Cette page présente la mise en réseau de Memorystore pour Redis.
Memorystore utilise l'appairage de VPC pour connecter votre réseau VPC au réseau de services Google interne. Memorystore pour Redis fournit différentes architectures d'appairage et fonctionnalités réseau en fonction du mode de connexion choisi lors de la création d'une instance.
L'option permettant de sélectionner un mode de connexion a été introduite pour prendre en charge des options réseau avancées dans Google Cloud, telles que les architectures de VPC partagé et une meilleure gestion des adresses IP, tout en garantissant l'architecture d'appairage existante de Memorystore.
Memorystore pour Redis est compatible avec deux modes de connexion, DIRECT_PEERING
et PRIVATE_SERVICE_ACCESS
.
Quel que soit le mode de connexion, Memorystore pour Redis utilise toujours des adresses IP internes pour provisionner les instances Redis.
Modes de connexion
Memorystore pour Redis propose deux modes de connexion compatibles avec différentes fonctionnalités :
- Appairage direct
- Accès aux services privés
Pour afficher le mode de connexion réseau d'une instance existante, exécutez la commande suivante en remplaçant les variables par les valeurs appropriées :
gcloud redis instances describe instance-id --region=region
- La valeur
connectMode
afficheDIRECT_PEERING
ouPRIVATE_SERVICE_ACCESS
.
Pour savoir comment choisir le mode de connexion lors de la création d'une instance, consultez les sections Créer une instance Redis dans un projet de service à l'aide d'un réseau VPC partagé ou Créer une instance Redis avec une plage d'adresses IP centralisée.
Appairage direct
Lorsque vous utilisez le mode d'appairage direct, Memorystore crée un appairage VPC entre le réseau VPC client et le réseau VPC du projet géré par Google. L'appairage est créé automatiquement lors de la création de l'instance et ne nécessite aucune étape supplémentaire de la part de l'utilisateur. Les autres services Google Cloud ne partagent pas l'appairage. Memorystore pour Redis utilisait le mode de connexion d'appairage direct avant la disponibilité du mode de connexion d'accès aux services privés.
Par défaut, les nouvelles instances sont créées à l'aide du mode de connexion d'appairage direct. Tous les scripts existants sans mode de connexion spécifié utilisent le mode d'appairage direct par défaut.
Si vous créez une instance avec le mode de connexion d'appairage direct et que vous souhaitez utiliser l'option gcloud --reserved-ip-range
pour spécifier une plage d'adresses IP, consultez la section Créer une instance Redis avec une plage d'adresses IP spécifique pour obtenir des instructions sur la spécification d'une plage. La taille de bloc minimale requise est de /29
pour les instances sans instance dupliquée avec accès en lecture. La taille de bloc minimale requise est de /28
pour les instances comportant des instances dupliquées avec accès en lecture.
Accès aux services privés
L'accès aux services privés est un autre moyen de créer un appairage entre votre réseau VPC et le réseau de services Google.
L'établissement d'une connexion d'accès aux services privés pour un réseau VPC crée un appairage entre ce réseau VPC et le réseau de services Google. Une fois la connexion établie, vous pouvez créer votre instance à l'aide du mode de connexion d'accès aux services privés.
L'accès aux services privés vous permet d'utiliser les fonctionnalités suivantes pour votre instance Redis :
- Provisionner une instance Memorystore pour Redis dans un projet de service à l'aide du VPC partagé
- Gérer les plages d'adresses IP de manière centralisée sur plusieurs services Google
- Se connecter à partir de sources externes à votre réseau VPC via un tunnel VPN ou en établissant une connexion Cloud Interconnect à votre réseau VPC
L'un des avantages supplémentaires de l'accès aux services privés est que le même appairage réseau est partagé entre plusieurs services Google, ce qui limite le nombre d'appairages créés par les services Google.
L'option gcloud --reserved-ip-range
a une fonction différente lors de la création d'instances avec le mode de connexion d'accès aux services privés par rapport à la création d'instances avec le mode de connexion d'appairage direct. Lors de la création
avec le mode d'accès aux services privés, s'il existe plusieurs
des plages d'adresses IP allouées à l'accès aux services privés, vous pouvez utiliser
L'option gcloud --reserved-ip-range
pour choisir les plages allouées à utiliser lorsque
créer votre instance Redis. Pour savoir comment procéder, consultez la page Créer une instance Redis avec une plage d'adresses IP spécifique.
Choisir un mode de connexion
Le tableau ci-dessous présente les différents cas d'utilisation et modes de connexion à utiliser.
Scénario | Mode de connexion compatible | |
---|---|---|
Provisionner une instance Redis avec un réseau VPC partagé | Accès aux services privés uniquement | |
Accéder à une instance Redis à partir de réseaux sur site à l'aide d'un VPN | Accès aux services privés uniquement | |
Utiliser la gestion centralisée des plages d'adresses IP pour plusieurs services Google | Accès aux services privés uniquement | |
Provisionner une instance Redis à l'aide d'un réseau VPC dédié | Accès aux services privés (recommandé) ou appairage direct |
Changer les modes de connexion des instances existantes
Vous ne pouvez pas changer le mode de connexion d'une instance existante. Pour changer de mode de connexion, vous devez recréer l'instance à l'aide du nouveau mode de connexion. Cela entraîne une modification de l'adresse IP de l'instance.
Par exemple, si une instance existante a été créée avant que le mode de connexion d'accès aux services privés ne soit disponible, la propriété du mode de connexion est définie sur l'appairage direct. Si vous recréez l'instance à l'aide du mode de connexion d'accès aux services privés, l'adresse IP de l'instance change.
En outre, Memorystore pour Redis permet d'avoir des instances Redis utilisant l'accès aux services privés et des instances utilisant l'appairage direct, dans le même projet et sur le même réseau.
Accès sur site avec accès aux services privés
Vous pouvez vous connecter à partir d'un client sur un réseau sur site si ce réseau est connecté au réseau VPC auquel votre instance Memorystore pour Redis est connectée. Pour autoriser les connexions à partir d'un réseau sur site, procédez comme suit :
- Assurez-vous que votre réseau VPC partagé est connecté à votre réseau sur site via l'une des options suivantes
- Tunnel Cloud VPN
- Un rattachement de VLAN pour une interconnexion dédiée ou une interconnexion partenaire.
- Assurez-vous que les sessions BGP sur les routeurs cloud gérant vos tunnels Cloud VPN et vos rattachements Cloud Interconnect (VLAN) ont reçu des préfixes (destinations) spécifiques provenant de votre réseau sur site. Les routes par défaut (destination
0.0.0.0/0
) ne peuvent pas dans le réseau VPC Memorystore pour Redis, car ce réseau possède sa propre route locale par défaut. Les itinéraires locaux d'une destination sont toujours utilisé, même lorsque l'appairage Memorystore pour Redis est configuré pour importer des routes personnalisées à partir de votre réseau VPC. - Identifiez l'appairage généré par la connexion aux services privés.
L'appairage utilisé par Memorystore pour Redis se nomme
servicenetworking-googleapis-com
. - Mettez à jour la connexion d'appairage pour échanger des routes personnalisées en définissant à la fois l'option
--import-custom-routes
et l'option--export-custom-routes
. - Identifiez la plage allouée utilisée par la connexion aux services privés.
- Créez une route annoncée personnalisée Cloud Router pour la plage allouée sur les routeurs Cloud Router qui gèrent les sessions BGP pour vos tunnels Cloud VPN ou vos rattachements Cloud Interconnect (VLAN).
Communiquer les exigences de mise en réseau
Généralement, l'équipe réseau et/ou l'administrateur réseau de votre organisation sont chargés de configurer une connexion d'accès aux services privés. Cela permet à l'équipe réseau de s'assurer qu'aucune adresse IP ou plage utilisée pour d'autres ressources Google Cloud ne se chevauche, ce qui peut entraîner des problèmes de connectivité.
Nous vous recommandons de contacter l'équipe réseau/sécurité de votre organisation pour configurer la connexion de service privé, en particulier si vous rencontrez une erreur lors du processus de configuration. Lorsque vous contactez votre équipe réseau, envoyez-lui les informations suivantes :
The Memorystore for Redis instance cannot be created due to the following error: "Google private services access is not enabled. Enable privates service access and try again." Before an instance can be created, a private service access connection needs to be established for network <project name: network>. Please refer to the following Memorystore documentation links for more information on how to create this connection: * Networking. * Establishing a private services access connection. * Verifying a private services access connection.
Conditions réseau pour les instances activées pour les instances dupliquées avec accès en lecture
Pour utiliser la fonctionnalité d'instances dupliquées avec accès en lecture pour Memorystore pour Redis, votre instance doit disposer d'une plage d'adresses IP CIDR définie sur /28
ou supérieure. Les tailles de plage plus grandes, telles que /27
et /26
, sont valides. Les plages plus petites, telles que /29
, ne sont pas compatibles avec cette fonctionnalité.
Autorisations requises pour établir une connexion d'accès aux services privés
Pour gérer une connexion d'accès aux services privés, vous devez disposer des rôles IAM suivants. Si vous ne disposez pas des autorisations requises, vous risquez d'obtenir des erreurs d'autorisation insuffisantes. Pour obtenir la liste des erreurs réseau courantes, consultez la section Scénarios d'erreurs réseau.
Autorisations de l'interface utilisateur
Autorisations requises pour répertorier les réseaux de projet locaux et hôtes dans l'interface utilisateur :
compute.networks.list
- Requis dans les projets locaux et hôtes
Autorisation requise pour vérifier la connexion d'accès aux services privés dans l'interface utilisateur :
compute.networks.list
- Requis dans les projets locaux et hôtes
Autorisation requise pour créer une connexion d'accès aux services privés dans l'interface utilisateur :
serviceusage.services.enable
- Requis pour activer l'API Service Networking
compute.addresses.create
compute.addresses.list
servicenetworking.services.addPeering
Autorisations gcloud
Autorisations gcloud requises pour vérifier la connexion d'accès aux services privés
compute.networks.list
- Requis dans les projets locaux et hôtes
Autorisations gcloud requises pour créer une connexion d'accès aux services privés
serviceusage.services.enable
- Requis pour activer l'API Service Networking
compute.addresses.create
compute.addresses.list
servicenetworking.services.addPeering
Réseaux et plages d'adresses IP clientes compatibles
Memorystore pour Redis accepte les adresses IP privées RFC 1918 et certaines 1918 adresses IP privées.
- Intervalles valides fournit une liste des plages acceptables pour Memorystore pour Redis. Toutefois, Memorystore pour Redis n'est pas compatible avec les adresses IP publiques utilisées en mode privé (PUPI) listées dans le tableau des plages valides disponible sur ce lien.
- L'option Plages restreintes fournit une liste d'adresses IP des plages d'adresses IP qui ne peuvent pas être utilisées pour créer des instances Memorystore pour Redis.
- Si une instance Memorystore utilise le mode de connexion d'accès aux services privés, les clients des plages PUPI ne peuvent pas se connecter à l'instance Memorystore.
Memorystore est également compatible avec les réseaux VPC à l'exception des anciens réseaux, de l'accès sur site Réseaux VPC partagés :