Gestion de réseaux

Cette page présente la mise en réseau de Memorystore pour Redis.

Memorystore utilise l'appairage de VPC pour connecter votre réseau VPC au réseau de services Google interne. Memorystore pour Redis fournit différentes architectures d'appairage et fonctionnalités réseau en fonction du mode de connexion choisi lors de la création d'une instance.

L'option permettant de sélectionner un mode de connexion a été introduite pour prendre en charge des options réseau avancées dans Google Cloud, telles que les architectures de VPC partagé et une meilleure gestion des adresses IP, tout en garantissant l'architecture d'appairage existante de Memorystore.

Memorystore pour Redis est compatible avec deux modes de connexion, DIRECT_PEERING et PRIVATE_SERVICE_ACCESS.

Quel que soit le mode de connexion, Memorystore pour Redis utilise toujours des adresses IP internes pour provisionner les instances Redis.

Modes de connexion

Memorystore pour Redis propose deux modes de connexion compatibles avec différentes fonctionnalités :

  • Appairage direct
  • Accès aux services privés

Pour afficher le mode de connexion réseau d'une instance existante, exécutez la commande suivante en remplaçant les variables par les valeurs appropriées :

gcloud redis instances describe instance-id --region=region
  • La valeur connectMode affiche DIRECT_PEERING ou PRIVATE_SERVICE_ACCESS.

Pour savoir comment choisir le mode de connexion lors de la création d'une instance, consultez les sections Créer une instance Redis dans un projet de service à l'aide d'un réseau VPC partagé ou Créer une instance Redis avec une plage d'adresses IP centralisée.

Appairage direct

Lorsque vous utilisez le mode d'appairage direct, Memorystore crée un appairage VPC entre le réseau VPC client et le réseau VPC du projet géré par Google. L'appairage est créé automatiquement lors de la création de l'instance et ne nécessite aucune étape supplémentaire de la part de l'utilisateur. Les autres services Google Cloud ne partagent pas l'appairage. Memorystore pour Redis utilisait le mode de connexion d'appairage direct avant la disponibilité du mode de connexion d'accès aux services privés.

Par défaut, les nouvelles instances sont créées à l'aide du mode de connexion d'appairage direct. Tous les scripts existants sans mode de connexion spécifié utilisent le mode d'appairage direct par défaut.

Si vous créez une instance avec le mode de connexion d'appairage direct et que vous souhaitez utiliser l'option gcloud --reserved-ip-range pour spécifier une plage d'adresses IP, consultez la section Créer une instance Redis avec une plage d'adresses IP spécifique pour obtenir des instructions sur la spécification d'une plage. La taille de bloc minimale requise est de /29 pour les instances sans instance dupliquée avec accès en lecture. La taille de bloc minimale requise est de /28 pour les instances comportant des instances dupliquées avec accès en lecture.

Accès aux services privés

L'accès aux services privés est un autre moyen de créer un appairage entre votre réseau VPC et le réseau de services Google.

L'établissement d'une connexion d'accès aux services privés pour un réseau VPC crée un appairage entre ce réseau VPC et le réseau de services Google. Une fois la connexion établie, vous pouvez créer votre instance à l'aide du mode de connexion d'accès aux services privés.

L'accès aux services privés vous permet d'utiliser les fonctionnalités suivantes pour votre instance Redis :

  • Provisionner une instance Memorystore pour Redis dans un projet de service à l'aide du VPC partagé
  • Gérer les plages d'adresses IP de manière centralisée sur plusieurs services Google
  • Se connecter à partir de sources externes à votre réseau VPC via un tunnel VPN ou en établissant une connexion Cloud Interconnect à votre réseau VPC

L'un des avantages supplémentaires de l'accès aux services privés est que le même appairage réseau est partagé entre plusieurs services Google, ce qui limite le nombre d'appairages créés par les services Google.

L'option gcloud --reserved-ip-range a une fonction différente lors de la création d'instances avec le mode de connexion d'accès aux services privés par rapport à la création d'instances avec le mode de connexion d'appairage direct. Lors de la création d'instances avec le mode d'accès aux services privés, si plusieurs plages d'adresses IP sont allouées pour l'accès aux services privés, vous pouvez utiliser l'option gcloud --reserved-ip-range pour choisir la plage à utiliser lorsque vous créez votre instance Redis. Pour savoir comment procéder, consultez la page Créer une instance Redis avec une plage d'adresses IP spécifique.

Choisir un mode de connexion

Le tableau ci-dessous présente les différents cas d'utilisation et modes de connexion à utiliser.

Scénario Mode de connexion compatible
Provisionner une instance Redis avec un réseau VPC partagé Accès aux services privés uniquement
Accéder à une instance Redis à partir de réseaux sur site à l'aide d'un VPN Accès aux services privés uniquement
Utiliser la gestion centralisée des plages d'adresses IP pour plusieurs services Google Accès aux services privés uniquement
Provisionner une instance Redis à l'aide d'un réseau VPC dédié Accès aux services privés (recommandé) ou appairage direct

Changer les modes de connexion des instances existantes

Vous ne pouvez pas changer le mode de connexion d'une instance existante. Pour changer de mode de connexion, vous devez recréer l'instance à l'aide du nouveau mode de connexion. Cela entraîne une modification de l'adresse IP de l'instance.

Par exemple, si une instance existante a été créée avant que le mode de connexion d'accès aux services privés ne soit disponible, la propriété du mode de connexion est définie sur l'appairage direct. Si vous recréez l'instance à l'aide du mode de connexion d'accès aux services privés, l'adresse IP de l'instance change.

En outre, Memorystore pour Redis permet d'avoir des instances Redis utilisant l'accès aux services privés et des instances utilisant l'appairage direct, dans le même projet et sur le même réseau.

Accès sur site avec accès aux services privés

Vous pouvez vous connecter à partir d'un client sur un réseau sur site si ce réseau est connecté au réseau VPC auquel votre instance Memorystore pour Redis est connectée. Pour autoriser les connexions à partir d'un réseau sur site, procédez comme suit :

  1. Assurez-vous que votre réseau VPC partagé est connecté à votre réseau sur site via l'une des options suivantes
  2. Assurez-vous que les sessions BGP sur les routeurs cloud gérant vos tunnels Cloud VPN et vos rattachements Cloud Interconnect (VLAN) ont reçu des préfixes (destinations) spécifiques provenant de votre réseau sur site. Les routes par défaut (destination 0.0.0.0/0) ne peuvent pas être importées dans le réseau VPC Memorystore pour Redis, car celui-ci possède sa propre route locale par défaut. Les routes locales d'une destination sont toujours utilisées, même lorsque l'appairage Memorystore pour Redis est configuré pour importer des routes personnalisées à partir de votre réseau VPC.
  3. Identifiez l'appairage généré par la connexion aux services privés. L'appairage utilisé par Memorystore pour Redis se nomme servicenetworking-googleapis-com.
  4. Mettez à jour la connexion d'appairage pour échanger des routes personnalisées en définissant à la fois l'option --import-custom-routes et l'option --export-custom-routes.
  5. Identifiez la plage allouée utilisée par la connexion aux services privés.
  6. Créez une route annoncée personnalisée Cloud Router pour la plage allouée sur les routeurs Cloud Router qui gèrent les sessions BGP pour vos tunnels Cloud VPN ou vos rattachements Cloud Interconnect (VLAN).

Communiquer les exigences de mise en réseau

Généralement, l'équipe réseau et/ou l'administrateur réseau de votre organisation sont chargés de configurer une connexion d'accès aux services privés. Cela permet à l'équipe réseau de s'assurer qu'aucune adresse IP ou plage utilisée pour d'autres ressources Google Cloud ne se chevauche, ce qui peut entraîner des problèmes de connectivité.

Nous vous recommandons de contacter l'équipe réseau/sécurité de votre organisation pour configurer la connexion de service privé, en particulier si vous rencontrez une erreur lors du processus de configuration. Lorsque vous contactez votre équipe réseau, envoyez-lui les informations suivantes :

The Memorystore for Redis instance cannot be created due to the following
error:

"Google private services access is not enabled. Enable privates service access
and try again."

Before an instance can be created, a private service access connection needs to
be established for network <project name: network>. Please refer to the
following Memorystore documentation links for more information on how to create
this connection:

* Networking.
* Establishing a private services access connection.
* Verifying a private services access connection.

Conditions réseau pour les instances activées pour les instances dupliquées avec accès en lecture

Pour utiliser la fonctionnalité d'instances dupliquées avec accès en lecture pour Memorystore pour Redis, votre instance doit disposer d'une plage d'adresses IP CIDR définie sur /28 ou supérieure. Les tailles de plage plus grandes, telles que /27 et /26, sont valides. Les plages plus petites, telles que /29, ne sont pas compatibles avec cette fonctionnalité.

Autorisations requises pour établir une connexion d'accès aux services privés

Pour gérer une connexion d'accès aux services privés, vous devez disposer des rôles IAM suivants. Si vous ne disposez pas des autorisations requises, vous risquez d'obtenir des erreurs d'autorisation insuffisantes. Pour obtenir la liste des erreurs réseau courantes, consultez la section Scénarios d'erreurs réseau.

Autorisations de l'interface utilisateur

Autorisations requises pour répertorier les réseaux de projet locaux et hôtes dans l'interface utilisateur :
  • compute.networks.list
    • Requis dans les projets locaux et hôtes
Autorisation requise pour vérifier la connexion d'accès aux services privés dans l'interface utilisateur :
  • compute.networks.list
    • Requis dans les projets locaux et hôtes
Autorisation requise pour créer une connexion d'accès aux services privés dans l'interface utilisateur :
  • serviceusage.services.enable
    • Requis pour activer l'API Service Networking
  • compute.addresses.create
  • compute.addresses.list
  • servicenetworking.services.addPeering

Autorisations gcloud

Autorisations gcloud requises pour vérifier la connexion d'accès aux services privés
  • compute.networks.list
    • Requis dans les projets locaux et hôtes
Autorisations gcloud requises pour créer une connexion d'accès aux services privés
  • serviceusage.services.enable
    • Requis pour activer l'API Service Networking
  • compute.addresses.create
  • compute.addresses.list
  • servicenetworking.services.addPeering

Réseaux et plages d'adresses IP clientes compatibles

Memorystore pour Redis est compatible avec les adresses IP privées RFC 1918 et certaines adresses IP privées non RFC 1918.

  • Intervalles valides fournit une liste des plages acceptables pour Memorystore pour Redis. Toutefois, Memorystore pour Redis n'est pas compatible avec les adresses IP publiques utilisées en mode privé (PUPI) listées dans le tableau des plages valides disponible sur ce lien.
  • Plages limitées : liste des plages d'adresses IP qui ne peuvent pas être utilisées pour créer des instances Memorystore pour Redis.
  • Si une instance Memorystore utilise le mode de connexion d'accès aux services privés, les clients des plages PUPI ne peuvent pas se connecter à l'instance Memorystore.

Memorystore est également compatible avec les réseaux VPC, à l'exception des anciens réseaux, de l'accès sur site et des réseaux VPC partagés.