versione più recente:
```
gcloud components update
```
Assicurati che l'API Compute Engine sia abilitata per il tuo progetto:
```
gcloud services enable compute.googleapis.com
```
Esegui il deployment del servizio Cloud Run con il seguente comando:
```
gcloud run deploy SERVICE_NAME \
--image=IMAGE_URL \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION
```
Sostituisci:
- SERVICE_NAME con il nome del servizio Cloud Run.
- IMAGE_URL con un riferimento all'immagine del container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest. Se utilizzi Artifact Registry, il repository REPO_NAME deve essere già stato creato. L'URL ha la forma LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
- NETWORK con il nome della rete VPC.
- SUBNET con il nome della subnet. Puoi eseguire il deployment o eseguire più servizi o job nella stessa subnet.
- (Facoltativo) NETWORK_TAG_NAMES con i nomi dei tag di rete separati da virgole che vuoi associare a un servizio. Per i servizi, i tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere diversi tag di rete, ad esempio network-tag-2.
- EGRESS_SETTING con un valore dell'impostazione di uscita:
  - all-traffic: invia tutto il traffico in uscita tramite la rete VPC.
  - private-ranges-only: invia solo traffico agli indirizzi interni tramite la rete VPC.
- REGION con una regione per il tuo servizio.
Per verificare che il servizio si trovi nella rete VPC, esegui il seguente comando:
```
gcloud run services describe SERVICE_NAME \
--region=REGION
```
Sostituisci:
- SERVICE_NAME con il nome del servizio.
- REGION con la regione per il servizio specificata nel passaggio precedente.
L'output deve contenere il nome della rete, della sottorete e dell'impostazione di uscita, ad esempio:
```
VPC access:
  Network:       default
  Subnet:        subnet
  Egress:        private-ranges-only
```

Ora puoi inviare richieste dal tuo servizio Cloud Run a qualsiasi risorsa sulla rete VPC, come consentito dalle regole del firewall.

YAML

Se stai creando un nuovo servizio, salta questo passaggio. Se stai aggiornando un servizio esistente, scarica la relativa configurazione YAML:
```
gcloud run services describe SERVICE --format export > service.yaml
```
Aggiorna i seguenti attributi:
```
apiVersion: serving.knative.dev/v1
  kind: Service
  metadata:
    name: SERVICE_NAME
    labels:
      cloud.googleapis.com/location: REGION
  spec:
    template:
      metadata:
        annotations:
          run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET","tags":"NETWORK_TAG_NAMES"}]'
          run.googleapis.com/vpc-access-egress: EGRESS_SETTING
      spec:
        containers:
        - image: IMAGE
```
Sostituisci:
- SERVICE_NAME con il nome del servizio Cloud Run. I nomi dei servizi devono avere una lunghezza massima di 49 caratteri e devono essere univoci per regione e progetto.
- REGION con la regione del servizio Cloud Run, che deve corrispondere alla regione della sottorete.
- NETWORK con il nome della rete VPC.
- SUBNET con il nome della subnet. Puoi eseguire il deployment o eseguire più servizi o job nella stessa subnet.
- (Facoltativo) NETWORK_TAG_NAMES con i nomi dei tag di rete che vuoi associare a un servizio. Per i servizi, i tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere diversi tag di rete, ad esempio network-tag-2.
- EGRESS_SETTING con un valore dell'impostazione di uscita:
  - all-traffic: invia tutto il traffico in uscita tramite la rete VPC.
  - private-ranges-only: invia solo traffico agli indirizzi interni tramite la rete VPC.
- IMAGE con l'URL dell'immagine del container del servizio.
Puoi anche specificare ulteriori configurazioni, come variabili di ambiente o limiti di memoria.
Crea o aggiorna il servizio utilizzando il seguente comando:
```
gcloud run services replace service.yaml
```

Terraform

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Aggiungi quanto segue al tuo file main.tf:

/**
 * Copyright 2024 Google LLC
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *      http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

# Example configuration of a Cloud Run service with direct VPC

resource "google_cloud_run_v2_service" "default" {
  name     = "cloudrun-service"
  location = "us-central1"

  deletion_protection = false # set to "true" in production

  template {
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello"
    }
    vpc_access {
      network_interfaces {
        network    = "default"
        subnetwork = "default"
        tags       = ["tag1", "tag2", "tag3"]
      }
    }
  }
}

Se vuoi, rendete pubblico il servizio per consentire l'accesso non autenticato al servizio.

Crea un job

L'uscita VPC diretta consente al tuo job Cloud Run di inviare traffico a una rete VPC senza un connettore di accesso VPC serverless. Puoi anche aggiungere tag di rete direttamente ai job Cloud Run per una sicurezza di rete più granulare, ad esempio l'applicazione di regole firewall VPC.

Puoi configurare l'uscita diretta VPC con un job utilizzando la console Google Cloud, Google Cloud CLI o YAML.

Console

Vai a Cloud Run
Se stai configurando un nuovo job, fai clic sulla scheda Job e compila la pagina delle impostazioni iniziali del job in base alle tue esigenze. Se stai configurando un job esistente, fai clic sul job e poi su Modifica.
Fai clic su Contenitore, variabili e secret, connessioni, sicurezza per espandere la pagina delle proprietà del job.
Fai clic sulla scheda Connessioni.
Fai clic su Connettiti a un VPC per il traffico in uscita.
Fai clic su Invia il traffico direttamente a un VPC.
Nel campo Rete, seleziona la rete VPC a cui vuoi inviare il traffico.
Nel campo Subnet, seleziona la subnet da cui il job riceve gli indirizzi IP. Puoi eseguire più job nella stessa subnet.
Per Routing del traffico, seleziona una delle seguenti opzioni:
- Instrada al VPC solo richieste a IP privati per inviare solo trafico agli indirizzi interni tramite la rete VPC.
- Instrada tutto il traffico al VPC per inviare tutto il traffico in uscita tramite la rete VPC.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare al tuo servizio o ai tuoi servizi. I tag di rete vengono specificati a livello di revisione. Ogni revisione del servizio può avere diversi tag di rete, ad esempio network-tag-2.
(Facoltativo) Inserisci i nomi dei tag di rete che vuoi associare al tuo job o ai tuoi job. Per i job, i tag di rete vengono specificati a livello di esecuzione. Ogni esecuzione del job può avere diversi tag di rete, ad esempio network-tag-2.
Fai clic su Crea o Aggiorna.
Per verificare che il job si trovi sulla tua rete VPC, fai clic sul job e poi sulla scheda Configurazione. La rete e la subnet sono elencate nella scheda VPC.

Ora puoi eseguire il tuo job Cloud Run e inviare richieste dal job a qualsiasi risorsa sulla rete VPC, come consentito dalle regole del firewall.

gcloud

Per creare un job Cloud Run senza un connettore da Google Cloud CLI:

Aggiorna i componenti di gcloud alla versione più recente:
```
gcloud components update
```
Assicurati che l'API Compute Engine sia abilitata per il tuo progetto:
```
gcloud services enable compute.googleapis.com
```
Crea un job Cloud Run con il seguente comando:
```
gcloud run jobs create JOB_NAME \
--image=IMAGE_URL \
--network=NETWORK \
--subnet=SUBNET \
--network-tags=NETWORK_TAG_NAMES \
--vpc-egress=EGRESS_SETTING \
--region=REGION
```
Sostituisci:
- JOB_NAME con il nome del tuo job Cloud Run.
- IMAGE_URL con un riferimento all'immagine del container, ad esempio us-docker.pkg.dev/cloudrun/container/job:latest
- NETWORK con il nome della rete VPC.
- SUBNET con il nome della subnet. Puoi eseguire il deployment o eseguire più servizi o job nella stessa subnet.
- (Facoltativo) NETWORK_TAG_NAMES con i nomi dei tag di rete che vuoi associare a un job. Per i job, i tag di rete vengono specificati a livello di esecuzione. Ogni esecuzione del job può avere tag di rete diversi, ad esempio network-tag-2.
- EGRESS_SETTING con un valore dell'impostazione di uscita:
  - all-traffic: invia tutto il traffico in uscita tramite la rete VPC.
  - private-ranges-only: invia solo traffico agli indirizzi interni tramite la rete VPC.
- REGION con una regione per il job.
Per verificare che il job si trovi nella tua rete VPC, esegui questo comando:
```
gcloud run jobs describe JOB_NAME \
  --region=REGION
  
```
Sostituisci:
- JOB_NAME con il nome del job.
- REGION con la regione per il tuo job specificata nel passaggio precedente.
L'output deve contenere il nome della rete e della subnet, ad esempio:
```
VPC network:
  Network:       default
  Subnet:        default
```

Ora puoi eseguire il tuo job Cloud Run e inviare richieste dal job a qualsiasi risorsa sulla rete VPC, come consentito dalle regole del firewall.

YAML

Se stai creando un nuovo job, salta questo passaggio. Se stai aggiornando un job esistente, scarica la relativa configurazione YAML:
```
gcloud run jobs describe JOB_NAME --format export > job.yaml
```
Aggiorna i seguenti attributi:
```
apiVersion: run.googleapis.com/v1
  kind: Job
  metadata:
    name: JOB_NAME
    annotations:
      run.googleapis.com/launch-stage: BETA
    labels:
      cloud.googleapis.com/location: REGION
  spec:
    template:
      metadata:
        annotations:
          run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET","tags":"NETWORK_TAG_NAMES"}]'
          run.googleapis.com/vpc-access-egress: EGRESS_SETTING
      spec:
        containers:
        - image: IMAGE
```
Sostituisci:
- JOB_NAME con il nome del tuo job Cloud Run. I nomi dei job devono avere una lunghezza massima di 49 caratteri e devono essere univoci per regione e progetto.
- REGION con la regione del job Cloud Run, che deve corrispondere alla regione della sottorete.
- NETWORK con il nome della rete VPC.
- SUBNET con il nome della subnet. Puoi eseguire il deployment o eseguire più servizi o job nella stessa subnet.
- (Facoltativo) NETWORK_TAG_NAMES con i nomi dei tag di rete che vuoi associare a un job. Per i job, i tag di rete vengono specificati a livello di esecuzione. Ogni esecuzione del job può avere tag di rete diversi, ad esempio network-tag-2.
- EGRESS_SETTING con un valore dell'impostazione di uscita:
  - all-traffic: invia tutto il traffico in uscita tramite la rete VPC.
  - private-ranges-only: invia solo traffico agli indirizzi interni tramite la rete VPC.
- IMAGE con l'URL dell'immagine del container del job.
Crea o aggiorna il job utilizzando il seguente comando:
```
gcloud run jobs replace job.yaml
```

Limitare l'accesso con le regole firewall

Limita l'accesso alle risorse in una rete VPC utilizzando regole firewall VPC. Aggiungi queste limitazioni utilizzando una delle seguenti strategie:

Crea una regola firewall in entrata che fa riferimento al tuo servizio o al tuo job utilizzando l'intervallo IP della subnet.
Crea una regola firewall in uscita che fa riferimento al tuo servizio o al tuo job.

Nella regola del firewall in uscita, fai riferimento al servizio o al job utilizzando l'identità di servizio dell'account di servizio collegato, l'intervallo IP della sottorete o i tag di rete associati.

Tag di rete per il traffico in uscita

Aggiungi un ulteriore livello di sicurezza di rete utilizzando i tag di rete nelle regole del firewall in uscita.

Console

Per associare i tag di rete a un servizio o un job:

Nella console Google Cloud, vai alla pagina Cloud Run.

Vai a Cloud Run
Fai clic sul servizio o sul job a cui vuoi associare i tag di rete, quindi su Modifica ed esegui il deployment della nuova revisione per i servizi o su Modifica per i job.
Fai clic sulla scheda Networking per i servizi o sulla scheda Connessioni per i job.
Assicurati di aver selezionato Connettiti a un VPC per il traffico in uscita e Invia il traffico direttamente a un VPC.
Nel campo Subnet, seleziona la subnet da cui il servizio riceve gli indirizzi IP. Puoi eseguire il deployment o l'esecuzione di più servizi o job nella stessa subnet.
Nel campo Tag di rete, inserisci i nomi dei tag di rete che vuoi associare al servizio o al job.
Fai clic su Esegui il deployment o Aggiorna.

Per i servizi, ogni revisione del servizio può avere un insieme diverso di tag di rete perché i tag di rete vengono specificati a livello di revisione. Per i job, un'esecuzione del job ha gli stessi tag di rete del job al momento della creazione dell'esecuzione del job.

gcloud

Per associare i tag di rete a un servizio o un job, utilizza il comando gcloud run deploy:

gcloud run deploy SERVICE_JOB_NAME \
    --image=IMAGE_URL \
    --network=NETWORK \
    --subnet=SUBNET \
    --network-tags=NETWORK_TAG_NAMES \
    --region=REGION

Sostituisci quanto segue:

SERVICE_JOB_NAME con il nome del servizio o del job.
IMAGE_URL con l'URL immagine del servizio o del lavoro.
NETWORK con il nome della rete VPC.
SUBNET con il nome della subnet. Puoi eseguire il deployment o eseguire più servizi o job nella stessa subnet.
NETWORK_TAG_NAMES con il nome del tag di rete o un elenco di tag di rete separati da virgole.
REGION con il nome della tua regione.

Scollegare un servizio

Console

Per rimuovere il servizio dalla rete VPC:
1. Vai a Cloud Run
2. Fai clic sul servizio da rimuovere e poi su Modifica ed esegui il deployment di una nuova revisione.
3. Fai clic sulla scheda Networking.
4. Deseleziona Connettiti a un VPC per il traffico in uscita.
5. Fai clic su Esegui il deployment.
6. Per verificare che il servizio non sia più presente nella rete VPC, fai clic sulla scheda Networking. La rete e la subnet non sono più elencate nella scheda VPC.
Per rimuovere solo i tag di rete mantenendo il servizio collegato alla rete VPC:
1. Fai clic sul servizio contenente i tag di rete da rimuovere e poi su Modifica ed esegui il deployment della nuova revisione.
2. Fai clic sulla scheda Networking.
3. Cancella i nomi dei tag di rete che non vuoi più associare al tuo servizio.
4. Fai clic su Esegui il deployment.

gcloud

Per rimuovere il servizio dalla rete VPC, esegui il seguente comando:

gcloud run services update SERVICE_NAME --region=REGION \
--clear-network

Per rimuovere solo i tag di rete mantenendo il servizio connesso alla rete VPC, esegui il seguente comando:
```
gcloud run services update SERVICE_NAME --region=REGION \
--clear-network-tags
```
Sostituisci quanto segue:
- SERVICE_NAME: il nome del servizio Cloud Run.
- REGION: la regione per il servizio Cloud Run.

YAML

Per rimuovere il servizio dalla rete VPC:
1. Scarica la configurazione YAML del servizio:
```
gcloud run services describe SERVICE_NAME --format export > service.yaml
```
2. Rimuovi i seguenti contenuti dal file service.yaml:
```
run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET","tags":"NETWORK_TAG_NAMES"}]'
```
  Dove
  - NETWORK: il nome della rete VPC.
  - SUBNET: il nome della subnet.
  - (Facoltativo) NETWORK_TAG_NAMES: i nomi dei tag di rete se li hai associati a un servizio.
3. Esegui il deployment della revisione del servizio eseguendo il seguente comando:
```
gcloud run services replace service.yaml
```
Per rimuovere solo i tag di rete mantenendo il servizio collegato alla rete VPC:
1. Scarica la configurazione YAML del servizio:
```
gcloud run services describe SERVICE_NAME --format export > service.yaml
```
2. Rimuovi la variabile tags dai contenuti del file service.yaml, lasciando invariate le variabili network e subnetwork, come mostrato nell'esempio seguente:
```
run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET"}]'
```
  Dove
  - NETWORK: il nome della rete VPC.
  - SUBNET: il nome della subnet.
3. Esegui il deployment della revisione del servizio eseguendo il seguente comando:
```
gcloud run services replace service.yaml
```

Scollegare un job

Console

Per rimuovere il job dalla rete VPC:
1. Vai a Cloud Run
2. Fai clic sul job da rimuovere e poi su Modifica ed esegui il deployment di una nuova revisione.
3. Fai clic sulla scheda Connessioni.
4. Deseleziona Connettiti a un VPC per il traffico in uscita.
5. Fai clic su Aggiorna.
6. Per verificare che il job non sia più nella rete VPC, fai clic sulla scheda Configurazione. La rete e la subnet non sono più elencate nella scheda VPC.
Per rimuovere solo i tag di rete mantenendo il job collegato alla rete VPC:
1. Fai clic sul job contenente i tag di rete da rimuovere, quindi su Modifica ed esegui il deployment di una nuova revisione.
2. Fai clic sulla scheda Connessioni.
3. Cancella i nomi dei tag di rete che non vuoi più associare al tuo job.
4. Fai clic su Aggiorna.

gcloud

Per rimuovere il job dalla rete VPC, esegui questo comando:

gcloud run jobs update JOB_NAME --region=REGION \
  --clear-network

Per rimuovere solo i tag di rete mantenendo il job collegato alla rete VPC, esegui il seguente comando:
```
gcloud run jobs update JOB_NAME --region=REGION \
  --clear-network-tags
  
```
Sostituisci quanto segue:
- JOB_NAME: il nome del job Cloud Run.
- REGION: la regione per il tuo job Cloud Run.

YAML

Per rimuovere il job dalla rete VPC:
1. Scarica la configurazione YAML del job:
```
gcloud run jobs describe JOB_NAME --format export > job.yaml
```
2. Rimuovi i seguenti contenuti dal file job.yaml:
```
run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET","tags":"NETWORK_TAG_NAMES"}]'
```
  Sostituisci quanto segue:
  - NETWORK: il nome della rete VPC.
  - SUBNET: il nome della subnet.
  - (Facoltativo) NETWORK_TAG_NAMES con i nomi dei tag di rete se li hai associati a un job.
3. Aggiorna il job eseguendo il seguente comando:
```
gcloud run jobs replace job.yaml
```
Per rimuovere solo i tag di rete mantenendo il job collegato alla rete VPC:
1. Scarica la configurazione YAML del job:
```
gcloud run jobs describe JOB_NAME --format export > job.yaml
```
2. Rimuovi la variabile tags dai contenuti del file job.yaml, lasciando invariate le variabili network e subnetwork, come mostrato nell'esempio seguente:
```
run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET"}]'
```
  Sostituisci quanto segue:
  - NETWORK: il nome della rete VPC.
  - SUBNET: il nome della subnet.
3. Aggiorna il job eseguendo il seguente comando:
```
gcloud run jobs replace job.yaml
```

Risoluzione dei problemi

Impossibile eliminare la subnet

Per eliminare una subnet, devi prima eliminare o rieseguire il deployment di tutte le risorse che la utilizzano. Se Cloud Run utilizza una subnet, scollega il servizio o il job Cloud Run dalla rete VPC o spostalo in un'altra subnet prima di eliminare la subnet.

La subnet VPC diretta esaurisce gli indirizzi IP

Se la subnet della rete VPC esaurisce gli indirizzi IP, viene registrata da Cloud Logging. In questo caso, Cloud Run non può avviare altre istanze di servizio o attività di job finché non diventano disponibili altri indirizzi IP.

Visualizzare gli indirizzi IP allocati

Per vedere quali indirizzi IP sono stati allocati da Cloud Run, vai alla pagina Indirizzi IP nella console Google Cloud o esegui il seguente comando da Google Cloud CLI:

gcloud compute addresses list