从 Cloud Run 连接到 Memorystore

Question

我想在使用 Cloud Memorystore 作为缓存的 Google Cloud Run 上运行一项服务。

我在与 Cloud Run 相同的区域创建了一个 Memorystore 实例，并使用示例代码进行连接：https://github.com/GoogleCloudPlatform/golang-samples/blob/master/memorystore/redis/main.go 这不起作用。

接下来，我创建了一个无服务器 VPC 访问连接器，但没有帮助。我在没有 GKE 集群的情况下使用 Cloud Run，因此无法更改任何配置。

有没有办法从 Cloud Run 连接到 Memorystore？

Answer 1

要将 Cloud Run（完全托管）连接到 Memorystore，您需要使用称为“无服务器 VPC 访问”或“VPC 连接器”的机制。

截至 2020 年 5 月，Cloud Run（全托管）为无服务器 VPC 访问提供 Beta 版支持。请参阅Connecting to a VPC Network 了解更多信息。

使用此 Beta 的替代方法包括：

• 使用Cloud Run for Anthos，其中GKE provides the capability 连接到Memorystore（如果已配置集群）。
• 继续使用完全托管的无服务器，但通过 App Engine with Memorystore 使用 GA 版本的无服务器 VPC 访问功能。

Answer 2

在等待serverless VPC connectors on Cloud Run 的同时 - Google 昨天表示将在近期发布公告 - 您可以通过 GCE 使用 SSH 隧道从 Cloud Run 连接到 Memorystore。

基本方法如下。

首先，在 GCE 上创建一个转发器实例

gcloud compute instances create vpc-forwarder --machine-type=f1-micro --zone=us-central1-a

不要忘记在您的防火墙策略中打开端口 22（默认情况下它是打开的）。

然后通过您的 Dockerfile 安装 gcloud CLI

这是一个 Rails 应用程序的示例。 Dockerfile 使用入口点的脚本。

# Use the official lightweight Ruby image.
# https://hub.docker.com/_/ruby
FROM ruby:2.5.5

# Install gcloud
RUN curl https://dl.google.com/dl/cloudsdk/release/google-cloud-sdk.tar.gz > /tmp/google-cloud-sdk.tar.gz
RUN mkdir -p /usr/local/gcloud \
  && tar -C /usr/local/gcloud -xvf /tmp/google-cloud-sdk.tar.gz \
  && /usr/local/gcloud/google-cloud-sdk/install.sh
ENV PATH $PATH:/usr/local/gcloud/google-cloud-sdk/bin

# Generate SSH key to be used by the SSH tunnel (see entrypoint.sh)
RUN mkdir -p /home/.ssh && ssh-keygen -b 2048 -t rsa -f /home/.ssh/google_compute_engine -q -N ""

# Install bundler
RUN gem update --system
RUN gem install bundler

# Install production dependencies.
WORKDIR /usr/src/app
COPY Gemfile Gemfile.lock ./
ENV BUNDLE_FROZEN=true
RUN bundle install

# Copy local code to the container image.
COPY . ./

# Run the web service on container startup.
CMD ["bash", "entrypoint.sh"]

最后在 entrypoint.sh 脚本中打开一个到 Redis 的 SSH 隧道

# !/bin/bash

# Memorystore config
MEMORYSTORE_IP=10.0.0.5
MEMORYSTORE_REMOTE_PORT=6379
MEMORYSTORE_LOCAL_PORT=6379

# Forwarder config
FORWARDER_ID=vpc-forwarder
FORWARDER_ZONE=us-central1-a

# Start tunnel to Redis Memorystore in background
gcloud compute ssh \
  --zone=${FORWARDER_ZONE} \
  --ssh-flag="-N -L ${MEMORYSTORE_LOCAL_PORT}:${MEMORYSTORE_IP}:${MEMORYSTORE_REMOTE_PORT}" \
  ${FORWARDER_ID} &

# Run migrations and start Puma
bundle exec rake db:migrate && bundle exec puma -p 8080

通过上述解决方案，您的应用程序将可以在 localhost:6379 上使用 Memorystore。

有一些注意事项

1. 这种方法需要在您的 Cloud Run 服务上配置的服务帐号具有roles/compute.instanceAdmin 角色，这非常强大。
2. 将 SSH 密钥备份到映像中以加快容器启动时间。这并不理想。
3. 如果您的转发器崩溃，则不会进行故障转移。

我在blog post 中编写了一个更长、更详细的方法，它提高了整体安全性并增加了故障转移功能。该解决方案使用纯 SSH 而不是 gcloud CLI。

Answer 3

如果您需要 VPC 中的某些内容，也可以启动 Redis on Compute Engine

它比 Redis Cloud 成本更高（尤其是对于集群而言）——但如果您必须将数据保存在 VPC 中，这是一种临时解决方案。