Créer un sous-réseau hybride

Hybrid Subnets vous aide à migrer des charges de travail d'un sous-réseau sur site vers un sous-réseau cloud privé virtuel (VPC) sans avoir à modifier les adresses IP. Ce document décrit les étapes à suivre pour créer un sous-réseau hybride, migrer les charges de travail à la partie Google Cloud d'un sous-réseau hybride, puis testez la connectivité dans un sous-réseau hybride.

Avant de commencer

Assurez-vous d'avoir terminé les étapes de la page Préparer la connectivité de Hybrid Subnets.
Pour utiliser les exemples de ligne de commande de ce guide, installez ou mettez à jour la dernière version de Google Cloud CLI.
Activez l'API Compute Engine dans votre projet Google Cloud. Pour en savoir plus, consultez la page API Compute Engine.
Activez l'API Network Connectivity dans votre projet Google Cloud. Pour en savoir plus, consultez la page API Network Connectivity.

Rôles requis

Pour obtenir les autorisations nécessaires pour créer un sous-réseau hybride, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de réseaux Compute (roles/compute.networkAdmin) sur votre projet. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Configurer le routage de sous-réseau hybride

Pour configurer le routage de sous-réseau hybride, effectuez l'une des opérations suivantes :

Créez un sous-réseau sur lequel le routage de sous-réseau hybride est activé.
Activez le routage de sous-réseau hybride pour un sous-réseau existant.

Créer un sous-réseau avec le routage de sous-réseau hybride activé

Console

Dans Google Cloud Console, accédez à la page Réseaux VPC.

Accéder aux réseaux VPC
Cliquez sur le nom du réseau VPC dans lequel vous souhaitez créer un sous-réseau hybride.
Cliquez sur l'onglet Sous-réseaux.
Cliquez sur Ajouter un sous-réseau. Dans le panneau qui apparaît :
1. Indiquez un Nom.
2. Sélectionnez une Région.
3. Dans la section Objectif, sélectionnez Aucun.
4. Dans la section Type de pile, sélectionnez IPv4 (pile unique).
5. Dans le champ Plage IPv4, saisissez la plage d'adresses IPv4 du segment de votre réseau sur site que vous souhaitez utiliser pour le sous-réseau hybride.
6. Dans la section Accès privé à Google, sélectionnez Désactivé.
7. Dans la section Sous-réseau hybride, sélectionnez Activé.
8. Cliquez sur Ajouter.

Activer le routage de sous-réseau hybride pour un sous-réseau existant

Vous pouvez activer le routage de sous-réseau hybride pour un sous-réseau existant dont la plage d'adresses du sous-réseau IPv4 principal correspond à celle du segment du réseau sur site à utiliser pour le sous-réseau hybride.

Pour activer le routage de sous-réseau hybride pour un sous-réseau existant, activez le chevauchement des routes CIDR pour ce sous-réseau. Cela modifie le comportement de routage du réseau VPC afin de permettre le chevauchement entre la plage d'adresses IP du sous-réseau et celle des routes dynamiques personnalisées.

Pour en savoir plus sur le chevauchement des routes CIDR, consultez le champ allowSubnetCidrRoutesOverlap dans la documentation de référence de l'API Compute Engine.

Console

Dans Google Cloud Console, accédez à la page Réseaux VPC.

Accéder aux réseaux VPC
Cliquez sur le nom du réseau VPC qui contient le sous-réseau que vous souhaitez mettre à jour.
Cliquez sur l'onglet Sous-réseaux.
Cliquez sur le sous-réseau que vous souhaitez mettre à jour.
Cliquez sur Modifier.
Dans la section Sous-réseau hybride, sélectionnez Activé.
Cliquez sur Enregistrer.

gcloud

Exécutez la commande gcloud beta compute networks subnets update.

gcloud beta compute networks subnets update SUBNET \
    --region=REGION \
    --allow-cidr-routes-overlap

Remplacez les éléments suivants :

SUBNET : nom du sous-réseau
REGION : région du sous-réseau.

API

Recherchez l'ID fingerprint de votre sous-réseau.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_ID : ID de votre projet
REGION : région de votre sous-réseau
SUBNET_NAME : nom de votre sous-réseau

Méthode HTTP et URL :

GET https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "kind": "compute#subnetwork",
  "id": "5514771331600183201",
  "creationTimestamp": "2022-09-16T12:41:02.010-07:00",
  "name": "subnet-name",
  "network": "https://www.googleapis.com/compute/v1/projects/project-name/global/networks/network-name",
  "ipCidrRange": "10.6.0.0/16",
  "gatewayAddress": "10.6.0.1",
  "region": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1/subnetworks/subnet-name",
  "privateIpGoogleAccess": true,
  "fingerprint": "YiItidAFRsA5",
  "allowSubnetCidrRoutesOverlap": false,
  "enableFlowLogs": true,
  "privateIpv6GoogleAccess": "DISABLE_GOOGLE_ACCESS",
  "purpose": "PRIVATE",
  "stackType": "IPV4_ONLY"
}

Activez le routage de sous-réseau hybride.

Avant d'utiliser les données de requête, remplacez SUBNET_FINGERPRINT par l'ID d'empreinte de votre sous-réseau que vous avez trouvé dans la requête précédente, par exemple YiItidAFRsA5.

Méthode HTTP et URL :

PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

Corps JSON de la requête :

{
  "allowSubnetCidrRoutesOverlap": true,
  "fingerprint": "SUBNET_FINGERPRINT"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "kind": "compute#operation",
  "id": "5973660558170953708",
  "name": "operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "operationType": "compute.subnetworks.patch",
  "targetLink": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1/subnetworks/subnet-name",
  "targetId": "5514771331600183201",
  "status": "RUNNING",
  "user": "user@gmail.com",
  "progress": 0,
  "insertTime": "2023-03-31T11:40:03.882-07:00",
  "startTime": "2023-03-31T11:40:03.893-07:00",
  "selfLink": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1/operations/operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "region": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1"
}

Pour vérifier que allowSubnetCidrRoutesOverlap est activé pour votre sous-réseau, envoyez une autre requête GET et assurez-vous que la réponse inclut les éléments suivants :
- "allowSubnetCidrRoutesOverlap": true

Configurer l'annonce de routage

Configurez la session BGP (Border Gateway Protocol) pour votre produit de connectivité hybride (tunnel VPN, rattachement de VLAN ou instance de machine virtuelle (VM) d'appareil de routeur) pour annoncer uniquement les préfixes IPv4 et IPv6 personnalisés..

Tester la connectivité sur site à partir de votre réseau VPC

Pour tester la connectivité entre votre sous-réseau hybride et la plage d'adresses IP qui se chevauche sur votre réseau sur site, procédez comme suit :

Créez une VM de test dans le sous-réseau hybride de votre réseau VPC.
Notez l'adresse IPv4 interne principale de la VM de test.
Mettez à jour l'annonce de routage personnalisée de la session BGP du routeur cloud pour inclure une annonce de routage personnalisée /32 pour l'adresse IPv4 interne principale de votre VM de test.
Utilisez SSH pour vous connecter à la VM.
Lorsque le système d'exploitation vous y invite, utilisez ICMP pour ping l'adresse IP d'un système sur site dans le sous-réseau hybride.

Si le test ping échoue, assurez-vous que les règles de pare-feu Google Cloud et le pare-feu sur site autorisent ICMP dans les plages d'adresses IP du sous-réseau hybride.

Déplacer des charges de travail et mettre à jour le routage

Chaque fois que vous migrez une charge de travail ou un groupe de charges de travail, procédez comme suit :

Migrer des charges de travail

Migrez les charges de travail et les VM de votre réseau sur site vers votre réseau VPC à l'aide de la méthode de votre choix. Pour migrer des VM vers Compute Engine, nous vous recommandons d'utiliser Migrate to Virtual Machines.

Pour plus d'informations sur les options de migration, consultez la page Hybrid Subnets et Migrate to Virtual Machines.

Mettre à jour une annonce de routage personnalisée

Lorsque vous migrez des VM vers Google Cloud, mettez à jour l'annonce de routage personnalisée de la session BGP de votre routeur Cloud Router pour inclure l'adresse IPv4 interne principale de chaque VM migrée. Ajoutez des adresses IP individuelles à l'aide d'une annonce de routage personnalisée /32.

Pour les blocs d'adresses IP contigus, consolidez les adresses en un nombre aussi réduit que possible d'annonces personnalisées. Les publicités doivent rester plus spécifiques (avec des masques de sous-réseau plus longs) que la plage d'adresses IP du sous-réseau hybride.

Tester la connectivité à une VM migrée depuis votre réseau sur site

Pour tester la connectivité à une VM que vous avez migrée vers Google Cloud, vous pouvez effectuer les opérations suivantes :

Assurez-vous de mettre à jour les annonces de routage personnalisées pour les sessions BGP qui gèrent la connectivité hybride. Les annonces de routage doivent inclure l'adresse IPv4 interne principale de la VM migrée.
Envoyez un ping ICMP d'un système sur site à l'adresse IP de la VM migrée.

Étapes suivantes

Mettez hors service un sous-réseau hybride.