Questa pagina fornisce una panoramica del networking per Memorystore for Redis.
Memorystore utilizza il peering VPC per connettere la tua rete VPC alla rete interna dei servizi Google. Memorystore for Redis offre diverse le architetture di peering e le funzionalità di rete in base alla connessione modalità scelta durante la creazione di un'istanza.
È stata introdotta l'opzione per selezionare una modalità di connessione per supportare le funzionalità avanzate opzioni di networking in Google Cloud come architetture VPC condiviso e IP migliore garantendo al contempo il supporto per le applicazioni architettura del peering.
Memorystore for Redis supporta due modalità di connessione, DIRECT_PEERING e
PRIVATE_SERVICE_ACCESS.
Indipendentemente dalla modalità di connessione, Memorystore for Redis utilizza sempre e indirizzi IP interni per eseguire il provisioning delle istanze Redis.
Modalità di connessione
Memorystore for Redis offre due modalità di connessione che supportano diverse di classificazione:
- Peering diretto
- Accesso privato ai servizi
Per visualizzare la modalità di connessione di rete per un'istanza esistente, esegui il seguente comando sostituendo variables con i valori appropriati:
gcloud redis instances describe instance-id --region=region
- Il valore
connectModemostraDIRECT_PEERINGoPRIVATE_SERVICE_ACCESS.
Per istruzioni su come scegliere la modalità di connessione durante la creazione dell'istanza, consulta Creare un'istanza Redis con una rete VPC condivisa in un progetto di servizio o Creare un'istanza Redis con un intervallo di indirizzi IP centralizzato.
Peering diretto
Quando utilizzi la modalità di peering diretto, Memorystore crea un peering VPC tra la rete VPC del cliente e la rete VPC nel progetto gestito da Google. Il peering viene creato automaticamente durante la creazione dell'istanza e non richiede ulteriori passaggi da parte dell'utente. Altro Google Cloud e non condividono il peering. Memorystore for Redis ha utilizzato la gestione Modalità di connessione in peering prima della disponibilità dell'accesso privato ai servizi modalità di connessione.
Per impostazione predefinita, le nuove istanze vengono create utilizzando la modalità di connessione in peering diretto. Gli script esistenti senza la modalità di connessione specificata utilizzano per impostazione predefinita la modalità di peering diretto.
Se stai creando un'istanza con la modalità di connessione di peering diretto e vuoi utilizzare il flag --reserved-ip-range gcloud per specificare un intervallo di indirizzi IP, consulta Creare un'istanza Redis con un intervallo di indirizzi IP specifico per istruzioni su come specificare un intervallo. La dimensione minima del blocco richiesta è /29
per le istanze senza repliche di lettura. La dimensione minima del blocco richiesta è /28
per le istanze con repliche di lettura.
Accesso privato ai servizi
Accesso privato ai servizi è un altro modo per creare un peering tra la tua rete VPC e dei servizi Google Cloud.
Quando si stabilisce una connessione di accesso privato ai servizi per una rete VPC, viene creato il peering tra quella rete VPC e la rete dei servizi Google. Una volta stabilita la connessione, puoi creare l'istanza utilizzando la modalità di connessione di accesso ai servizi privati.
L'utilizzo dell'accesso ai servizi privati ti consente di utilizzare le seguenti funzionalità per la tua istanza Redis:
- Eseguire il provisioning di un'istanza Memorystore for Redis in un progetto di servizio utilizzando VPC condiviso.
- Gestire a livello centrale gli intervalli di indirizzi IP per più servizi Google.
- Esegui la connessione da origini esterne alla rete VPC tramite un tunnel VPN o Cloud Interconnect.
Uno dei vantaggi aggiuntivi dell'accesso privato ai servizi è che lo stesso peering di rete viene condiviso tra più servizi Google, limitando così il numero di peering creati dai servizi Google.
Il flag gcloud --reserved-ip-range ha uno scopo diverso durante la creazione
con la modalità di connessione di accesso privato ai servizi rispetto a quando
e creazione di istanze
con la modalità di connessione in peering diretto. Durante la creazione
con la modalità di accesso privato ai servizi, se sono presenti
di indirizzi IP allocati per l'accesso privato ai servizi, puoi utilizzare
--reserved-ip-range flag gcloud per scegliere gli intervalli allocati da utilizzare quando
la creazione dell'istanza Redis. Per le istruzioni su come eseguire questa operazione, consulta Creare un'istanza Redis con un intervallo di indirizzi IP specifico.
Scelta di una modalità di connessione
La tabella seguente illustra i diversi casi d'uso e modalità di connessione che dovresti per gli utilizzi odierni.
| Scenario | Modalità di connessione supportata | |
|---|---|---|
| Eseguire il provisioning di un'istanza Redis con una rete VPC condiviso | Solo accesso privato ai servizi | |
| Accedere a un'istanza Redis dalle reti on-premise utilizzando una VPN | Solo accesso privato ai servizi | |
| Utilizzare la gestione centralizzata degli intervalli IP per più servizi Google | Solo accesso privato ai servizi | |
| Esegui il provisioning di un'istanza Redis utilizzando una rete VPC dedicata | Accesso privato ai servizi (consigliato) o peering diretto |
Cambiare le modalità di connessione delle istanze esistenti
Non puoi cambiare la modalità di connessione di un'istanza esistente. Per cambiare la modalità di connessione, devi ricreare l'istanza utilizzando la nuova modalità di connessione. Questo determina una modifica dell'indirizzo IP dell'istanza.
Ad esempio, se hai un'istanza esistente creata prima la modalità di connessione di accesso privato ai servizi era disponibile, la modalità di connessione per l'istanza in questione sia impostata sul peering diretto. Se ricrei il modello utilizzando la modalità di connessione di accesso privato ai servizi, l'indirizzo IP modifiche all'istanza.
Memorystore for Redis supporta inoltre le istanze Redis che utilizzano ai servizi e alle istanze usando il peering diretto, nello stesso progetto sulla stessa rete.
Accesso on-premise con accesso privato ai servizi
Puoi connetterti da un client in una rete on-premise se la rete on-premise è connessa alla rete VPC a cui è connessa la tua istanza Memorystore for Redis. Per consentire le connessioni da un on-premise, segui questi passaggi:
- Assicurati che la rete VPC condivisa sia connessa alla rete on-premise utilizzando una delle seguenti opzioni
- Tunnel Cloud VPN
- un collegamento VLAN per Dedicated Interconnect o Partner Interconnect.
- Assicurati che le sessioni BGP sui router Cloud che gestiscono
Tunnel Cloud VPN e collegamenti di Cloud Interconnect
(VLAN) hanno ricevuto prefissi specifici (destinazioni) dalle tue reti on-premise
in ogni rete. Le route predefinite (destinazione
0.0.0.0/0) non possono essere importate nella rete VPC di Memorystore per Redis perché questa rete ha la propria route predefinita locale. Le route locali per una destinazione vengono sempre utilizzate, anche quando il peering Memorystore for Redis è configurato per importare route personalizzate dalla rete VPC. -
Identifica il peering prodotto dalla connessione ai servizi privati.
Il peering utilizzato da Memorystore for Redis è denominato
servicenetworking-googleapis-com. -
Aggiorna la connessione in peering per scambiare route personalizzate impostando entrambi i flag
--import-custom-routese--export-custom-routes. - Identifica l'intervallo allocato utilizzato dalla connessione ai servizi privati.
- Crea una route annunciata personalizzata del router Cloud per l'intervallo allocato sui router Cloud che gestiscono le sessioni BGP per i tuoi tunnel VPN Cloud o i collegamenti Cloud Interconnect (VLAN).
Comunicare i requisiti di rete
In genere, il team di networking e/o l'amministratore di rete della tua organizzazione è responsabile della configurazione di una connessione di accesso privato ai servizi. Ciò consente team di networking per garantire che nessun indirizzo o intervallo IP venga utilizzato Le risorse Google Cloud si sovrappongono e questo può causare problemi di connettività.
Ti consigliamo di contattare il team di rete/sicurezza della tua organizzazione per farti configurare la connessione privata ai servizi, in particolare se riscontri un errore durante la procedura di configurazione. Quando contatti il team di networking, inviagli le seguenti informazioni:
The Memorystore for Redis instance cannot be created due to the following error: "Google private services access is not enabled. Enable privates service access and try again." Before an instance can be created, a private service access connection needs to be established for network <project name: network>. Please refer to the following Memorystore documentation links for more information on how to create this connection: * Networking. * Establishing a private services access connection. * Verifying a private services access connection.
Requisiti di networking per le istanze con repliche di lettura abilitate
Per utilizzare la funzionalità delle repliche di lettura per Memorystore for Redis, l'istanza deve
hanno un intervallo di indirizzi IP CIDR pari o superiore a /28. Dimensioni di intervalli più ampi come /27
e /26 sono validi. Intervalli più piccoli come /29 non sono supportati
funzionalità.
Autorizzazioni richieste per stabilire una connessione di accesso privato ai servizi
Per gestire una connessione di accesso privato ai servizi, l'utente deve avere i seguenti ruoli IAM. Se non disponi delle autorizzazioni richieste, potresti ricevere errori relativi a autorizzazioni insufficienti. Per un elenco di per gli errori di rete, consulta Scenari di errore di rete.
Autorizzazioni UI
Autorizzazioni necessarie per elencare le reti dei progetti locali e host nell'interfaccia utente:
compute.networks.list- Obbligatorio sia nei progetti locali che in quelli host.
Autorizzazione richiesta per controllare la connessione di accesso privato ai servizi nell'interfaccia utente:
compute.networks.list- Necessaria sia nel progetto locale che in quello host.
Autorizzazione richiesta per creare una connessione di accesso privato ai servizi nell'interfaccia utente:
serviceusage.services.enable- Obbligatorio per abilitare l'API Service Networking.
compute.addresses.createcompute.addresses.listservicenetworking.services.addPeering
Autorizzazioni gcloud
Autorizzazioni gcloud necessarie per controllare la connessione di accesso privato ai servizi
compute.networks.list- Necessaria sia nel progetto locale che in quello host.
Autorizzazioni gcloud necessarie per creare una connessione di accesso privato ai servizi
serviceusage.services.enable- Necessaria per abilitare l'API Service Networking.
compute.addresses.createcompute.addresses.listservicenetworking.services.addPeering
Reti e intervalli IP client supportati
Memorystore for Redis supporta gli indirizzi IP privati RFC 1918 e alcuni indirizzi IP privati non RFC 1918.
- Intervalli validi fornisce un elenco di intervalli accettabili per Memorystore for Redis. Tuttavia, Memorystore for Redis non supporta gli indirizzi IP pubblici utilizzati privatamente (PUPI) elencati nella tabella degli intervalli validi a cui si fa riferimento qui.
- Intervalli con limitazioni fornisce un elenco di intervalli di indirizzi IP che non possono essere utilizzati per creare istanze Memorystore for Redis.
- Se un'istanza Memorystore utilizza la modalità di connessione di accesso privato ai servizi, i client degli intervalli PUPI non possono connettersi all'istanza Memorystore.
Memorystore supporta anche le reti VPC, tranne le reti legacy, l'accesso on-premise e le reti VPC condivise.