在CloudRun:
public-service需要交谈internal-service和internet
internal-service与internet
选项1:理想情况下,internal-service入口为internal,但这样做public-service需要一个vpc-connectorfor all-traffic,这意味着它还需要NAT添加一个网关。
选项 2:或者,internal-service可以将入口作为all和--no-allow-unauthenticated。
Option-1 看起来有点复杂。推荐什么?选项 2 的安全风险是什么?
如果您的 VPC 中没有 IP 匹配,您的 VPC 包含将流量转发到 Internet 的默认路由
因此,您不需要 Cloud NAT。如果您想使用静态和您自己的 IP,而不是使用共享和随机 IP 访问 Internet,Cloud NAT 非常有用。
选项 1 是最好的,没有云 nat 开销。
编辑 1
我确信默认的互联网路由是不可删除的。感谢您的评论,我检查了......不,您可以删除它。只有优先级 0 的规则不可删除。
但这也意味着您可以像那样重新创建它
gcloud beta compute routes create default-to-internet \
--network=default --priority=1000 --destination-range=0.0.0.0/0 \
--next-hop-gateway=default-internet-gateway
留在选项 1 ;)