En esta página, se describe cómo usar la configuración de entrada para restringir el acceso de red a tu servicio de Cloud Run. De forma predeterminada, cualquier recurso de Internet puede acceder a tu servicio Cloud Run (completamente administrado) en su URL run.app
o en un dominio personalizado configurado en Cloud Run. Puedes cambiar este valor predeterminado si especificas una configuración diferente para la entrada. Todas las rutas de acceso de entrada, incluida la URL predeterminada run.app
, están sujetas al parámetro de configuración de entrada.
La entrada se configura a nivel de servicio.
La configuración de entrada y los métodos de autenticación de IAM son dos formas de administrar el acceso a un servicio. Son independientes entre sí. Para adoptar un enfoque en capas a fin de administrar el acceso, usa ambos.
Opciones de configuración de entrada disponibles
Podrás configurar los siguientes parámetros:
Configuración | Descripción |
---|---|
Interno |
Más restrictivo. Permite solicitudes de las siguientes fuentes:
Las solicitudes de estas fuentes permanecen dentro de la red de Google, incluso si acceden a tu servicio en la URL run.app . Las solicitudes de otras fuentes, incluido Internet, no pueden llegar a tu servicio en la URL run.app ni en dominios personalizados.Para solicitudes de Cloud Scheduler, Cloud Tasks, Eventarc, Pub/Sub, BigQuery y Workflows a un servicio interno, debes usar la URL run.app predeterminada de Cloud Run para ese servicio. No puedes usar un dominio personalizado.
|
Balanceo de cargas interno y en la nube | Esta configuración permite solicitudes de los siguientes recursos:
Nota: Para habilitar este parámetro de configuración en gcloud CLI, usa internal-and-cloud-load-balancing .
Para habilitar este parámetro de configuración en la consola de Google Cloud, selecciona Internos > Permitir el tráfico de balanceadores de cargas de aplicaciones externos.
|
Todos |
Menos restrictivo. Permite todas las solicitudes, incluidas las solicitudes directas desde Internet a la URL run.app .
|
Accede a servicios internos
Se aplican las siguientes consideraciones adicionales:
Cuando accedes a los servicios internos, llámalos como lo harías con sus URL públicas, ya sea la URL
run.app
predeterminada o un dominio personalizado configurado en Cloud Run.Para las solicitudes de instancias de VM de Compute Engine, no se requiere ninguna configuración adicional para las máquinas que tienen direcciones IP externas o que usan Cloud NAT. De lo contrario, consulta Recibe solicitudes de redes de VPC.
Cuando se llama desde Cloud Run, App Engine o Cloud Functions a un servicio de Cloud Run configurado como “Interno” o “Interno y Cloud Load Balancing”, el tráfico debe enrutarse a través de una red de VPC que se considere interna. Consulta Recibe solicitudes de otros servicios de Cloud Run, App Engine y Cloud Functions.
Las solicitudes de recursos dentro de una red de VPC en el mismo proyecto son “internas” incluso si el recurso desde el que se originan tiene una dirección IP externa.
Las solicitudes de recursos locales conectados a la red de VPC mediante Cloud VPN y Cloud Interconnect se consideran “internas”.
Configura la entrada
Puedes configurar la entrada con cualquiera de los métodos admitidos en las siguientes pestañas:
Consola
Si estás configurando un servicio nuevo, haz clic en Crear servicio y completa la página de configuración inicial del servicio como desees.
Si quieres configurar un servicio existente, haz clic en el servicio y, luego, en la pestaña Herramientas de redes.
Selecciona el tráfico de entrada que deseas permitir:
Haz clic en Crear o Guardar.
gcloud
Si implementas un servicio nuevo, impleméntalo con la marca
--ingress
:gcloud run deploy SERVICE --image IMAGE_URL --ingress INGRESS
Reemplaza los siguientes elementos:
INGRESS
por una de las configuraciones de entrada disponiblesall
internal
internal-and-cloud-load-balancing
SERVICE
el nombre de tu servicio- IMAGE_URL por una referencia a la imagen del contenedor, como
us-docker.pkg.dev/cloudrun/container/hello:latest
Si usas Artifact Registry, el repositorio REPO_NAME debe estar creado. La URL tiene el formatoLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
.
Si cambias una entrada de servicio existente:
gcloud run services update SERVICE --ingress INGRESS
Reemplaza los siguientes elementos:
INGRESS
por una de las configuraciones de entrada disponiblesall
internal
internal-and-cloud-load-balancing
SERVICE
el nombre de tu servicio
YAML
Si creas un servicio nuevo, omite este paso. Si actualizas un servicio existente, descarga su configuración de YAML:
gcloud run services describe SERVICE --format export > service.yaml
Actualiza la anotación
run.googleapis.com/ingress:
:apiVersion: serving.knative.dev/v1 kind: Service metadata: annotations: run.googleapis.com/ingress: INGRESS name: SERVICE spec: template: metadata: name: REVISION
Reemplazar
- SERVICE por el nombre del trabajo de Cloud Run.
- INGRESS por una de las configuraciones de entrada disponibles
all
internal
internal-and-cloud-load-balancing
- REVISION por un nombre de revisión nuevo o bórralo (si está presente). Si proporcionas un nuevo nombre de revisión, debe cumplir con los siguientes criterios:
- Comienza con
SERVICE-
- Solo contiene letras minúsculas, números y
-
- No termina con
-
- No supera los 63 caracteres
- Comienza con
Reemplaza el servicio por la configuración nueva mediante el siguiente comando:
gcloud run services replace service.yaml
Terraform
Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.
Agrega lo siguiente a tu archivo main.tf
:
¿Qué sigue?
- Más información sobre la configuración de salida
- Configura un balanceador de cargas de aplicaciones interno para Cloud Run.
- Configura un balanceador de cargas de aplicaciones externo con Cloud Run.
- Configura los métodos de autenticación de IAM para acceder a los servicios.