Auf dieser Seite wird beschrieben, wie Sie den eingehenden Zugriff auf den Cloud Run-Dienst mithilfe von Einstellungen für eingehenden Traffic steuern. Auf Netzwerkebene kann standardmäßig jede Ressource im Internet Ihren Cloud Run-Dienst über die URL run.app
oder eine in Cloud Run eingerichtete benutzerdefinierte Domain erreichen. Sie können diese Standardeinstellung ändern, indem Sie eine andere Einstellung für eingehenden Traffic festlegen. Alle Ingress-Pfade, einschließlich der Standard-URL run.app
, unterliegen der Einstellung für eingehenden Traffic.
Eingehender Traffic wird auf Dienstebene festgelegt.
Ingress-Einstellungen und IAM-Authentifizierungsmethoden sind zwei Möglichkeiten, um den Zugriff auf einen Dienst zu verwalten. Sie sind unabhängig voneinander. Verwenden Sie für einen mehrstufigen Ansatz die Zugriffsverwaltung.
Verfügbare Einstellungen für eingehenden Traffic
Diese Einstellungen sind verfügbar:
Einstellung | Beschreibung |
---|---|
Intern |
Stärkste Einschränkung. Sie lässt Anfragen aus den folgenden Quellen zu:
run.app auf Ihren Dienst zugreifen. Anfragen aus anderen Quellen, einschließlich des Internets, können Ihren Dienst nicht über die URL run.app oder benutzerdefinierte Domains erreichen.Anfragen an Cloud Run von Cloud Run, Cloud Functions oder App Engine müssen an das VPC-Netzwerk gesendet werden, um als intern betrachtet zu werden. Verwenden Sie zum Weiterleiten von Anfragen an das VPC-Netzwerk ausgehenden Direct VPC-Traffic oder einen Connector für serverlosen VPC-Zugriff und aktivieren Sie den privaten Google-Zugriff auf das Subnetz, das dem ausgehenden Direct VPC-Traffic oder dem Connector zugeordnet ist. Mehrinstanzenfähigkeit wird nicht unterstützt, also mehrere Vertrauensdomains in einem Projekt. |
internes und Cloud-Load-Balancing | Anfragen von den folgenden Ressourcen sind zulässig:
|
Alle |
Geringste Einschränkung. Ermöglicht alle Anfragen, einschließlich Anfragen direkt aus dem Internet an die URL run.app .
|
Auf interne Dienste zugreifen
Weitere Überlegungen:
Wenn Sie auf interne Dienste zugreifen, rufen Sie sie so auf, wie Sie es auch mit ihren öffentlichen URLs tun würden, entweder die Standard-URL
run.app
oder eine in Cloud Run eingerichtete benutzerdefinierte Domain.Für Anfragen von Compute Engine-VM-Instanzen ist keine weitere Einrichtung für Maschinen erforderlich, die öffentliche IP-Adressen haben oder Cloud NAT verwenden. Andernfalls finden Sie weitere Informationen unter Anfragen von VPC-Netzwerken empfangen.
Verbinden Sie für Anfragen von anderen Cloud Run-Diensten oder von Cloud Functions-Funktionen im selben Projekt den Dienst oder die Funktion mit einem VPC-Netzwerk und leiten Sie den gesamten ausgehenden Traffic über den Connector weiter, wie unter VPC mit Connectors beschrieben. Beachten Sie, dass die IAM-Aufrufer-Berechtigung weiterhin erzwungen wird.
Anfragen von Ressourcen innerhalb von VPC-Netzwerken im selben Projekt werden als „intern“ klassifiziert, auch wenn die Ressource, von der sie stammen, eine öffentliche IP-Adresse hat.
Anfragen von Ressourcen in einem separaten Projekt, aber innerhalb desselben VPC Service Controls-Perimeters können nur dann einen internen Dienst aufrufen, wenn Sie die Cloud Run Admin API als eingeschränkten Dienst im Dienstperimeter konfigurieren.
Informationen dazu, wann Traffic der freigegebenen VPC als "intern" erkannt wird, finden Sie unter Besondere Überlegungen für freigegebene VPCs.
Anfragen von lokalen Ressourcen, die über Cloud VPN und Cloud Interconnect mit dem VPC-Netzwerk verbunden sind, gelten als „intern“.
Für Anfragen von Cloud Scheduler, Cloud Tasks, Eventarc, Pub/Sub, BigQuery und Workflows an einen internen Dienst gelten die folgenden Anforderungen:
- Sie müssen für diesen Dienst die standardmäßige
run.app
-URL von Cloud Run verwenden, keine benutzerdefinierte Domain. - Der Job, die Aufgabe, das Pub/Sub-Abo, das Ereignis, der Workflow oder die BigQuery-Remote-Funktion muss sich im selben Projekt oder VPC Service Controls-Perimeter wie der Cloud Run-Dienst befinden.
- Sie müssen für diesen Dienst die standardmäßige
Sie können interne Dienste aus Zugriffsquellen außerhalb des VPC-Netzwerks aufrufen. Verwenden Sie dazu Cloud Scheduler, Cloud Tasks, Pub/Sub, Eventarc, Workflows oder BigQuery innerhalb desselben Projekts oder VPC Service Controls-Perimeters.
Ingress wird eingerichtet
Sie können das Ingress mit einer der unterstützten Methoden auf den folgenden Tabs festlegen:
Console
Klicken Sie auf Dienst erstellen und füllen Sie die Seite mit den anfänglichen Diensteinstellungen wie gewünscht aus, wenn Sie einen neuen Dienst konfigurieren.
Wenn Sie einen vorhandenen Dienst konfigurieren möchten, klicken Sie auf den Dienst und dann auf den Tab Netzwerk.
Wählen Sie den eingehenden Traffic aus, den Sie zulassen möchten:
Klicken Sie auf Erstellen oder Speichern.
Befehlszeile
Wenn Sie einen neuen Dienst bereitstellen, stellen Sie den Dienst mit dem Flag
--ingress
bereit:gcloud run deploy SERVICE --image IMAGE_URL --ingress INGRESS
Ersetzen
INGRESS
durch eine der verfügbaren Einstellungen für eingehenden Traffic.all
internal
internal-and-cloud-load-balancing
SERVICE
durch den Dienstnamen- IMAGE_URL durch einen Verweis auf das Container-Image, z. B.
us-docker.pkg.dev/cloudrun/container/hello:latest
. Wenn Sie Artifact Registry verwenden, muss das Repository REPO_NAME bereits erstellt sein. Die URL hat die FormLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
.
Wenn Sie einen vorhandenen Ingress-Dienst ändern:
gcloud run services update SERVICE --ingress INGRESS
Ersetzen
INGRESS
durch eine der verfügbaren Einstellungen für eingehenden Traffic.all
internal
internal-and-cloud-load-balancing
SERVICE
durch den Dienstnamen
YAML
Sie können vorhandene Dienstkonfigurationen mit dem Befehl gcloud run services describe --format export
herunterladen und aufrufen, was bereinigte Ergebnisse im YAML-Format liefert.
Anschließend können Sie die unten beschriebenen Felder ändern und die geänderte YAML-Datei mit dem Befehl gcloud run services replace
hochladen.
Achten Sie darauf, dass Sie die Felder nur wie dokumentiert ändern.
So rufen Sie die Konfiguration auf und laden sie herunter:
gcloud run services describe SERVICE --format export > service.yaml
Aktualisieren Sie die Annotation
run.googleapis.com/ingress:
:apiVersion: serving.knative.dev/v1 kind: Service metadata: annotations: run.googleapis.com/ingress: INGRESS name: SERVICE spec: template: metadata: name: REVISION
Ersetzen
- SERVICE durch den Namen Ihres Cloud Run
- INGRESS durch eine der verfügbaren Einstellungen für eingehenden Traffic.
all
internal
internal-and-cloud-load-balancing
- REVISION durch einen neuen Überarbeitungsnamen oder löschen (falls vorhanden). Wenn Sie einen neuen Überarbeitungsnamen angeben, muss er die folgenden Kriterien erfüllen:
- Beginnt mit
SERVICE-
- Enthält nur Kleinbuchstaben, Ziffern und
-
- Endet nicht mit
-
- Darf nicht mehr als 63 Zeichen enthalten
- Beginnt mit
Ersetzen Sie den Dienst mit dem folgenden Befehl durch die neue Konfiguration:
gcloud run services replace service.yaml
Terraform
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
Fügen Sie der Datei main.tf
Folgendes hinzu:
Nächste Schritte
- Weitere Informationen zu den Einstellungen für ausgehenden Traffic
- Internen Application Load Balancer für Cloud Run einrichten
- Externen Application Load Balancer mit Cloud Run einrichten
- IAM-Authentifizierungsmethoden für den Zugriff auf Dienste konfigurieren