À propos de la migration des services basés sur le peering vers Private Service Connect

De nombreux producteurs de services gérés utilisent l'appairage de réseaux VPC pour offrir une connectivité aux clients de services situés dans un autre réseau cloud privé virtuel (VPC). Une autre solution consiste à utiliser Private Service Connect.

Ce document explique comment les producteurs de services peuvent migrer leurs services basés sur l'association vers Private Service Connect et conserver l'adresse IP utilisée pour accéder au service. Ce processus de migration nécessite que toutes les ressources connectées à un sous-réseau donné soient migrées en même temps.

Chaque producteur de services détermine s'il va migrer vers Private Service Connect et quand. Pour savoir si un producteur de services migre de l'appairage de réseaux VPC vers Private Service Connect, consultez la documentation du service ou contactez le producteur de services.

Migrer des services basés sur le peering

Dans cet exemple de service basé sur le peering, le client vm1 envoie du trafic à l'équilibreur de charge 10.10.10.10 du service dans le réseau VPC du producteur. Le réseau consommateur dispose d'une route de sous-réseau d'appairage pour le sous-réseau du producteur, car les réseaux sont connectés via l'appairage de réseaux VPC.

Figure 1 : Dans un service basé sur l'appairage, le réseau VPC du client et le réseau VPC du producteur peuvent s'accéder mutuellement via l'appairage de réseaux VPC (cliquez pour agrandir).

Lors de la migration, les tâches suivantes sont effectuées:

  • Le producteur déploie le service dans un nouveau sous-réseau producer-subnet-2 dans un nouveau réseau VPC, puis publie le service via Private Service Connect.
  • Le producteur crée une plage interne pour réserver la plage CIDR du sous-réseau du producteur, 10.10.10.0/24.
  • Le producteur supprime le sous-réseau d'origine producer-subnet-1 et toutes les ressources qu'il contient.
  • Un sous-réseau de migration consumer-subnet-2 est créé dans le réseau VPC du client, configuré avec la même plage CIDR que le sous-réseau du producteur.
  • Un point de terminaison Private Service Connect est créé dans le sous-réseau de migration, configuré avec la même adresse IP que celle utilisée précédemment par la règle de transfert de l'équilibreur de charge du producteur.

Une fois la migration terminée, le client vm1 peut toujours accéder au service à 10.10.10.10, mais cette adresse IP est désormais associée au point de terminaison Private Service Connect dans le réseau VPC du client.

Figure 2. Après la migration, les clients du réseau VPC consommateur envoient des requêtes au point de terminaison Private Service Connect, qui transfère le trafic vers le réseau VPC du producteur (cliquez pour agrandir).

Tâches de migration

La migration comprend des tâches effectuées à la fois dans les réseaux VPC producteur et consommateur. Le producteur peut se coordonner avec le consommateur pour effectuer la migration. Dans le cas des services gérés par Google, le producteur de services peut automatiser les tâches du consommateur via un agent de service.

Tâche Producteur Consommateur
Déployer un service Private Service Connect
Déployez le service dans un nouveau sous-réseau d'un nouveau réseau VPC dans le projet de production, puis publiez-le à l'aide de Private Service Connect. Effectuée par le producteur
Arrêter le service basé sur l'appairage
Réservez la plage CIDR du sous-réseau du producteur en créant une plage interne dans le projet du producteur. Effectuée par le producteur Le consommateur fournit le nom du sous-réseau à utiliser pour la cible de migration.
Supprimez toutes les ressources du sous-réseau producteur, puis supprimez le sous-réseau. Effectuée par le producteur Le client ne peut plus accéder au service
Créer un point de terminaison Private Service Connect dans le réseau client
Créez un sous-réseau de migration dans le réseau consommateur. Si le client n'a pas choisi le nom du sous-réseau, le producteur le lui fournit. Effectuée par le consommateur (ou par le producteur via un agent de service)
Créer un point de terminaison Private Service Connect dans le réseau client Le producteur fournit l'URI du rattachement de service au client

Effectuée par le consommateur (ou par le producteur via un agent de service)

Le client peut accéder au service

Valider l'accès via le point de terminaison Private Service Connect Effectuée par le consommateur
Finaliser la migration
Supprimer la plage interne Effectuée par le producteur
Modifiez le sous-réseau de migration du client pour le convertir en sous-réseau standard. Effectuée par le consommateur (ou par le producteur via un agent de service)
Si elle n'est pas nécessaire pour d'autres services, supprimez la connexion d'appairage dans les réseaux producteur et consommateur. Effectuée par le producteur Effectuée par le consommateur (ou par le producteur via un agent de service)

Remarques

Si vous êtes un producteur de services qui souhaite migrer votre service basé sur le peering vers Private Service Connect, tenez compte des points suivants:

  • L'implémentation Private Service Connect du service doit offrir les mêmes fonctionnalités que le service basé sur l'appairage.
  • Vous devez pouvoir supprimer toutes les ressources du sous-réseau contenant l'instance de service lors de la migration. Si plusieurs instances de service utilisent le même sous-réseau, toutes les instances doivent migrer en même temps.
  • Le point de terminaison Private Service Connect du client, ainsi que le rattachement de service et la règle de transfert du producteur, doivent tous se trouver dans la même région.

    Pour permettre l'accès au point de terminaison depuis n'importe quelle région, vous pouvez activer l'accès mondial sur le point de terminaison.

  • Si le service enregistre l'état, vous devez disposer d'une méthode permettant de migrer l'état vers les nouvelles instances de service.

  • Vous ne pouvez pas supprimer la connexion d'appairage tant que toutes les instances de service du réseau VPC du producteur n'ont pas été migrées.

  • Le service est indisponible pendant la migration.

  • La migration vers Private Service Connect a un impact sur les tarifs, tant pour les producteurs que pour les consommateurs. Assurez-vous que vos consommateurs sont informés de ce changement avant de les migrer.

  • Private Service Connect traduit l'adresse IP source du client en adresse IP dans un sous-réseau NAT. Si le service a besoin d'informations sur l'adresse IP du client, vous devez utiliser le protocole PROXY pour obtenir l'adresse IP du client et gérer les paquets de manière appropriée entre les VM de backend et votre application.

Plages internes pour la migration

La plage interne permet de réserver la plage CIDR utilisée dans le sous-réseau du producteur afin que, lorsque le sous-réseau du producteur est supprimé, la plage CIDR ne puisse pas être utilisée à d'autres fins.

Lorsque vous créez une plage interne pour la migration de pairs, vous définissez l'utilisation sur FOR_MIGRATION et spécifiez les sous-réseaux source et cible. Le sous-réseau source est le sous-réseau du producteur, et le sous-réseau cible est le nouveau sous-réseau de migration d'équivalence qui sera créé ultérieurement dans le réseau consommateur.

La création de la plage interne empêche la création d'un sous-réseau correspondant à la fois au nom du sous-réseau cible et à la plage CIDR. Toutefois, un autre sous-réseau portant le même nom peut être créé dans le réseau client s'il utilise une plage CIDR différente. Dans ce cas, la migration ne peut pas se poursuivre tant que le sous-réseau client portant le nom correspondant n'est pas supprimé ou que la plage interne n'est pas supprimée.

Sous-réseaux de migration de pair

Le sous-réseau créé dans le réseau consommateur pour la migration a pour objectif PEER_MIGRATION. Les sous-réseaux de migration de pairs ne peuvent contenir que des adresses IP et des points de terminaison Private Service Connect.

Une fois la migration terminée et validée, le sous-réseau est mis à jour pour devenir un sous-réseau standard en définissant la finalité sur PRIVATE. D'autres ressources peuvent alors être créées dans le sous-réseau. Un sous-réseau standard ne peut pas être converti en sous-réseau de migration de pairs.

Vous devez disposer de l'autorisation IAM (Identity and Access Management) compute.subnetworks.usePeerMigration pour créer ou utiliser un sous-réseau de migration de pairs. Cette autorisation n'est incluse dans aucun rôle prédéfini. Vous devez créer un rôle personnalisé pour l'utiliser.

Seuls les principaux disposant de l'autorisation compute.subnetworks.usePeerMigration peuvent effectuer les opérations suivantes:

  • Créez et supprimez des ressources d'adresses IP dans les sous-réseaux de migration entre pairs.
  • Créez et supprimez des points de terminaison Private Service Connect (règles de transfert) dans les sous-réseaux de migration de pairs.

Les comptes principaux disposant du rôle Administrateur de réseau Compute (roles/compute.networkAdmin), mais ne disposant pas de l'autorisation compute.subnetworks.usePeerMigration, ne peuvent pas effectuer les tâches précédentes, mais peuvent effectuer les opérations suivantes:

  • Créez un sous-réseau avec l'objet défini sur PEER_MIGRATION.
  • Mettez à jour le sous-réseau, par exemple pour étendre la plage CIDR ou activer l'accès privé à Google.
  • Définissez l'objectif du sous-réseau sur PRIVATE.
  • Supprimez le sous-réseau.

Tarifs

Pour en savoir plus sur les tarifs, consultez les pages suivantes:

Étape suivante