Configura e gestisci il peering di rete VPC

Il peering di rete VPC di Google Cloud consente la connettività con indirizzi IP interni su due reti Virtual Private Cloud (VPC), indipendentemente dal fatto che appartengano allo stesso progetto o alla stessa organizzazione. Il peering supporta la connettività tra reti con subnet a doppio stack.

Per ulteriori informazioni, consulta Peering di rete VPC.

Crea una configurazione di peering

Prima di iniziare, devi avere il nome della rete VPC con la quale eseguirai il peering. Se la rete si trova in un altro progetto, devi anche avere l'ID progetto di quel progetto. Non puoi elencare le richieste di peering per la tua rete VPC. Se necessario, chiedi all'amministratore del la rete con cui intendi eseguire il peering per i nomi di rete e progetto.

Una configurazione di peering stabilisce l'intento di connettersi a un altro rete VPC. La tua rete e l'altra rete non sono connesse fino a ottenere una configurazione di peering per l'altra. Quando l'altra rete ha una configurazione corrispondente per il peering con la tua rete, lo stato del peering diventa ACTIVE in entrambe le reti e le reti sono connesse. Se non esiste una configurazione di peering corrispondente nell'altra rete, il modello rimane INACTIVE, a indicare che la rete non è connessa al e l'altra.

Google Cloud consente una sola attività correlata al peering alla volta sulle reti con peering. Ad esempio, se configuri il peering con una rete e provi immediatamente a configurarne un'altra, l'operazione non va a buon fine con il seguente messaggio: Error: There is a peering operation in progress on the local or peer network. Try again later.

Dopo la connessione, le due reti VPC scambiano sempre una subnet IPv4 (intervalli di subnet IPv4 primari e secondari) che utilizzano un indirizzo IPv4 privato intervalli di tempo. Per ulteriori informazioni sulle opzioni di scambio di route di subnet, consulta Opzioni per lo scambio di route di subnet. Per maggiori dettagli sullo scambio di route statiche o dinamiche, vedi Opzioni per e lo scambio di route statiche Opzioni per lo scambio di dati dinamici route.

Console

  1. Nella console Google Cloud, vai alla pagina Peering di reti VPC.
    Vai al peering di rete VPC
  2. Fai clic su Crea connessione.
  3. Fai clic su Continua.
  4. Nel campo Nome, inserisci un nome per la configurazione del peering.
  5. In La tua rete VPC, seleziona una rete con cui creare il peering.
  6. Seleziona la rete con cui eseguire il peering.

    • Se la rete con cui vuoi creare il peering si trova nello stesso progetto, selezionate Nel progetto [NOME-DEL-PROIETT] e poi la rete con cui eseguire il peering.
    • Se la rete con cui vuoi creare il peering si trova in un altro progetto, selezionate In un altro progetto. Specifica l'ID progetto che include la rete con cui desideri eseguire il peering e il nome rete VPC.
  7. In Tipo di stack IP, specifica le route di subnet da scambiare tra le reti in peering:

    • IPv4 (stack singolo): scambia solo route IPv4.
    • IPv4 e IPv6 (stack doppio): scambia le route IPv4 e IPv6.
  8. Per importare o esportare route personalizzate IPv4 e IPv6, scegli una o entrambe le seguenti opzioni opzioni:

    • Importa route personalizzate: importa le route personalizzate dalla rete peer. La rete peer deve attivare l'esportazione delle route personalizzate per poterle importare.
    • Esporta route personalizzate:esporta route personalizzate sul peer. in ogni rete. La rete peer deve attivare l'importazione delle route personalizzate per consentire l'esportazione delle route.
  9. Se la tua rete o la rete peer utilizza intervalli IPv4 pubblici utilizzati privatamente nelle relative subnet, queste route vengono esportate per impostazione predefinita, ma non vengono importate per impostazione predefinita. Per importare route di subnet IPv4 pubblici utilizzati privatamente, seleziona:

    • Importa route di subnet con IP pubblico per eseguire l'importazione privatamente utilizzata route di subnet IPv4 pubbliche esportate dall'altra rete
  10. Fai clic su Crea.

gcloud

Crea una connessione di peering di rete VPC.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

Sostituisci quanto segue:

  • PEERING_NAME: il nome della configurazione di peering.
  • NETWORK: il nome della rete nel progetto con cui vuoi eseguire il peering.
  • PEER_PROJECT_ID: l'ID del progetto contenente la della rete con cui vuoi eseguire il peering.
  • PEER_NETWORK_NAME: il nome della rete a cui con cui vuoi interagire.
  • STACK_TYPE: il tipo di stack per la connessione di peering. Specifica IPV4_ONLY per scambiare solo route IPv4. In alternativa, specifica IPV4_IPV6 per scambiare sia le route IPv4 che IPv6. IPV4_ONLY è il valore predefinito.
  • --import-custom-routes indica alla rete di accettare route personalizzate dalla rete in peering. La rete connessa in peer deve prima esportare i route.
  • --export-custom-routes indica alla rete di esportare route personalizzate alla rete in peering. La rete in peering deve essere impostata per importare le route.
  • L'opzione --import-subnet-routes-with-public-ip indica alla rete di accettare route di subnet dalla rete con cui è in peering se questa utilizza indirizzi IPv4 pubblici utilizzati privatamente nelle sue subnet. La rete connessa in peer deve prima esportare i route.
  • --export-subnet-routes-with-public-ip indica alla rete di esportare route subnet che contengono indirizzi IPv4 pubblici. La rete in peering deve essere impostata per importare route.

Terraform

Puoi utilizzare un modulo Terraform per creare una configurazione di peering.

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 9.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Per le due reti VPC in peering, ogni collegamento autonomo include un ID progetto e il nome della rete VPC. Per ottenere il link autoreferenziale di una rete VPC, puoi utilizzare il comando gcloud compute networks describe o il metodo networks.get nel progetto di ogni rete VPC.

Quando crei un peering da local_network a peer_network, la relazione di peering è bidirezionale. Il peering peer_network a local_network viene creato automaticamente.

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Verifica che il traffico passi tra reti VPC in peering

Puoi utilizzare i log di flusso VPC per visualizzare i flussi di rete inviati e ricevuti dalle istanze VM. Puoi anche utilizzare Logging delle regole firewall per per verificare che il traffico passi tra le reti. Crea regole firewall VPC che consentono (o negano) il traffico tra le reti in peering e attivano Logging delle regole firewall per queste regole. Puoi quindi visualizzare Le regole firewall sono state verificate utilizzando Cloud Logging.

Aggiorna una connessione in peering

Quando aggiorni una connessione di peering di rete VPC esistente, puoi:

  • Cambiare l'impostazione delle esportazioni o delle importazioni della rete VPC personalizzate o route di subnet IPv4 pubbliche utilizzate privatamente da o verso il peer rete VPC.
  • Aggiorna una connessione in peering esistente per attivare o disattivare lo scambio di Route IPv6 tra le reti di peering.

La tua rete importa le route solo se la rete peer le esporta e la rete peer le riceve solo se le importa.

Console

  1. Nella console Google Cloud, vai alla pagina Peering di reti VPC.
    Vai al peering di rete VPC
  2. Seleziona la connessione di peering da aggiornare.
  3. Fai clic su Modifica.
  4. Aggiorna la selezione Tipo di stack IP per specificare quali route di subnet devono essere scambiate tra le reti in peering:
    • IPv4 (stack singolo): interrompi lo scambio esistente di route IPv6 tramite il peering e continua a scambiare solo route IPv4.
    • IPv4 e IPv6 (stack doppio): inizia a scambiare route IPv4 e IPv6, a condizione che la connessione di peering corrispondente abbia anche il Tipo di stack IP impostato su IPv4 e IPv6 (stack doppio).
  5. Per importare o esportare route IPv4 e IPv6 personalizzate, scegli una o entrambe le seguenti opzioni:
    • Importa route personalizzate per importare le route personalizzate esportate dal altra rete
    • Esporta route personalizzate per esportare route personalizzate nell'altro in ogni rete. L'altra rete deve importare le route per visualizzarle.
  6. Se la tua rete o la rete peer utilizza intervalli IPv4 pubblici utilizzati privatamente nelle relative subnet, queste route vengono esportate per impostazione predefinita, ma non vengono importate per impostazione predefinita. Per importare route di subnet IPv4 pubblico utilizzate privatamente, seleziona:
    • Importa route di subnet con IP pubblico per eseguire l'importazione privatamente utilizzata route di subnet IPv4 pubbliche esportate dall'altra rete
    • Fai clic su Salva.

gcloud

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Sostituisci quanto segue:

  • PEERING_NAME: il nome del peering esistente connessione.
  • NETWORK: il nome della rete nel progetto che è connesso in peering.
  • STACK_TYPE: il tipo di stack per la connessione di peering.
    • Specifica IPV4_ONLY per interrompere lo scambio esistente di route IPv6 tramite il peering e continuare a scambiare solo route IPv4.
    • Specifica IPV4_IPV6 per iniziare a scambiare route IPv4 e IPv6, a condizione che anche la connessione in peering corrispondente abbia stack_type impostato su IPV4_IPV6.
  • --import-custom-routes indica alla rete di accettare route personalizzate dalla rete in peering. La rete connessa in peer deve prima esportare i route.
  • --export-custom-routes indica alla rete di esportare route personalizzate nella rete connessa in peering. La rete in peering deve essere impostata per importare le route.
  • --import-subnet-routes-with-public-ip indica alla rete di accettare route subnet dalla rete in peering che la rete utilizza indirizzi IPv4 pubblici utilizzati privatamente subnet. La rete connessa in peer deve prima esportare i route.
  • --export-subnet-routes-with-public-ip indica alla rete di esportare route di subnet contenenti indirizzi IPv4 pubblici utilizzati privatamente. La rete in peering deve essere impostata per importare i percorsi.

Elenca le connessioni in peering

Elencare le connessioni in peering esistenti per visualizzarne lo stato e se sono importare o esportare route personalizzate.

Console

  1. Nella console Google Cloud, vai alla pagina Peering di reti VPC.
    Vai al peering di rete VPC
  2. Seleziona la connessione di peering per visualizzarne i dettagli.

gcloud

gcloud compute networks peerings list

Elenca route di peering

Console

Utilizza la scheda Route operative per visualizzare tutti i tipi di route applicabili in una rete VPC, tra cui le route di peering statiche, di peering dinamico e di subnet di peering importate.

  1. Nella console Google Cloud, vai alla pagina Route.

    Vai a Route

  2. Nella scheda Route operative, segui questi passaggi:

    • Seleziona una rete VPC.
    • Seleziona una Regione.
  3. Fai clic su Visualizza.

  4. Fai clic sul campo di testo Filtro e procedi nel seguente modo:

    • Scegli Tipo dal menu Proprietà.
    • Scegli una delle seguenti opzioni dal menu Valori.
      • Subnet di peering: per visualizzare le route delle subnet dalle reti VPC di peering.
      • statica di peering: per visualizzare le route statiche importate dal peer reti VPC.
      • Peering dinamico: per visualizzare le route dinamiche importate dalle reti VPC in peering.
  5. Se vuoi, fai clic su Mostra route eliminate per visualizzare le route eliminate. Posiziona il puntatore sopra l'icona della colonna Stato per visualizza il motivo per cui un percorso è stato soppresso. Il motivo include un Link all'ordine di routing documentazione con una spiegazione.

gcloud

Utilizza il seguente comando Google Cloud CLI per:

  • Elenca le esportazioni delle route inviate dalla rete VPC al peer. reti VPC.
  • Elenca le route candidate per l'importazione per la tua rete VPC.
gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Sostituisci quanto segue:

  • PEERING_NAME: il nome di un peering esistente connessione.
  • NETWORK: il nome della rete nel progetto che è in peering.
  • REGION: la regione in cui vuoi elencare tutti gli elementi dinamici route. Le route di subnet e le route statiche sono globali e sono mostrate per tutte le regioni.
  • DIRECTION: specifica se includere un elenco di elementi importati (incoming) o esportate (outgoing).

Elimina una connessione di peering di rete VPC

Tu o un amministratore di rete della rete VPC di destinazione potete eliminare una configurazione di peering. Quando una configurazione di peering viene eliminata, la connessione in peering passa a INACTIVE nell'altra rete e tutte le route condivise tra le reti vengono rimosse.

Console

  1. Vai alla pagina Paritetà di rete VPC nella console Google Cloud.
    Vai al peering di rete VPC
  2. Seleziona la casella di controllo accanto al peering da rimuovere.
  3. Fai clic su Elimina.

gcloud

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Sostituisci quanto segue:

  • PEERING_NAME: il nome della connessione di peering da eliminare.
  • NETWORK: il nome della rete nel progetto che è in peering.

Risoluzione dei problemi

Le sezioni seguenti descrivono come risolvere i problemi relativi al peering di reti VPC.

Le VM peer non sono raggiungibili

Una volta che la connessione in peering è attiva, potrebbe essere necessario fino a un minuto per configurare tutti i flussi di traffico tra le reti in peering. Questa volta dipende dalla dimensione delle reti in peering. Se di recente hai configurato la connessione di peering, attendi fino a un minuto e riprova. Inoltre, assicurati che non siano presenti regole firewall che blocchino l'accesso ai/dai CIDR delle sottoreti della rete VPC peer.

Le route personalizzate mancano

Questa sezione descrive come risolvere i problemi relativi ai percorsi personalizzati mancanti.

Controllare lo stato della connessione di peering

Per verificare lo stato della connessione in peering:

  1. Elenca le connessioni in peering.
  2. Identifica la connessione di peering da risolvere e controllane lo stato.
    1. Se lo stato è ACTIVE, segui i passaggi descritti nella sezione successiva.
    2. Se lo stato di peering è INACTIVE, viene dell'altra rete deve crea una configurazione di peering rete VPC.

Risolvere i problemi di connessione a ACTIVE

Per risolvere i problemi relativi ai percorsi personalizzati mancanti in una connessione in peering ACTIVE:

  1. Elenca le route di peering nella tua rete VPC. Nella scheda Route operative, procedi nel seguente modo:

    1. Tieni presente che le regioni in cui sono programmate le route dinamiche dipendono la modalità di routing dinamico della rete VPC che esporta e route personalizzate. Per maggiori dettagli, vedi Effetti della modalità di routing dinamico. In modalità di routing dinamico globale, viene programmata solo la route dinamica con il ranking più alto nelle regioni che non corrispondono alla regione dell'hop successivo.

    2. Fai clic sul pulsante di attivazione/disattivazione Mostra le route eliminate per attivarlo, quindi cerca il tuo percorso. Per visualizzare il motivo per cui un percorso è stato soppresso, punta all'icona nella colonna Stato. Google Cloud fornisce route risoluzione dei conflitti regione per regione nel VPC che importa le route usando il peering di rete VPC.

    3. Cerca un avviso che indica che la tua rete VPC ha raggiunto il limite per la quota di route dinamiche per regione per gruppo di peering. Se il tuo VPC rete ha raggiunto il limite per questa quota, una o più i percorsi non sono programmati. Poiché non è possibile mostrare esattamente quali route dinamiche di peering non sono programmate, richiedi un aumento del limite di quota per le route dinamiche per regione per quota di gruppo di peering.

  2. Se ancora non vedi il percorso previsto, procedi nel seguente modo:

    1. Rivedi la configurazione del peering e aggiorna la configurazione del peering, se necessario per importare route personalizzate.

    2. Assicurati che la route non sia uno dei seguenti tipi di route che non possono essere scambiati utilizzando il peering di rete VPC:

      • Subnet di peering, route statiche di peering e route dinamiche di peering in una rete Rete VPC ricevuta dalle altre reti peer non possono essere scambiati con la tua rete VPC utilizzando peering di rete VPC.

      • Route statiche che utilizzano l'hop successivo del gateway internet predefinito e statiche route con tag di rete non possono essere scambiato utilizzando peering di rete VPC.

      Per ulteriori informazioni, vedi Opzioni di scambio di route.

    3. Chiedi a un amministratore di rete della rete VPC in peering di:

      1. Elenca i route nella rete VPC, cercando il route che ti aspetti.

      2. Esamina la configurazione del peering e aggiornala se necessario in modo che esegua l'esportazione delle route personalizzate.

Il traffico destinato a una rete peer viene abbandonato

Puoi utilizzare Connectivity Tests per determinare il motivo per cui il traffico destinato a una rete peer viene interrotto. Se il traffico deve essere inviato utilizzando route personalizzate, consulta Le route personalizzate mancano.

Il traffico viene inviato a un hop successivo imprevisto

Puoi utilizzare Connectivity Tests per determinare il motivo per cui il traffico viene inviato a un hop successivo imprevisto. Se deve essere inviato utilizzando route personalizzate; consulta Route personalizzate mancanti.

Impossibile eseguire il peering con una determinata rete VPC

Se non puoi creare una configurazione di peering con un determinato VPC delle reti, un criterio dell'organizzazione potrebbe vincolare il VPC reti con cui la tua rete può effettuare il peering. Nel criterio dell'organizzazione, aggiungi il parametro all'elenco dei peer consentiti oppure contatta l'amministratore della tua organizzazione. Per ulteriori informazioni, consulta constraints/compute.restrictVpcPeering di blocco.

Le route IPv6 non vengono scambiate

Innanzitutto, verifica che i tipi di stack della connessione di peering e della rete VPC con peering siano impostati su IPV4_IPV6. Se necessario:

  • Aggiorna la connessione in peering per impostare il tipo di istruzione su IPV4_IPV6.
  • Chiedi a un amministratore di rete della rete VPC in peering di aggiornare la connessione in peering, impostando il tipo di stack su IPV4_IPV6.

Dopo che entrambe le connessioni in peering hanno i tipi di stack impostati su IPV4_IPV6, IPv6 lo scambio di route di subnet (interne ed esterne). Le route di subnet IPv6 sono uniche tra tutte le reti VPC Google Cloud.

Per scambiare route personalizzate IPv6:

  • Aggiorna la connessione in peering per importare ed esportare route personalizzate.
  • Chiedi a un amministratore di rete della rete VPC in peering di aggiornare la connessione in peering per importare ed esportare route personalizzate.

Passaggi successivi