Présentation
L'appairage de VPC consiste à configurer les VPC pour qu'ils communiquent entre eux. Si votre source se trouve dans le même projet Google Cloud dans Cloud SQL ou Compute Engine, la destination peut communiquer directement avec la source. Si votre source se trouve dans un VPN (par exemple, dans AWS ou dans votre propre VPN sur site), configurez le VPN source et Google Cloud VPN afin qu'ils fonctionnent ensemble. Pour en savoir plus, consultez la section Connecter des VPC via des VPN.La chaîne de VPC n'est pas acceptée. Si votre source se trouve dans un autre projet Google Cloud , consultez la page Présentation du VPC partagé pour découvrir comment connecter les ressources de plusieurs projets à un réseau VPC commun pour l'appairage de VPC.
Le pare-feu du serveur de base de données source doit être configuré pour autoriser l'intégralité de la plage d'adresses IP internes allouée à la connexion de service privée du réseau VPC que l'instance de destination Cloud SQL utilisera.
Pour trouver la plage d'adresses IP internes dans la console, procédez comme suit :
Accédez à la page "Réseaux VPC" dans la console Google Cloud .
Sélectionnez le réseau VPC que vous souhaitez utiliser.
Sélectionnez l'onglet CONNEXION AU SERVICE PRIVÉ.
pg_hba.conf ou les définitions des groupes de sécurité dans AWS RDS sur la base de données source sont mises à jour pour accepter les connexions de la plage d'adresses IP du VPC Cloud SQL.
L'appairage de VPC utilise l'accès aux services privés, qui doit être configuré une fois pour chaque projet utilisant l'appairage de VPC. Une fois que vous avez établi private services access, testez votre tâche de migration pour vérifier la connectivité.
Configurer l'accès aux services privés pour Database Migration Service
Si vous utilisez une adresse IP privée pour l'une de vos instances Database Migration Service, vous n'avez besoin de configurer l'accès aux services privés qu'une seule fois pour chaque projet Google Cloud disposant ou devant disposer d'une connexion à une instance Database Migration Service.
La mise en œuvre d'un accès aux services privés nécessite le rôle IAM compute.networkAdmin. Une fois l'accès aux services privés établi pour votre réseau, vous n'avez plus besoin du rôle IAM compute.networkAdmin pour configurer une instance de sorte qu'elle utilise une adresse IP privée.
Pour accéder aux services privés, vous devez d'abord allouer une plage d'adresses IP internes, puis créer une connexion privée, puis exporter une route personnalisée.
Une plage allouée est un bloc CIDR réservé qui ne peut pas être utilisé dans votre réseau VPC local. Lorsque vous créez une connexion privée, vous spécifiez une allocation. La connexion privée relie votre réseau VPC au réseau VPC sous-jacent ("producteur de services").
Lorsque vous créez une connexion privée, le réseau VPC et le réseau du producteur de services n'échangent que des routes de sous-réseau. Vous devez exporter les routes personnalisées du réseau VPC afin que le réseau du fournisseur de services puisse les importer et acheminer correctement le trafic vers votre réseau sur site.
Une configuration d'appairage établit l'intention de se connecter à un autre réseau VPC. Votre réseau et l'autre réseau ne sont pas connectés tant qu'ils ne disposent pas tous les deux d'une configuration d'appairage avec l'autre réseau. Une fois que l'autre réseau possède une configuration correspondante d'appairage avec votre réseau, l'état de l'appairage devient "ACTIVE" dans les deux réseaux, qui sont alors connectés. Si aucune configuration d'appairage correspondante n'existe sur l'autre réseau, l'état d'appairage reste sur INACTIVE, ce qui signifie que votre réseau n'est pas connecté à l'autre.
Une fois connectés, les deux réseaux échangent toujours des routes de sous-réseau. Si vous le souhaitez, vous pouvez importer des routes personnalisées statiques et dynamiques à partir d'un réseau appairé si celui-ci a été configuré pour les exporter.
Le processus de configuration de l'accès aux services privés s'effectue en deux étapes :
- Affecter une plage d'adresses IP La plage englobe toutes vos instances.
- Créer une connexion privée entre votre réseau VPC et le réseau du producteur de services
Affecter une plage d'adresses IP
Console
- Accédez à la page "Réseaux VPC" dans la console Google Cloud .
- Sélectionnez le réseau VPC que vous souhaitez utiliser.
- Sélectionnez l'onglet Connexion au service privé.
- Sélectionnez l'onglet Plages d'adresses IP allouées pour les services.
- Cliquez sur Allouer une plage d'adresses IP.
Dans le champ Nom de la plage allouée, spécifiez
google-managed-services-VPC_NETWORK_NAME, oùVPC_NETWORK_NAMEest le nom du réseau VPC que vous connectez (par exemple,google-managed-services-default). Le champ Description est facultatif.Cliquez sur ALLOUER pour créer la plage allouée.
gcloud
Effectuez l'une des opérations suivantes :
Pour spécifier une plage d'adresses et une longueur de préfixe (masque de sous-réseau), utilisez les options
addressesetprefix-length. Par exemple, pour allouer le bloc CIDR192.168.0.0/16, spécifiez192.168.0.0pour l'adresse et16pour la longueur du préfixe.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]Pour spécifier une longueur de préfixe (masque de sous-réseau) uniquement, utilisez simplement l'option
prefix-length. Si vous ne spécifiez pas de plage d'adresses, Google Cloudsélectionne automatiquement une plage d'adresses non utilisée sur votre réseau VPC. L'exemple suivant choisit une plage d'adresses IP non utilisée avec une longueur de préfixe de16bits.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]
Remplacez [VPC_NETWORK_NAME] par le nom de votre réseau VPC, tel que my-vpc-network.
L'exemple suivant alloue une plage d'adresses IP permettant aux ressources du réseau VPC my-vpc-network de se connecter à des instances Database Migration Service à l'aide d'une adresse IP privée.
gcloud compute addresses create google-managed-services-my-vpc-network \
--global \
--purpose=VPC_PEERING \
--prefix-length=16 \
--network=my-vpc-network \
--project=my-project
Créer une connexion privée
Console
- Accédez à la page "Réseaux VPC" dans la console Google Cloud .
- Sélectionnez le réseau VPC que vous souhaitez utiliser.
- Sélectionnez l'onglet Connexion au service privé.
- Sélectionnez l'onglet Connexions privées aux services.
- Cliquez sur Créer une connexion pour créer une connexion privée entre votre réseau et un producteur de services.
- Pour l'allocation attribuée, sélectionnez une ou plusieurs plages attribuées existantes qui ne sont pas utilisées par d'autres producteurs de services, puis cliquez sur OK.
- Cliquez sur CONNECT (CONNECTER) pour créer la connexion.
gcloud
Créez une connexion privée.
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=google-managed-services-[VPC_NETWORK_NAME] \ --network=[VPC_NETWORK_NAME] \ --project=[PROJECT_ID]Remplacez
[VPC_NETWORK_NAME]par le nom de votre réseau VPC et[PROJECT_ID]par l'ID du projet qui contient votre réseau VPC.La commande lance une opération longue. Elle affiche un nom d'opération.
Vérifiez si l'opération a réussi.
gcloud services vpc-peerings operations describe \ --name=[OPERATION_NAME]Remplacez
[OPERATION_NAME]par le nom de l'opération renvoyé à l'étape précédente.
Vous pouvez spécifier plusieurs plages allouées lorsque vous créez une connexion privée. Par exemple, si une plage est épuisée, vous pouvez affecter d'autres plages allouées. Le service utilise les adresses IP de toutes les plages fournies dans l'ordre que vous avez spécifié.
Exporter des routes personnalisées
Mettez à jour une connexion d'appairage de réseaux VPC existante pour indiquer si votre réseau VPC exporte ou importe des routes personnalisées vers ou depuis le réseau VPC appairé.
Votre réseau n'importe des routes personnalisées que si le réseau appairé exporte également des routes personnalisées, et le réseau appairé ne reçoit des routes personnalisées que s'il en importe.
Console
- Accédez à la page "Appairage de réseaux VPC" dans la console Google Cloud .
Accéder à la page "Appairage de réseaux VPC" - Sélectionnez la connexion d'appairage à mettre à jour.
- Cliquez sur MODIFIER.
- Mettez à jour vos paramètres de route personnalisée en sélectionnant ou en désélectionnant Importer les routes personnalisées ou Exporter les routes personnalisées.
- Cliquez sur ENREGISTRER.
gcloud
Mettez à jour la connexion d'appairage pour vos paramètres d'importation ou d'exportation de routes personnalisées.
gcloud compute networks peerings update [PEERING-NAME] \
--network=[MY-LOCAL-NETWORK] \
[--[no-]import-custom-routes] \
[--[no-]export-custom-routes]
Attribuer le rôle roles/servicenetworking.serviceAgent
gcloud beta services identity create \
--service=servicenetworking.googleapis.com \
--project=project-id
gcloud projects add-iam-policy-binding project-id \
--member="service-account-prefix@service-networking.iam.gserviceaccount.com" \
--role="roles/servicenetworking.serviceAgent"