Creazione di una connessione di accesso privato ai servizi
è un prerequisito che deve essere completato prima di creare un'istanza Redis con un
Rete VPC condiviso
Questa pagina fornisce una panoramica del networking per Memorystore for Redis.
Memorystore utilizza il peering VPC per connettere la tua rete VPC
rete interna dei servizi Google. Memorystore for Redis offre diverse
le architetture di peering e le funzionalità di rete in base alla connessione
modalità scelta durante la creazione di un'istanza.
È stata introdotta l'opzione per selezionare una modalità di connessione per supportare le funzionalità avanzate
opzioni di networking in Google Cloud come architetture VPC condiviso e IP migliore
garantendo al contempo il supporto per le applicazioni
dell'architettura di peering.
Memorystore for Redis supporta due modalità di connessione, DIRECT_PEERING
e
PRIVATE_SERVICE_ACCESS
.
Indipendentemente dalla modalità di connessione, Memorystore for Redis utilizza sempre
e indirizzi IP interni per eseguire
il provisioning delle istanze Redis.
Modalità di connessione
Memorystore for Redis offre due modalità di connessione che supportano diverse
di classificazione:
- Peering diretto
- Accesso privato ai servizi
Per visualizzare la modalità di connessione di rete per un'istanza esistente, esegui il comando
seguente comando, sostituendo variables con i valori appropriati:
gcloud redis instances describe instance-id --region=region
- Il valore
connectMode
mostra DIRECT_PEERING
o
PRIVATE_SERVICE_ACCESS
.
Per istruzioni su come scegliere la modalità di connessione durante la creazione dell'istanza,
consulta Creazione di un'istanza Redis con una rete VPC condiviso in un progetto di servizio
o Creazione di un'istanza Redis con un intervallo di indirizzi IP centralizzato.
Peering diretto
Quando si utilizza la modalità di peering diretto, Memorystore crea un VPC
il peering tra la rete VPC del cliente e la rete VPC in Google
progetto gestito. Il peering viene creato automaticamente durante la creazione dell'istanza
e non richiede ulteriori passaggi da parte dell'utente. Altro Google Cloud
e non condividono il peering. Memorystore for Redis ha utilizzato la gestione
Modalità di connessione in peering prima della disponibilità dell'accesso privato ai servizi
modalità di connessione.
Per impostazione predefinita, le nuove istanze vengono create utilizzando la modalità di connessione in peering diretto.
Tutti gli script esistenti senza la modalità di connessione specificata utilizzano il metodo
la modalità di peering per impostazione predefinita.
Se crei un'istanza con la modalità di connessione in peering diretto
vuoi utilizzare il flag gcloud --reserved-ip-range
per specificare un intervallo di indirizzi IP,
consulta Creazione di un'istanza Redis con un intervallo di indirizzi IP specifico
per istruzioni su come specificare un intervallo. La dimensione minima del blocco richiesta è /29
per le istanze senza repliche di lettura. La dimensione minima del blocco richiesta è /28
per le istanze con repliche di lettura.
Accesso privato ai servizi
Accesso privato ai servizi
è un altro modo per creare un peering tra la tua rete VPC e
dei servizi Google Cloud.
Quando si stabilisce una connessione di accesso privato ai servizi per una rete VPC, viene creato
il peering tra quella rete VPC e la rete dei servizi Google. Una volta
, puoi creare l'istanza utilizzando la modalità di connessione di accesso privato ai servizi.
L'uso dell'accesso privato ai servizi ti consente di utilizzare le seguenti funzionalità per
la tua istanza Redis:
- Eseguire il provisioning di un'istanza Memorystore for Redis in un progetto di servizio utilizzando
VPC condiviso.
- Gestire a livello centrale gli intervalli di indirizzi IP per più servizi Google.
- Connettiti da origini esterne alla tua rete VPC tramite un tunnel VPN o Cloud Interconnect alla rete VPC.
Uno dei vantaggi aggiuntivi dell'accesso privato ai servizi è che
il peering di rete è condiviso tra più servizi Google, limitando così il
il numero di peering creati dai servizi Google.
Il flag gcloud --reserved-ip-range
ha uno scopo diverso durante la creazione
con la modalità di connessione di accesso privato ai servizi rispetto a quando
e creazione di istanze
con la modalità di connessione in peering diretto. Durante la creazione
con la modalità di accesso privato ai servizi, se sono presenti
di indirizzi IP allocati per l'accesso privato ai servizi, puoi utilizzare
--reserved-ip-range
flag gcloud per scegliere gli intervalli allocati da utilizzare quando
la creazione dell'istanza Redis. Per istruzioni su come eseguire questa operazione, consulta Creazione di un'istanza Redis con un intervallo di indirizzi IP specifico.
Scelta di una modalità di connessione
La tabella seguente illustra i diversi casi d'uso e modalità di connessione che dovresti
per gli utilizzi odierni.
Scenario |
Modalità di connessione supportata |
Eseguire il provisioning di un'istanza Redis con una rete VPC condiviso |
Solo accesso privato ai servizi |
Accedi a un'istanza Redis da reti on-premise utilizzando la VPN |
Solo accesso privato ai servizi |
Utilizza la gestione centralizzata dell'intervallo IP per più servizi Google |
Solo accesso privato ai servizi |
|
Esegui il provisioning di un'istanza Redis utilizzando una rete VPC dedicata |
Accesso privato ai servizi (consigliato) o peering diretto |
Cambiare le modalità di connessione delle istanze esistenti
Non puoi cambiare la modalità di connessione di un'istanza esistente. Per passare a
devi ricreare l'istanza utilizzando la nuova modalità di connessione.
Questo determina una modifica dell'indirizzo IP dell'istanza.
Ad esempio, se hai un'istanza esistente creata prima
la modalità di connessione di accesso privato ai servizi era disponibile, la modalità di connessione
per l'istanza in questione sia impostata sul peering diretto. Se ricrei il modello
utilizzando la modalità di connessione di accesso privato ai servizi, l'indirizzo IP
modifiche all'istanza.
Inoltre, Memorystore for Redis supporta la gestione di istanze Redis che utilizzano
ai servizi e alle istanze usando il peering diretto, nello stesso progetto
sulla stessa rete.
Accesso on-premise con accesso privato ai servizi
Puoi connetterti da un client in una rete on-premise se
sia connessa alla rete VPC a cui
L'istanza Memorystore for Redis è connessa. Per consentire le connessioni da
on-premise, segui questi passaggi:
- Assicurati che la rete VPC condiviso condivisa sia connessa alla rete on-premise
rete utilizzando una delle seguenti opzioni
- Assicurati che le sessioni BGP sui router Cloud che gestiscono
Tunnel Cloud VPN e collegamenti di Cloud Interconnect
(VLAN) hanno ricevuto prefissi specifici (destinazioni) dalle tue reti on-premise
in ogni rete. Le route predefinite (destinazione
0.0.0.0/0
) non possono essere
importati nella rete VPC di Memorystore for Redis
quella rete ha una propria route predefinita locale.
I percorsi locali di una destinazione sono
sempre utilizzato, anche quando è configurato il peering di Memorystore for Redis
per importare route personalizzate dalla tua rete VPC.
-
Identifica il peering prodotto dalla connessione ai servizi privati.
Il peering utilizzato da Memorystore for Redis è denominato
servicenetworking-googleapis-com
.
-
Aggiorna la connessione in peering per scambiare route personalizzate impostando sia
--import-custom-routes
e --export-custom-routes
segnalare
-
Identifica l'intervallo allocato utilizzato dalla connessione ai servizi privati.
-
Crea una route annunciata personalizzata per il router Cloud per lo stato allocato
sui router Cloud che gestiscono le sessioni BGP
Tunnel Cloud VPN o collegamenti di Cloud Interconnect (VLAN).
Comunicare i requisiti di rete
Di solito il team di networking e/o l'amministratore di rete della tua organizzazione
responsabile della configurazione di una connessione di accesso privato ai servizi. Ciò consente
team di networking per garantire che nessun indirizzo o intervallo IP vengano utilizzati per altre
Le risorse Google Cloud si sovrappongono e questo può causare problemi di connettività.
Ti consigliamo di contattare il team di sicurezza della rete della tua organizzazione per
la connessione privata ai servizi, soprattutto se si verifica
durante il processo di configurazione. Quando contatti il team di networking, invia
le seguenti informazioni:
The Memorystore for Redis instance cannot be created due to the following
error:
"Google private services access is not enabled. Enable privates service access
and try again."
Before an instance can be created, a private service access connection needs to
be established for network <project name: network>. Please refer to the
following Memorystore documentation links for more information on how to create
this connection:
* Networking.
* Establishing a private services access connection.
* Verifying a private services access connection.
Requisiti di networking per le istanze abilitate per la replica di lettura
Per utilizzare la funzionalità delle repliche di lettura per Memorystore for Redis, l'istanza deve
hanno un intervallo di indirizzi IP CIDR pari o superiore a /28
. Dimensioni di intervalli più ampi come /27
e /26
sono validi. Intervalli più piccoli come /29
non sono supportati
funzionalità.
Autorizzazioni richieste per stabilire una connessione di accesso privato ai servizi
Per gestire una connessione di accesso privato ai servizi, l'utente deve avere
i seguenti ruoli IAM. Se non disponi dei requisiti
sulle autorizzazioni, puoi ottenere errori
di autorizzazioni insufficienti. Per un elenco di
per gli errori di rete, consulta Scenari di errore di rete.
Autorizzazioni UI
Autorizzazioni necessarie per elencare le reti di progetto locali e host nella UI:
compute.networks.list
- Necessaria sia nel progetto locale che in quello host.
Autorizzazione necessaria per controllare la connessione di accesso privato ai servizi nella UI:
compute.networks.list
- Necessaria sia nel progetto locale che in quello host.
Autorizzazione necessaria per creare una connessione di accesso privato ai servizi nella UI:
serviceusage.services.enable
- Necessaria per abilitare l'API Service Networking.
compute.addresses.create
compute.addresses.list
servicenetworking.services.addPeering
Autorizzazioni gcloud
Autorizzazioni gcloud necessarie per verificare la connessione di accesso privato ai servizi
compute.networks.list
- Necessaria sia nel progetto locale che in quello host.
Autorizzazioni gcloud necessarie per creare una connessione di accesso privato ai servizi
serviceusage.services.enable
- Necessaria per abilitare l'API Service Networking.
compute.addresses.create
compute.addresses.list
servicenetworking.services.addPeering
Reti e intervalli IP client supportati
Memorystore for Redis supporta indirizzi IP privati RFC 1918 e alcuni indirizzi non RFC
1918 indirizzi IP privati.
- Intervalli validi fornisce un elenco di intervalli accettabili
per Memorystore for Redis. Tuttavia, Memorystore for Redis
supportano gli indirizzi IP pubblici utilizzati privatamente (PUPI) elencati nel campo
tabella degli intervalli di dati collegata qui.
- Gli intervalli limitati forniscono un elenco di IP
di indirizzi IP che non possono essere utilizzati per creare istanze Memorystore for Redis.
- Se un'istanza Memorystore utilizza l'accesso privato ai servizi
in modalità di connessione, i client degli intervalli PUPI non possono connettersi
Istanza Memorystore.
Memorystore supporta anche le reti VPC
tranne le reti legacy, l'accesso on-premise e
Reti VPC condivise.