Hybridsubnetz erstellen

Mit Hybrid Subnets können Sie Arbeitslasten von einem lokalen Subnetz zu einem VPC-Subnetz (Virtual Private Cloud) migrieren, ohne IP-Adressen ändern zu müssen. In diesem Dokument werden die Schritte beschrieben, denen Sie zum Erstellen eines Hybridsubnetzes, zum Migrieren von Arbeitslasten zum Google Cloud-Teil eines Hybridsubnetzes und zum Testen der Verbindung in einem Hybridsubnetz folgen müssen.

Hinweise

Führen Sie die Schritte unter Verbindung für Hybrid Subnets vorbereiten aus.
Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, installieren oder aktualisieren Sie auf die neueste Version der Google Cloud CLI.
Aktivieren Sie die Compute Engine API in Ihrem Google Cloud-Projekt. Weitere Informationen finden Sie in der Compute Engine API.
Aktivieren Sie die Network Connectivity API in Ihrem Google Cloud-Projekt. Weitere Informationen finden Sie unter Network Connectivity API.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Administrator (roles/compute.networkAdmin) für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen eines Hybridsubnetzes benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Routing von Hybridsubnetzen konfigurieren

Führen Sie einen der folgenden Schritte aus, um das Routing von Hybridsubnetzen zu konfigurieren:

Erstellen Sie ein neues Subnetz mit aktiviertem Hybridsubnetz-Routing.
Aktivieren Sie das Hybridsubnetz-Routing für ein vorhandenes Subnetz.

Neues Subnetz mit aktiviertem Hybridsubnetz-Routing erstellen

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf den Namen des VPC-Netzwerks, in dem Sie ein Hybridsubnetz erstellen möchten.
Klicken Sie auf den Tab Subnetze.
Klicken Sie auf Subnetz hinzufügen. Führen Sie im angezeigten Bereich folgende Schritte aus:
1. Geben Sie einen Namen an.
2. Wählen Sie eine Region aus.
3. Wählen Sie im Bereich Zweck die Option Keinen aus.
4. Wählen Sie im Abschnitt Stacktyp die Option IPv4 (Einzelstack) aus.
5. Geben Sie im Feld IPv4-Bereich den IPv4-Adressbereich des Segments Ihres lokalen Netzwerks ein, das Sie für das Hybridsubnetz verwenden möchten.
6. Wählen Sie im Abschnitt Privater Google-Zugriff die Option Aus aus.
7. Wählen Sie im Bereich Hybridsubnetz die Option An aus.
8. Klicken Sie auf Hinzufügen.

Hybridsubnetz-Routing für ein vorhandenes Subnetz aktivieren

Sie können das Hybridsubnetz-Routing für ein vorhandenes Subnetz aktivieren, dessen primärer IPv4-Adressbereich mit dem Bereich des Segments des lokalen Netzwerks übereinstimmt, das Sie für das Hybridsubnetz verwenden möchten.

Aktivieren Sie CIDR-Routenüberschneidungen für das Subnetz, um das Hybridsubnetz-Routing für ein vorhandenes Subnetz zu aktivieren. Dadurch wird das Routingverhalten des VPC-Netzwerks geändert, um eine Überschneidung zwischen dem IP-Adressbereich des Subnetzes und denen benutzerdefinierter dynamischer Routen zu ermöglichen.

Weitere Informationen zu CIDR-Routenüberschneidungen finden Sie in der allowSubnetCidrRoutesOverlap in der Referenz zur Compute Engine API.

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf den Namen des VPC-Netzwerks, das das Subnetz enthält, das Sie aktualisieren möchten.
Klicken Sie auf den Tab Subnetze.
Klicken Sie auf das Subnetz, das Sie aktualisieren möchten.
Klicken Sie auf Bearbeiten.
Wählen Sie im Bereich Hybridsubnetz die Option An aus.
Klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl gcloud beta compute networks subnets update aus.

gcloud beta compute networks subnets update SUBNET \
    --region=REGION \
    --allow-cidr-routes-overlap

Ersetzen Sie Folgendes:

SUBNET: der Name des Subnetzes.
REGION: die Region des Subnetzes.

API

Suchen Sie die fingerprint-ID Ihres Subnetzes.

Ersetzen Sie dabei folgende Werte für die Anfragedaten:

PROJECT_ID: die Projekt-ID
REGION: die Region Ihres Subnetzes.
SUBNET_NAME: der Name Ihres Subnetzes

HTTP-Methode und URL:

GET https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "kind": "compute#subnetwork",
  "id": "5514771331600183201",
  "creationTimestamp": "2022-09-16T12:41:02.010-07:00",
  "name": "subnet-name",
  "network": "https://www.googleapis.com/compute/v1/projects/project-name/global/networks/network-name",
  "ipCidrRange": "10.6.0.0/16",
  "gatewayAddress": "10.6.0.1",
  "region": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1/subnetworks/subnet-name",
  "privateIpGoogleAccess": true,
  "fingerprint": "YiItidAFRsA5",
  "allowSubnetCidrRoutesOverlap": false,
  "enableFlowLogs": true,
  "privateIpv6GoogleAccess": "DISABLE_GOOGLE_ACCESS",
  "purpose": "PRIVATE",
  "stackType": "IPV4_ONLY"
}

Aktivieren Sie Hybridsubnetzrouting.

Bevor Sie eine der Anfragedaten verwenden, ersetzen Sie SUBNET_FINGERPRINT durch die Fingerabdruck-ID Ihres Subnetzes, die Sie in der vorherigen Anfrage gefunden haben, z. B. YiItidAFRsA5.

HTTP-Methode und URL:

PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

JSON-Text anfordern:

{
  "allowSubnetCidrRoutesOverlap": true,
  "fingerprint": "SUBNET_FINGERPRINT"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "kind": "compute#operation",
  "id": "5973660558170953708",
  "name": "operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "operationType": "compute.subnetworks.patch",
  "targetLink": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1/subnetworks/subnet-name",
  "targetId": "5514771331600183201",
  "status": "RUNNING",
  "user": "user@gmail.com",
  "progress": 0,
  "insertTime": "2023-03-31T11:40:03.882-07:00",
  "startTime": "2023-03-31T11:40:03.893-07:00",
  "selfLink": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1/operations/operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "region": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1"
}

Um zu prüfen, ob allowSubnetCidrRoutesOverlap für Ihr Subnetz aktiviert ist, senden Sie eine weitere GET-Anfrage und achten Sie darauf, dass die Antwort Folgendes enthält:
- "allowSubnetCidrRoutesOverlap": true

Route Advertisement konfigurieren

Konfigurieren Sie die BGP-Sitzung (Border Gateway Protocol) für Ihr Hybridkonnektivitätsprodukt – VPN-Tunnel, VLAN-Anhang oder Router-Appliance-VM-Instanz – um nur benutzerdefiniertes IPv4 und IPv6 zu bewerben Präfixe.

Lokale Konnektivität von Ihrem VPC-Netzwerk testen

So testen Sie die Konnektivität zwischen Ihrem Hybridsubnetz und dem überlappenden IP-Adressbereich Ihres lokalen Netzwerks:

Erstellen Sie im Hybridsubnetz Ihres VPC-Netzwerks eine Testinstanz.
Notieren Sie sich die primäre interne IPv4-Adresse der Test-VM.
Aktualisieren Sie das benutzerdefinierte Route Advertisement der BGP-Sitzung des Cloud Routers, um ein benutzerdefiniertes Route Advertisement von /32 für die primäre interne IPv4-Adresse Ihrer Test-VM aufzunehmen.
Stellen Sie über SSH eine Verbindung zu der VM her.
Verwenden Sie im Prompt des Betriebssystems ICMP, um die IP-Adresse eines lokalen Systems im Hybridsubnetz auf ping zu setzen.

Wenn der Ping-Test fehlschlägt, achten Sie darauf, dass die Google Cloud-Firewallregeln und die lokale Firewall ICMP in den IP-Adressbereichen des Hybridsubnetzes zulassen.

Arbeitslasten verschieben und Routing aktualisieren

Führen Sie bei jeder Migration einer Arbeitslast oder einer Gruppe von Arbeitslasten die folgenden Schritte zusammen.

Arbeitslasten migrieren

Migrieren Sie Arbeitslasten und VMs mit der gewünschten Methode von Ihrem lokalen Netzwerk zu Ihrem VPC-Netzwerk. Für die Migration von VMs zu Compute Engine empfehlen wir die Verwendung von Migrate to Virtual Machines.

Informationen zu Migrationsoptionen finden Sie unter Hybrid Subnets und Migrate to Virtual Machines

Benutzerdefiniertes Route Advertisement aktualisieren

Wenn Sie VMs zu Google Cloud migrieren, aktualisieren Sie das benutzerdefinierte Route Advertisement der BGP-Sitzung Ihres Cloud Routers, um die primäre interne IPv4-Adresse jeder migrierten VM aufzunehmen. Fügen Sie einzelne IP-Adressen mit einem benutzerdefinierten Route Advertisement von /32 hinzu.

Für zusammenhängende IP-Adressbereiche konsolidieren Sie Adressen in so wenigen benutzerdefinierten Advertisements wie möglich. Das Advertising muss dabei spezifischer sein (also längere Subnetzmasken haben) als der IP-Adressbereich des Hybridsubnetzes.

Verbindung von einem lokalen Netzwerk zu einer migrierten VM testen

So testen Sie die Konnektivität zu einer VM, die Sie zu Google Cloud migriert haben:

Prüfen Sie, ob das benutzerdefinierte Route Advertisement für die BGP-Sitzungen aktualisiert wurde, die Hybridkonnektivität verwalten. Das Route Advertisement muss die primäre interne IPv4-Adresse der migrierten VM enthalten.
Senden Sie eine ICMP-ping von einem lokalen System an die IP-Adresse der migrierten VM.

Nächste Schritte

Hybridsubnetz außer Betrieb nehmen