Réseau

'

Cette page présente la mise en réseau de Memorystore pour Redis.

Memorystore utilise l'appairage de VPC pour connecter votre réseau VPC au réseau de services Google interne. Memorystore pour Redis fournit différentes architectures d'appairage et fonctionnalités réseau en fonction du mode de connexion choisi lors de la création d'une instance.

L'option permettant de sélectionner un mode de connexion a été introduite pour prendre en charge des options réseau avancées dans Google Cloud, telles que les architectures de VPC partagé et une meilleure gestion des adresses IP, tout en garantissant l'architecture d'appairage existante de Memorystore.

Memorystore pour Redis est compatible avec deux modes de connexion, DIRECT_PEERING et PRIVATE_SERVICE_ACCESS.

Quel que soit le mode de connexion, Memorystore pour Redis utilise toujours des adresses IP internes pour provisionner les instances Redis.

Modes de connexion

Memorystore pour Redis propose deux modes de connexion compatibles avec différentes fonctionnalités :

  • Appairage direct
  • Accès aux services privés

Pour afficher le mode de connexion réseau d'une instance existante, exécutez la commande suivante en remplaçant les variables par les valeurs appropriées :

gcloud redis instances describe instance-id --region=region
  • La valeur connectMode affiche DIRECT_PEERING ou PRIVATE_SERVICE_ACCESS.

Pour savoir comment choisir le mode de connexion lors de la création d'une instance, consultez les sections Créer une instance Redis dans un projet de service à l'aide d'un réseau VPC partagé ou Créer une instance Redis avec une plage d'adresses IP centralisée.

Appairage direct

Lorsque vous utilisez le mode d'appairage direct, Memorystore crée un appairage VPC entre le réseau VPC client et le réseau VPC du projet géré par Google. L'appairage est créé automatiquement lors de la création de l'instance et ne nécessite aucune étape supplémentaire de la part de l'utilisateur. Les autres services Google Cloud ne partagent pas l'appairage. Memorystore pour Redis utilisait le mode de connexion d'appairage direct avant la disponibilité du mode de connexion d'accès aux services privés.

Par défaut, les nouvelles instances sont créées à l'aide du mode de connexion d'appairage direct. Tous les scripts existants sans mode de connexion spécifié utilisent le mode d'appairage direct par défaut.

Accès aux services privés

L'accès aux services privés est un autre moyen de créer un appairage entre votre réseau VPC et le réseau de services Google.

L'établissement d'une connexion d'accès aux services privés pour un réseau VPC crée un appairage entre ce réseau VPC et le réseau de services Google. Une fois la connexion établie, vous pouvez créer votre instance à l'aide du mode de connexion d'accès aux services privés.

L'accès aux services privés vous permet d'utiliser les fonctionnalités suivantes pour votre instance Redis :

  • Provisionner une instance Memorystore pour Redis dans un projet de service à l'aide du VPC partagé
  • Gérer les plages d'adresses IP de manière centralisée sur plusieurs services Google
  • Se connecter à partir de sources externes à votre réseau VPC via un tunnel VPN ou en établissant une connexion Cloud Interconnect à votre réseau VPC

Actuellement, vous ne pouvez créer des instances avec le mode de connexion d'accès aux services privés qu'à l'aide de l'outil de ligne de commande gcloud.

L'un des avantages supplémentaires de l'accès aux services privés est que le même appairage réseau est partagé entre plusieurs services Google, ce qui limite le nombre d'appairages créés par les services Google.

Choisir un mode de connexion

Le tableau ci-dessous présente les différents cas d'utilisation et modes de connexion à utiliser.

Scénario Mode de connexion compatible
Provisionner une instance Redis avec un réseau VPC partagé Accès aux services privés uniquement
Accéder à une instance Redis à partir de réseaux sur site à l'aide d'un VPN Accès aux services privés uniquement
Utiliser la gestion centralisée des plages d'adresses IP pour plusieurs services Google Accès aux services privés uniquement
Provisionner une instance Redis à l'aide d'un réseau VPC dédié Accès aux services privés (recommandé) ou appairage direct

Changer les modes de connexion des instances existantes

Vous ne pouvez pas changer le mode de connexion d'une instance existante. Pour changer de mode de connexion, vous devez recréer l'instance à l'aide du nouveau mode de connexion. Cela entraîne une modification de l'adresse IP de l'instance.

Par exemple, si une instance existante a été créée avant que le mode de connexion d'accès aux services privés ne soit disponible, la propriété du mode de connexion est définie sur l'appairage direct. Si vous recréez l'instance à l'aide du mode de connexion d'accès aux services privés, l'adresse IP de l'instance change.

En outre, Memorystore pour Redis permet d'avoir des instances Redis utilisant l'accès aux services privés et des instances utilisant l'appairage direct, dans le même projet et sur le même réseau.

Accès sur site avec accès aux services privés

Vous pouvez vous connecter à partir d'un client sur un réseau sur site si ce réseau est connecté au réseau VPC auquel votre instance Memorystore pour Redis est connectée. Pour autoriser les connexions à partir d'un réseau sur site, procédez comme suit :

  1. Assurez-vous que votre réseau VPC partagé est connecté à votre réseau sur site via l'une des options suivantes
  2. Identifiez l'appairage généré par la connexion aux services privés. L'appairage utilisé par Memorystore pour Redis se nomme servicenetworking-googleapis-com.
  3. Mettez à jour la connexion d'appairage pour échanger des routes personnalisées en définissant à la fois l'option --import-custom-routes et l'option --export-custom-routes.
  4. Identifiez la plage allouée utilisée par la connexion aux services privés.
  5. Créez une annonce de routage personnalisée Cloud Router pour la plage allouée sur les routeurs cloud qui gèrent les sessions BGP pour vos tunnels Cloud VPN ou vos rattachements Cloud Interconnect (VLAN).

Définir une plage d'adresses IP personnalisée

Il existe deux manières de désigner une plage d'adresses IP personnalisée avec Memorystore pour Redis :

  • Méthode d'accès aux services privés

    • Utilisez cette méthode si votre instance Redis utilise le mode de connexion PRIVATE_SERVICE_ACCESS.
  • Méthode d'appairage direct

    • Utilisez cette méthode si votre instance Redis utilise le mode de connexion DIRECT_PEERING.

Les plages d'adresses IP sont exprimées au format CIDR.

Plage d'adresses IP personnalisée avec le mode de connexion d'accès aux services privés

Vous pouvez utiliser Cloud Console et l'outil gcloud pour concevoir une plage personnalisée. Pour obtenir des instructions sur l'allocation d'une plage, consultez la section Créer des plages d'adresses IP allouées.

Plage d'adresses IP personnalisée avec appairage direct

Si votre instance utilise le mode de connexion DIRECT_PEERING, vous ne pouvez désigner une plage d'adresses IP personnalisée pour Memorystore pour Redis qu'en utilisant le paramètre gcloud --reserved-ip-range avec la commande gcloud redis instances create. Vous ne pouvez pas modifier la plage réservée après la création de l'instance ni ajouter une plage réservée à une instance Redis existante.

Voici un exemple de valeur acceptable pour ce paramètre :

--reserved-ip-range=10.0.0.0/29

Communiquer les exigences de mise en réseau

Généralement, l'équipe réseau et/ou l'administrateur réseau de votre organisation sont chargés de configurer une connexion d'accès aux services privés. Cela permet à l'équipe réseau de s'assurer qu'aucune adresse IP ou plage utilisée pour d'autres ressources Google Cloud ne se chevauche, ce qui peut entraîner des problèmes de connectivité.

Nous vous recommandons de contacter l'équipe réseau/sécurité de votre organisation pour configurer la connexion de service privé, en particulier si vous rencontrez une erreur lors du processus de configuration. Lorsque vous contactez votre équipe réseau, envoyez-lui les informations suivantes :

The Memorystore for Redis instance cannot be created due to the following
error:

"Google private services access is not enabled. Enable privates service access
and try again."

Before an instance can be created, a private service access connection needs to
be established for network <project name: network>. Please refer to the
following Memorystore documentation links for more information on how to create
this connection:

* Networking.
* Establishing a private services access connection.
* Verifying a private services access connection.

Autorisations requises pour établir une connexion d'accès aux services privés

Pour gérer une connexion d'accès aux services privés, vous devez disposer des rôles IAM suivants. Si vous ne disposez pas des autorisations requises, vous risquez d'obtenir des erreurs d'autorisation insuffisantes. Pour obtenir la liste des erreurs réseau courantes, consultez la section Scénarios d'erreurs réseau.

Autorisations de l'interface utilisateur

Autorisations requises pour répertorier les réseaux de projet locaux et hôtes dans l'interface utilisateur :
  • compute.networks.list
    • Requis dans les projets locaux et hôtes
Autorisation requise pour vérifier la connexion d'accès aux services privés dans l'interface utilisateur :
  • compute.networks.list
    • Requis dans les projets locaux et hôtes
Autorisation requise pour créer une connexion d'accès aux services privés dans l'interface utilisateur :
  • serviceusage.services.enable
    • Requis pour activer l'API Service Networking
  • compute.addresses.create
  • compute.addresses.list
  • servicenetworking.services.addPeering

Autorisations gcloud

Autorisations gcloud requises pour vérifier la connexion d'accès aux services privés
  • compute.networks.list
    • Requis dans les projets locaux et hôtes
Autorisations gcloud requises pour créer une connexion d'accès aux services privés
  • serviceusage.services.enable
    • Requis pour activer l'API Service Networking
  • compute.addresses.create
  • compute.addresses.list
  • servicenetworking.services.addPeering

Réseaux et plages d'adresses IP clientes compatibles

Le réseau ou les instances suivants dotés d'adresses IP RFC 1918 sont compatibles :