INFRA NOTE · 0513
GCP / CLOUD RUN — PUBLIC EXPOSURE
QUESTION — そもそも LB は要るのか?

Load Balancer
いらない

Cloud Run はデプロイした瞬間に、Google マネージドの HTTPS URL を一本発行する。 証明書は Google が用意して、勝手に更新する。あとは IAM で公開フラグを立てるだけ。 LB を前段に置くのは、独自ドメインや WAF が本気で欲しくなった日まで取っておいていい。

HTTPS
https://my-service-xy7z2pq-an.a.run.app
BY GOOGLE
01 — MECHANISM

公開は、二つのスイッチで決まる。

LAYER 01 / IDENTITY

IAM

allUsers に roles/run.invoker を付けるか否か。

● allUsers : invoker 200 OK / 誰でも叩ける
○ 付与なし 401 / URL はあるが弾かれる

gcloud run deploy --allow-unauthenticated、または UI の「未認証の呼び出しを許可」がこのスイッチ。

LAYER 02 / NETWORK

Ingress

どこからのリクエストを受け付けるか、URL レベルで絞る。

● --ingress=all インターネットから到達可能
○ internal / internal+LB VPC・LB 経由のみ

デフォルトは all。public 公開したいなら、ここは触らなくていい。

02 — TOPOLOGY

最小と、LB 経由を並べる。

MINIMAL — default behavior

最小構成

$0 固定費 / 従量のみ
Client BROWSER YOU / WORLD HTTPS *.run.app Google 管理 HTTPS 終端 AUTO-PROVISIONED Cloud Run CONTAINER 3 NODES · 0 INFRA OVERHEAD READY ON DAY 1

デプロイした瞬間に、この三角形が出来上がる。URL も証明書も Google 持ち。月数百円〜数ドルで世界に届く。

WITH LB — only when needed

LB 経由構成

+ $18/月 固定 + traffic
Client example .com CUSTOM DOMAIN HTTPS LB $18 / 月 + traffic FIXED COST Run + Cloud Armor (WAF) + Cloud CDN + 固定IP

独自ドメインを本番運用、複数リージョン束ね、CDN・WAF・固定 IP — このどれかが本気で要るときだけ、この構成に切り替える。

03 — COST MAP

料金は、二つの地帯に分かれる。

▲ ZERO ZONE — almost free

ほぼ、
ゼロ円。

最小構成で公開すると、触るのはここだけ。

Artifact Registry
コンテナイメージの保管庫
$0.10 / GB
Egress
下り通信、月 1GB まで無料
$0.12 / GB
Cloud Logging
月 50GB まで無料
$0.50 / GB
Cloud Monitoring
メトリクスは無料枠が広い
free tier
MONTHLY TOTAL ¥数百〜数千
▼ BURN ZONE — adds up fast

跳ねる、
地帯。

必要が出てから足せばいい。今回は触らない。

HTTPS Load Balancer
独自ドメイン本番・CDN・WAF・固定 IP が要るとき
$18 + traffic
VPC Connector
Cloud SQL / Redis を private IP で繋ぐとき
$10〜 / 月
Cloud Armor
WAF を前段に挟むとき
$5 + $0.75/M req
Cloud CDN
グローバル配信、LB と組
traffic 基準
MONTHLY TOTAL $30〜 / 月
04 — IF YOU WANT A DOMAIN

独自ドメインを当てるなら、二択

NO LB, NO COST

Cloud Run
Domain Mapping

¥0 / 月

個人プロジェクト・社内ツール向け。 preview 扱いで一部リージョン非対応、スループット上限あり。検証用や軽い本番には十分。

— TAKEAWAY —

まずは 最小 で、出す。
必要が出たら、足す