Alamat IP keluar statis

Secara default, layanan Cloud Run terhubung ke endpoint eksternal di internet menggunakan kumpulan alamat IP dinamis. Jika layanan Cloud Run terhubung ke endpoint eksternal yang memerlukan alamat IP statis seperti database atau API yang menggunakan firewall berbasis alamat IP, Anda harus mengonfigurasi layanan Cloud Run untuk merutekan permintaan menggunakan alamat IP statis.

Halaman ini menjelaskan cara mengaktifkan layanan Cloud Run untuk mengirim permintaan menggunakan alamat IP statis.

Sebaiknya konfigurasikan Cloud Run untuk mengirim traffic ke jaringan VPC menggunakan Traffic keluar VPC langsung. Namun, Anda memiliki opsi untuk Membuat konektor.

Ringkasan tugas

Agar layanan Cloud Run dapat merutekan permintaan menggunakan alamat IP statis, konfigurasikan traffic keluar VPC layanan Cloud Run untuk merutekan semua traffic keluar melalui jaringan VPC yang memiliki gateway Cloud NAT yang dikonfigurasi dengan alamat IP statis.

Mengarahkan traffic Anda melalui Cloud NAT tidak menyebabkan hop tambahan pada stack jaringan Anda karena gateway Cloud NAT dan Cloud Router hanya menyediakan bidang kontrol dan paketnya tidak melewati gateway NAT atau Cloud Router.

Mengonfigurasi terjemahan alamat jaringan (NAT)

Jika Anda menggunakan traffic keluar VPC Langsung atau konektor Akses VPC Serverless, permintaan dari layanan Cloud Run Anda akan masuk ke jaringan VPC Anda. Jika Anda ingin merutekan permintaan keluar ke endpoint eksternal menggunakan IP statis, konfigurasikan gateway Cloud NAT.

gcloud

  1. Buat Cloud Router baru untuk memprogram gateway Cloud NAT:

    gcloud compute routers create ROUTER_NAME \
  --network=NETWORK_NAME \
  --region=REGION

    Ganti nilai berikut dengan perintah ini:

    • ROUTER_NAME dengan nama untuk resource Cloud Router yang ingin Anda buat.
    • NETWORK_NAME dengan nama jaringan VPC yang Anda temukan sebelumnya.
    • REGION dengan region tempat Anda ingin membuat gateway Cloud NAT.

  2. Sediakan alamat IP statis. Resource alamat IP yang dicadangkan mempertahankan alamat IP dasar saat resource yang terkait dengannya dihapus dan dibuat ulang.

    gcloud compute addresses create ORIGIN_IP_NAME --region=REGION

    Ganti nilai berikut dengan perintah ini:

    • ORIGIN_IP_NAME dengan nama yang ingin Anda tetapkan ke resource alamat IP.
    • REGION dengan region yang akan menjalankan router Cloud NAT. Gunakan region yang sama dengan layanan Cloud Run Anda untuk meminimalkan latensi dan biaya jaringan.

  3. Buat konfigurasi gateway Cloud NAT di router ini untuk mengarahkan traffic yang berasal dari jaringan VPC menggunakan alamat IP statis yang Anda buat:

    gcloud compute routers nats create NAT_NAME \
  --router=ROUTER_NAME \
  --region=REGION \
  --nat-custom-subnet-ip-ranges=SUBNET_NAME \
  --nat-external-ip-pool=ORIGIN_IP_NAME

    Ganti nilai berikut dengan perintah ini:

    • NAT_NAME dengan nama untuk resource gateway Cloud NAT yang ingin Anda buat.
    • ROUTER_NAME dengan nama Cloud Router Anda.
    • REGION dengan region tempat Anda ingin membuat gateway Cloud NAT.
    • SUBNET_NAME dengan nama subnet Anda.
    • ORIGIN_IP_NAME dengan nama resource alamat IP yang dicadangkan yang telah Anda buat di langkah sebelumnya.

Terraform

  1. Buat Cloud Router baru untuk memprogram gateway Cloud NAT:

    resource "google_compute_router" "default" {
  name    = "cr-static-ip-router"
  network = google_compute_network.default.name
  region  = google_compute_subnetwork.default.region
}

    Ganti cr-static-ip-router dengan nama subnet Anda.

  2. Sediakan alamat IP statis. Resource alamat IP yang dicadangkan mempertahankan alamat IP dasar saat resource yang terkait dengannya dihapus dan dibuat ulang:

    resource "google_compute_address" "default" {
  name   = "cr-static-ip-addr"
  region = google_compute_subnetwork.default.region
}

    Ganti cr-static-ip-addr dengan nama subnet Anda.

  3. Buat konfigurasi gateway Cloud NAT di router ini untuk mengarahkan traffic yang berasal dari jaringan VPC menggunakan alamat IP statis yang Anda buat:

    resource "google_compute_router_nat" "default" {
  name   = "cr-static-nat"
  router = google_compute_router.default.name
  region = google_compute_subnetwork.default.region

  nat_ip_allocate_option = "MANUAL_ONLY"
  nat_ips                = [google_compute_address.default.self_link]

  source_subnetwork_ip_ranges_to_nat = "LIST_OF_SUBNETWORKS"
  subnetwork {
    name                    = google_compute_subnetwork.default.id
    source_ip_ranges_to_nat = ["ALL_IP_RANGES"]
  }
}

    Ganti cr-static-nat dengan nama gateway Cloud NAT Anda.

Mengarahkan traffic Cloud Run melalui jaringan VPC

Setelah Cloud NAT dikonfigurasi, deploy atau perbarui layanan Cloud Run Anda dengan Traffic keluar VPC Langsung atau konektor Akses VPC Serverless, dan tetapkan traffic keluar VPC untuk mengarahkan semua traffic melalui jaringan VPC:

gcloud

Traffic keluar VPC langsung

Untuk men-deploy atau mengupdate layanan Cloud Run Anda agar menggunakan traffic keluar VPC Langsung dan merutekan semua traffic keluar melaluinya, jalankan perintah berikut:

gcloud run deploy SERVICE_NAME 

    --image=IMAGE_URL 

    --network=NETWORK 

    --subnet=SUBNET 

    --region=REGION 

    --vpc-egress=all-traffic

Ganti nilai berikut dengan perintah ini:

  • SERVICE_NAME dengan nama layanan Cloud Run yang ingin Anda deploy.
  • IMAGE_URL dengan referensi ke image container, misalnya, us-docker.pkg.dev/cloudrun/container/hello:latest. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL memiliki bentuk LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG .
  • NETWORK dengan nama jaringan VPC Anda.
  • SUBNET dengan nama subnet Anda.
  • REGION dengan region untuk layanan Anda.

Konektor Akses VPC Serverless

Untuk men-deploy atau mengupdate layanan Cloud Run Anda agar menggunakan konektor Akses VPC Serverless dan merutekan semua traffic keluar melalui konektor tersebut, jalankan perintah berikut:

gcloud run deploy SERVICE_NAME 

    --image=IMAGE_URL 

    --vpc-connector=CONNECTOR_NAME 

    --region=REGION 

    --vpc-egress=all-traffic

Ganti nilai berikut dengan perintah ini: * SERVICE_NAME dengan nama layanan Cloud Run yang ingin Anda deploy. * IMAGE_URL dengan mereferensikan ke image container, misalnya, us-docker.pkg.dev/cloudrun/container/hello:latest. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL memiliki bentuk LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG . * CONNECTOR_NAME dengan nama konektor Akses VPC Serverless Anda. * REGION dengan region untuk layanan Anda.

YAML

Traffic keluar VPC langsung

  1. Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:

    gcloud run services describe SERVICE --format export > service.yaml

  2. Perbarui sesuai kebutuhan. 

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: SERVICE
spec:
  template:
    metadata:
      annotations:
        run.googleapis.com/network-interfaces: '[{"network":"NETWORK","subnetwork":"SUBNET"}]'
        run.googleapis.com/vpc-access-egress: all-traffic
    spec:
      containers:
      - image: IMAGE_URL

    Ganti:

    • SERVICE dengan nama layanan Cloud Run.
    • NETWORK dengan nama jaringan VPC Anda.
    • SUBNET dengan nama subnet Anda.
    • IMAGE_URL dengan URL image container layanan Anda.

  3. Buat atau perbarui layanan menggunakan perintah berikut:

    gcloud run services replace service.yaml

Konektor Akses VPC Serverless

  1. Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:

    gcloud run services describe SERVICE --format export > service.yaml

  2. Perbarui sesuai kebutuhan. 

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: SERVICE
spec:
  template:
    metadata:
      annotations:
        run.googleapis.com/vpc-access-connector: CONNECTOR_NAME
    spec:
      containers:
      - image: IMAGE_URL

    Ganti:

    • SERVICE dengan nama layanan Cloud Run.
    • CONNECTOR_NAME dengan nama jaringan Akses VPC Serverless Anda.
    • IMAGE_URL dengan URL image container layanan Anda.

  3. Buat atau perbarui layanan menggunakan perintah berikut:

    gcloud run services replace service.yaml

Terraform

Layanan Cloud Run ini menggunakan konektor VPC dan juga merutekan semua traffic keluar melaluinya:

resource "google_cloud_run_v2_service" "default" {
  name     = "cr-static-ip-service"
  location = google_compute_subnetwork.default.region

  deletion_protection = false # set to "true" in production

  template {
    containers {
      # Replace with the URL of your container
      #   gcr.io/<YOUR_GCP_PROJECT_ID>/<YOUR_CONTAINER_NAME>
      image = "us-docker.pkg.dev/cloudrun/container/hello"
    }
    scaling {
      max_instance_count = 5
    }
    vpc_access {
      connector = google_vpc_access_connector.default.id
      egress    = "ALL_TRAFFIC"
    }
  }
  ingress = "INGRESS_TRAFFIC_ALL"

}

Ganti us-docker.pkg.dev/cloudrun/container/hello dengan referensi ke image container Anda.

Memverifikasi alamat IP eksternal statis

Setelah menyelesaikan langkah-langkah sebelumnya, Anda harus menyiapkan Cloud NAT di jaringan VPC Anda dengan alamat IP statis yang telah ditetapkan, dan telah merutekan semua traffic keluar layanan Cloud Run ke jaringan VPC Anda. Permintaan dari layanan Cloud Run berpindah melalui jaringan VPC Anda dan menjangkau endpoint eksternal menggunakan menggunakan alamat IP statis.

Untuk memverifikasi perilaku ini dan mengonfirmasi alamat IP asal yang digunakan layanan, Anda dapat membuat permintaan ke API atau situs seperti curlmyip.org yang menunjukkan alamat IP asal.

Menghapus alamat IP eksternal statis

Jika Anda tidak lagi memerlukan alamat IP eksternal statis, lihat Merilis alamat IP eksternal statis.