Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare la connettività utilizzando il peering VPC

MySQL | PostgreSQL | PostgreSQL ad AlloyDB

Panoramica

Il peering VPC funziona configurando i VPC in modo che comunichino tra loro. Se l'origine si trova nello stesso progetto Google Cloud in AlloyDB o Compute Engine, la destinazione può comunicare direttamente con l'origine. Se la tua origine si trova all'interno di una VPN (ad esempio in AWS o nella tua VPN on-premise), configura la VPN di origine e la VPN di Google Cloud in modo che lavorino insieme. Per ulteriori informazioni, consulta connessione dei VPC tramite VPN.

La catena di VPC non è supportata. Se l'origine si trova in un altro progetto Google Cloud , consulta la Panoramica di VPC condiviso per scoprire come collegare le risorse di più progetti a una rete VPC comune per il peering VPC.

Il firewall del server di database di origine deve essere configurato in modo da consentire l'intero intervallo IP interno allocato per la connessione al servizio privato della rete VPC che verrà utilizzata dall'istanza di destinazione AlloyDB.

Per trovare l'intervallo IP interno nella console:

Vai alla pagina Reti VPC nella console Google Cloud .
Seleziona la rete VPC che vuoi utilizzare.

Seleziona la scheda CONNESSIONE A SERVIZI PRIVATI.

Assicurati che la sezione delle connessioni di replica del file pg_hba.conf o le definizioni dei gruppi di sicurezza in AWS RDS sul database di origine siano aggiornate in modo da accettare connessioni dall'intervallo di indirizzi IP del VPC di AlloyDB.

Il peering VPC utilizza l'accesso privato ai servizi, che deve essere configurato una volta per ogni progetto che utilizza il peering VPC. Dopo aver stabilito private services access, testa il job di migrazione per verificare la connettività.

Configurare l'accesso privato ai servizi per Database Migration Service

Se utilizzi un IP privato per una delle tue istanze di Database Migration Service, devi configurare l'accesso privato ai servizi una sola volta per ogni progetto Google Cloud che ha o deve connettersi a un'istanza di Database Migration Service.

Per stabilire l'accesso privato ai servizi è necessario il ruolo IAM compute.networkAdmin. Una volta stabilito l'accesso ai servizi privati per la tua rete, non hai più bisogno del ruolo IAM compute.networkAdmin per configurare un'istanza in modo che utilizzi l'IP privato.

L'accesso privato ai servizi richiede prima l'allocazione di un intervallo di indirizzi IP interno, quindi la creazione di una connessione privata e infine l'esportazione di una route personalizzata.

Un intervallo allocato è un blocco CIDR riservato che altrimenti non può essere utilizzato nella rete VPC locale. Quando crei una connessione privata, specifichi un'allocazione. La connessione privata collega la tua rete VPC alla rete VPC sottostante ("producer di servizi").

Quando crei una connessione privata, la rete VPC e la rete del producer di servizi scambiano solo le route di subnet. Devi esportare le route personalizzate della rete VPC in modo che la rete del fornitore di servizi possa importarle e instradare correttamente il traffico verso la tua rete on-premise.

Una configurazione di peering stabilisce l'intenzione di connettersi a un'altra rete VPC. La tua rete e l'altra rete non sono connesse finché ciascuna non ha una configurazione di peering per l'altra. Una volta che l'altra rete ha una configurazione corrispondente per il peering con la tua rete, lo stato del peering diventa ATTIVO in entrambe le reti e le reti sono connesse. Se non esiste una configurazione di peering corrispondente nell'altra rete, lo stato del peering rimane INATTIVATO, indicando che la tua rete non è connessa all'altra.

Una volta connesse, le due reti scambiano sempre le route di subnet. Puoi optionally importare route personalizzate sia statiche che dinamiche da una rete in peering se è stata configurata per esportarle

La procedura di configurazione dell'accesso privato ai servizi è composta da due parti:

Assegnazione di un intervallo di indirizzi IP. L'intervallo comprende tutte le istanze.
Crea una connessione privata dalla tua rete VPC alla rete del producer di servizi.

Alloca un intervallo di indirizzi IP

Console

Vai alla pagina Reti VPC nella console Google Cloud .
Seleziona la rete VPC che vuoi utilizzare.
Seleziona la scheda Connessione ai servizi privati.
Seleziona la scheda Intervalli IP allocati per i servizi.
Fai clic su Assegna intervallo IP.
Per il nome dell'intervallo allocato, specifica google-managed-services-VPC_NETWORK_NAME, dove VPC_NETWORK_NAME è il nome della rete VPC a cui ti connetti (ad esempio google-managed-services-default). La descrizione è facoltativa.
Fai clic su ALLOCA per creare l'intervallo allocato.

gcloud

Esegui una di queste operazioni:

Per specificare un intervallo di indirizzi e una lunghezza del prefisso (subnet mask), utilizza i flag addresses e prefix-length. Ad esempio, per allocare il blocco CIDR192.168.0.0/16, specifica 192.168.0.0 per l'indirizzo e 16 per la lunghezza del prefisso.
```
gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \
    --global \
    --purpose=VPC_PEERING \
    --addresses=192.168.0.0 \
    --prefix-length=16 \
    --network=[VPC_NETWORK_NAME]
```
Per specificare solo una lunghezza del prefisso (subnet mask), utilizza il flag prefix-length. Se ometti l'intervallo di indirizzi, Google Cloud seleziona automaticamente un intervallo di indirizzi inutilizzato nella rete VPC. L'esempio seguente seleziona un intervallo di indirizzi IP non utilizzato con una lunghezza del prefisso di 16 bit.
```
gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=16 \
    --network=[VPC_NETWORK_NAME]
```

Sostituisci [VPC_NETWORK_NAME] con il nome della rete VPC, ad esempio my-vpc-network.

L'esempio seguente alloca un intervallo IP che consente alle risorse della rete VPC my-vpc-network di connettersi alle istanze di Database Migration Service utilizzando un IP privato.

gcloud compute addresses create google-managed-services-my-vpc-network \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=16 \
    --network=my-vpc-network \
    --project=my-project

Creazione di una connessione privata

Console

Vai alla pagina Reti VPC nella console Google Cloud .
Seleziona la rete VPC che vuoi utilizzare.
Seleziona la scheda Connessione ai servizi privati.
Seleziona la scheda Connessioni private ai servizi.
Fai clic su Crea connessione per creare una connessione privata tra la tua rete e un producer di servizi.
Per Allocazione assegnata, seleziona uno o più intervalli allocati esistenti che non sono utilizzati da altri produttori di servizi e poi fai clic su OK.
Fai clic su COLLEGA per creare la connessione.

gcloud

Crea una connessione privata.
```
gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=google-managed-services-[VPC_NETWORK_NAME] \
    --network=[VPC_NETWORK_NAME] \
    --project=[PROJECT_ID]
```
Sostituisci [VPC_NETWORK_NAME] con il nome della rete VPC e [PROJECT_ID] con l'ID del progetto che contiene la rete VPC.

Il comando avvia un'operazione a lunga esecuzione, restituendo un nome dell'operazione.
Controlla se l'operazione è andata a buon fine.
```
gcloud services vpc-peerings operations describe \
    --name=[OPERATION_NAME]
```
Sostituisci [OPERATION_NAME] con il nome dell'operazione restituito dal passaggio precedente.

Quando crei una connessione privata, puoi specificare più di un intervallo allocato. Ad esempio, se un intervallo è stato esaurito, puoi assegnare altri intervalli allocati. Il servizio utilizza gli indirizzi IP di tutti gli intervalli forniti nell'ordine specificato.

Esportazione di route personalizzate

Aggiorna una connessione di peering di rete VPC esistente per modificare l'esportazione o l'importazione di route personalizzate dalla o verso la rete VPC peer.

La tua rete importa le route personalizzate solo se la rete peer esporta anche route personalizzate e la rete peer riceve route personalizzate solo se le importa.

Console

Vai alla pagina Paritetà delle reti VPC nella console Google Cloud .
Vai alla pagina Peering di rete VPC
Seleziona la connessione di peering da aggiornare.
Fai clic su MODIFICA.
Aggiorna le impostazioni delle route personalizzate selezionando o deselezionando Importa route personalizzate o Esporta route personalizzate.
Fai clic su SALVA.

gcloud

Aggiorna la connessione in peering per modificare le impostazioni di importazione o esportazione per le route personalizzate.

gcloud compute networks peerings update [PEERING-NAME] \
    --network=[MY-LOCAL-NETWORK] \
    [--[no-]import-custom-routes] \
    [--[no-]export-custom-routes]

Concessione del ruolo `roles/servicenetworking.serviceAgent`

  gcloud beta services identity create \
    --service=servicenetworking.googleapis.com \
    --project=project-id

  gcloud projects add-iam-policy-binding project-id \
    --member="service-account-prefix@service-networking.iam.gserviceaccount.com" \
    --role="roles/servicenetworking.serviceAgent"

Configurare la connettività utilizzando il peering VPC

Panoramica

Configurare l'accesso privato ai servizi per Database Migration Service

Alloca un intervallo di indirizzi IP

Console

gcloud

Creazione di una connessione privata

Console

gcloud

Esportazione di route personalizzate

Console

gcloud

Concessione del ruolo roles/servicenetworking.serviceAgent

Concessione del ruolo `roles/servicenetworking.serviceAgent`