Dienstsubnetz vom Peering zu Private Service Connect migrieren

In diesem Dokument wird beschrieben, wie Dienstersteller ihre peeringbasierten Dienste zu Private Service Connect migrieren und die IP-Adresse beibehalten können, die für den Zugriff auf den Dienst verwendet wird. Bei diesem Migrationsprozess müssen alle mit einem bestimmten Subnetz verbundenen Ressourcen gleichzeitig migriert werden.

Der Migrationsprozess wird vom Dienstersteller initiiert, umfasst aber Aufgaben, die sowohl vom Ersteller als auch vom Nutzer ausgeführt werden. Von Google verwaltete Dienste können einen Dienst-Agenten verwenden, um Aufgaben im Namen des Nutzers auszuführen. Die Migration führt zu einer Ausfallzeit und einer Preisänderung sowohl für den Produzenten als auch für den Verbraucher.

Jeder Dienstersteller entscheidet selbst, ob und wann er zu Private Service Connect migriert. Wenn Sie wissen möchten, ob ein Dienstanbieter von der VPC-Netzwerk-Peering-Technologie zu Private Service Connect migriert, lesen Sie die Dienstdokumentation oder wenden Sie sich an den Dienstanbieter.

Hinweis

Dienst mit Private Service Connect bereitstellen

Erstellen Sie ein neues VPC-Netzwerk, stellen Sie Dienstressourcen im Netzwerk bereit und veröffentlichen Sie den Dienst über Private Service Connect.

Verwenden Sie beim Erstellen des Load Balancers für den Dienst eine andere IP-Adresse als die, die zuvor vom Load Balancer verwendet wurde. Die ursprüngliche IP-Adresse wird später zum Erstellen des Endpunkts benötigt.

Wenn Sie einen Dienst veröffentlichen, erstellen Sie einen Dienstanhang. Der URI des Dienstanhangs ist auch später erforderlich, um den Endpunkt zu erstellen.

Peeringbasierten Dienst beenden

Wenn Sie den peeringbasierten Dienst beenden möchten, müssen Sie einen internen Bereich erstellen, um den IP-Adressbereich des Dienstes zu reservieren, bevor Sie das Subnetz des Diensterstellers löschen.

Internen Bereich erstellen

Bevor Sie das Erstellersubnetz löschen, erstellen Sie einen internen Bereich, damit der IP-Adressbereich des Subnetzes nicht von anderen Subnetzen im Ersteller- oder Nutzernetzwerk wiederverwendet wird.

Weitere Informationen zu diesem internen Bereich finden Sie unter Interne Bereiche für die Migration.

gcloud

Führen Sie den Befehl internal-ranges create aus.

gcloud network-connectivity internal-ranges create RANGE_NAME \
    --project=PRODUCER_PROJECT_ID \
    --ip-cidr-range=CIDR_RANGE \
    --network=PRODUCER_NETWORK_NAME \
    --usage=FOR_MIGRATION \
    --migration-source=PRODUCER_SUBNET_URI \
    --migration-target=CONSUMER_SUBNET_URI

Ersetzen Sie Folgendes:

  • RANGE_NAME: der Name des neuen internen Bereichs.
  • PRODUCER_PROJECT_ID: die ID des Erstellerprojekts.
  • CIDR_RANGE: der CIDR-Bereich, der dem neuen internen Bereich zugewiesen werden soll.
  • PRODUCER_NETWORK_NAME: der Name des Netzwerks, in dem der interne Bereich erstellt werden soll.
  • PRODUCER_SUBNET_URI: der URI des Producer-Subnetzes, das den Load Balancer für den Dienst enthält.
  • CONSUMER_SUBNET_URI: der URI des beabsichtigten Kunden-Subnetzes. Dieses Subnetz existiert zum Zeitpunkt der Ausführung dieses Befehls noch nicht.

Löschen Sie das Subnetz des Peering-Produzenten.

Sie müssen alle Ressourcen im Producer-Subnetz löschen, bevor Sie das Subnetz löschen können, z. B. VM-Instanzen, Weiterleitungsregeln, Instanzgruppen, Systemdiagnosen und reservierte IP-Adressen. Nachdem Sie die Ressourcen gelöscht haben, können Sie das Subnetz löschen.

Nutzerressourcen erstellen

Erstellen Sie gemeinsam mit dem Dienstnutzer die folgenden Ressourcen in seinem VPC-Netzwerk. Die Ressourcen können manuell erstellt oder bei von Google verwalteten Diensten über einen Dienst-Agenten automatisiert werden.

Subnetz für die Peer-Migration erstellen

Erstellen Sie ein Peer-Migrationssubnetz im VPC-Netzwerk des Nutzers, um die IP-Adresse für den Private Service Connect-Endpunkt anzugeben. Das Subnetz hat den Zweck PEER_MIGRATION, wodurch verhindert wird, dass es für andere Ressourcen als Private Service Connect-Endpunkte verwendet wird.

Weitere Informationen finden Sie unter Subnetze für die Peer-Migration.

gcloud

Führen Sie den Befehl networks subnets create aus.

gcloud compute networks subnets create CONSUMER_SUBNET \
    --purpose=PEER_MIGRATION \
    --project=CONSUMER_PROJECT \
    --network=CONSUMER_NETWORK \
    --range=CIDR_RANGE \
    --region=REGION

Ersetzen Sie Folgendes:

  • CONSUMER_SUBNET: der Name des Nutzer-Subnetzes
  • CONSUMER_PROJECT: die ID des Nutzerprojekts
  • CONSUMER_NETWORK: der Name des Nutzernetzwerks
  • CIDR_RANGE: der CIDR-Bereich, der dem neuen Subnetz zugewiesen werden soll. Dieser Bereich muss mit dem CIDR-Bereich des internen Bereichs übereinstimmen.
  • REGION: die Region, in der das Subnetz erstellt werden soll

Private Service Connect-Endpunkt erstellen

Erstellen Sie einen Private Service Connect-Endpunkt im Peer-Migrationssubnetz des Nutzers. Der Nutzer benötigt den URI des Dienstanhangs, um den Endpunkt zu erstellen.

gcloud

  1. Reservieren Sie eine interne IP-Adresse für den Endpunkt.

    Führen Sie den Befehl addresses create aus.

    gcloud compute addresses create ENDPOINT_ADDRESS_NAME \
        --project=CONSUMER_PROJECT \
        --region=REGION \
        --address=ENDPOINT_ADDRESS \
        --subnet=CONSUMER_SUBNET
    

    Ersetzen Sie Folgendes:

    • ENDPOINT_ADDRESS_NAME: ein Name für die IP-Adressressource
    • CONSUMER_PROJECT: die ID des Nutzerprojekts
    • REGION: die Region, in der die IP-Adresse erstellt werden soll
    • ENDPOINT_ADDRESS: Die IP-Adresse, die der IP-Adressressource zugewiesen werden soll. Diese Adresse muss mit der IP-Adresse übereinstimmen, die im Load Balancer des Dienstes verwendet wurde.
    • CONSUMER_SUBNET: der Name des Nutzer-Subnetzes
  2. Erstellen Sie den Endpunkt.

    Nutzen Sie den Befehl forwarding-rules create:

    gcloud compute forwarding-rules create ENDPOINT \
        --region=REGION \
        --network=CONSUMER_NETWORK \
        --address=ENDPOINT_ADDRESS \
        --target-service-attachment=SERVICE_ATTACHMENT_URI
    

    Ersetzen Sie Folgendes:

    • ENDPOINT: ein Name für den Endpunkt
    • REGION: die Region, in der der Endpunkt erstellt werden soll
    • CONSUMER_NETWORK: der Name des Nutzernetzwerks
    • ENDPOINT_ADDRESS: Die reservierte IP-Adresse, die dem Endpunkt zugewiesen werden soll. Sie können die IP-Adresse direkt angeben oder den Namen der IP-Adressressource verwenden.
    • SERVICE_ATTACHMENT_URI: der URI des Dienstanhangs

Internen Bereich des Produzenten löschen

Nachdem das Subnetz für die Migration von Verbrauchern erstellt wurde, ist der interne Bereich nicht mehr erforderlich und kann gelöscht werden.

gcloud

Nutzen Sie den Befehl internal-ranges delete:

gcloud network-connectivity internal-ranges delete RANGE_NAME \
    --project=PRODUCER_PROJECT_ID

Ersetzen Sie Folgendes:

  • RANGE_NAME: der Name des internen Bereichs
  • PRODUCER_PROJECT_ID: die ID des Erstellerprojekts

Funktionsweise des Endpunkts prüfen

Bitten Sie den Nutzer, zu bestätigen, dass er über den Endpunkt eine Verbindung zum Dienst herstellen kann.

Wenn der Endpunkt nicht funktioniert und die Fehlerbehebung das Problem nicht löst, können Sie die Migration rückgängig machen.

Migration abschließen

Wenn der Endpunkt wie erwartet funktioniert, können Sie die Migration abschließen, indem Sie das Peer-Migrationssubnetz des Verbrauchers in ein reguläres Subnetz aktualisieren.

Peer-Migrationssubnetz des Verbrauchers aktualisieren

Wenn der Verbraucher das Peer-Migrationssubnetz in ein reguläres Subnetz aktualisiert, kann er das Subnetz für jede Art von Ressource verwenden.

gcloud

Nutzen Sie den Befehl networks subnets create:

gcloud compute networks subnets update CONSUMER_SUBNET \
    --purpose=PRIVATE \
    --region=REGION \
    --project=CONSUMER_PROJECT

Ersetzen Sie Folgendes:

  • CONSUMER_SUBNET: der Name des Nutzer-Subnetzes
  • REGION: die Region des Kunden-Subnetzes
  • CONSUMER_PROJECT: die ID des Nutzerprojekts

Peering-Verbindungen löschen

Wenn die Peering-Verbindung nicht mehr benötigt wird, löschen Sie die Peering-Konfigurationen sowohl für den Verbraucher als auch für den Produzenten.

Migration rückgängig machen

Sie können die Migration nur rückgängig machen, wenn das Verbrauchersubnetz noch nicht in ein reguläres Subnetz aktualisiert wurde. Wenn Sie rückgängig machen, wird der Dienst über VPC-Netzwerk-Peering verfügbar gemacht.

  1. Wenn er noch vorhanden ist, lösche den internen Bereich im Projekt des Erstellers.
  2. Erstellen Sie einen internen Bereich im Projekt des Nutzers. Beim Zurückrollen ist das Verbrauchersubnetz die Migrationsquelle und das Produzentensubnetz das Migrationsziel.

    gcloud network-connectivity internal-ranges create RANGE_NAME \
        --project=CONSUMER_PROJECT \
        --ip-cidr-range=CIDR_RANGE \
        --network=CONSUMER_NETWORK \
        --usage=FOR_MIGRATION \
        --migration-source=CONSUMER_SUBNET_URI \
        --migration-target=PRODUCER_SUBNET_URI
    
  3. Löschen Sie den Private Service Connect-Endpunkt des Nutzers.

  4. Löschen Sie die IP-Adressressource des Kunden.

  5. Erstellen Sie das Subnetz des Produzenten mit demselben Namen und demselben CIDR-Bereich neu. Legen Sie den Zweck des Subnetzes auf PRIVATE fest.

  6. Erstellen Sie die erforderlichen Ressourcen neu, um den Dienst im Subnetz des Producers bereitzustellen.

  7. Der Nutzer prüft, ob er über die Peering-Verbindung auf den Dienst zugreifen kann.