Configurar e gerenciar peering de rede VPC

O peering de rede VPC do Google Cloud permite conectividade de endereço IP interno em duas redes de nuvem privada virtual (VPC), pertencentes ou não ao mesmo projeto ou à mesma organização. O peering permite a conectividade entre redes com sub-redes de pilha dupla.

Para mais informações, consulte Peering de rede VPC.

Criar uma configuração de peering

Antes de começar, você precisa ter o nome da rede VPC com qual fará o peering. Se essa rede estiver localizada em outro projeto, você também precisará ter o respectivo ID do projeto. Não é possível listar nenhuma solicitação de peering para sua rede VPC. Se necessário, peça para o administrador rede com a qual você pretende fazer peering para os nomes da rede e do projeto.

Uma configuração de peering estabelece a intensão de se conectar a outra rede VPC. A sua e a outra rede só estarão conectadas depois que cada uma tiver uma configuração de peering para a outra. Quando a outra rede tiver uma configuração correspondente para fazer peering com a sua, o estado de peering será alterado para ACTIVE nas duas redes, que serão conectadas. Se não houver uma configuração de peering correspondente na outra rede, o estado de peering permanecerá INACTIVE, indicando que sua rede não está conectada à outra.

O Google Cloud permite somente uma atividade relacionada ao peering por vez em em redes em peering. Por exemplo, se você configurar o peering com uma rede tentar configurar outro, a operação falhará com o seguinte: Error: There is a peering operation in progress on the local or peer network. Try again later.

Depois de conectadas, as duas redes VPC sempre trocam a sub-rede IPv4 rotas (intervalos de sub-rede IPv4 primários e secundários) que usam endereços IPv4 particulares intervalos. Para mais informações sobre as opções de troca de rotas de sub-rede, consulte Opções para trocar rotas de sub-rede. Para detalhes sobre a troca de rotas estáticas ou dinâmicas, consulte Opções para a troca de rotas estáticas e Opções para trocar dados dinâmicos rotas.

Console

  1. No Console do Google Cloud, acesse a página Peering de rede VPC.
    Acessar "Peering de rede VPC"
  2. Clique em Criar conexão.
  3. Clique em Continuar.
  4. No campo Nome, digite um nome para sua configuração de peering.
  5. Em Sua rede VPC, selecione uma rede com qual você quer fazer peering.

  6. Selecione a rede com a qual você fará peering.

    • Se a rede com a qual você quer fazer peering estiver no mesmo projeto, selecione No projeto [NOME-DO-SEU-PROJETO] e, em seguida, a rede desejada.
    • Se a rede com a qual você quer fazer peering estiver em um projeto diferente, selecione Em outro projeto. Especifique o ID do projeto que inclui a rede desejada e o nome da rede VPC.

  7. Em Tipo de pilha de IP, especifique quais rotas de sub-rede serão trocadas entre as redes com peering:

    • IPv4 (pilha única): troca apenas rotas IPv4.
    • IPv4 e IPv6 (pilha dupla): troque rotas IPv4 e IPv6.

  8. Para importar ou exportar rotas personalizadas IPv4 e IPv6, escolha uma das opções a seguir ou ambas:

    • Importar rotas personalizadas: importe rotas personalizadas da rede com peering. A rede de peering precisa ativar a exportação de rota personalizada para que as rotas sejam importadas.
    • Exportar rotas personalizadas: exporte rotas personalizadas para a rede de peering. A rede de peering precisa ativar a importação de rota personalizada para que as rotas sejam exportadas.

  9. Caso sua rede ou a rede de peering use intervalos de IPv4 públicos de uso privado nas sub-redes, por padrão, essas rotas serão exportadas, mas não serão importadas. Para importar rotas de sub-rede de IPv4 público de uso privado, selecione:

    • Importar rotas de sub-redes com IP público para importar rotas de sub-rede de IPv4 público de uso privado exportadas pela outra rede.

  10. Clique em Criar.

gcloud

Crie uma conexão de Peering de redes VPC.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

Substitua:

  • PEERING_NAME: o nome da configuração de peering.
  • NETWORK: o nome da rede no projeto com que você quer fazer peering.
  • PEER_PROJECT_ID: o ID do projeto que contém a rede com que você quer fazer peering.
  • PEER_NETWORK_NAME: o nome da rede com que você quer fazer peering.
  • STACK_TYPE: o tipo de pilha da conexão de peering. Especifique IPV4_ONLY para trocar apenas rotas IPv4. Se preferir, especifique IPV4_IPV6 para trocar as rotas IPv4 e IPv6. IPV4_ONLY é o valor padrão.
  • --import-custom-routes diz à rede para aceitar rotas personalizadas da rede com peering. A rede com peering precisa exportar as rotas primeiro.
  • --export-custom-routes instrui a rede a exportar rotas personalizadas para a rede com peering. A rede com peering precisa ser configurada para importar as rotas.
  • --import-subnet-routes-with-public-ip diz à rede para aceitar rotas de sub-rede da rede com peering se essa rede estiver usando de maneira particular usava endereços IPv4 públicos nas sub-redes dele. A rede com peering precisa exportar as rotas primeiro.
  • --export-subnet-routes-with-public-ip instrui a rede a exportar rotas de sub-rede que contenham endereços IPv4 públicos de uso privado. A rede com peering precisa ser configurada para importar as rotas.

Terraform

É possível usar um módulo Terraform para criar uma configuração de peering.

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 9.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Para as duas redes VPC com peering, cada self link inclui um ID do projeto e o nome da rede VPC. Para conseguir o self link de uma rede VPC, é possível usar ogcloud compute networks describe ou o networks.get no projeto de cada rede VPC.

Quando você cria um peering do local_network para o peer_network, a relação de peering é bidirecional. O peering de peer_network para local_network é criado automaticamente.

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

Verificar se o tráfego está passando entre redes VPC com peering

Use os registros de fluxo de VPC para ver os fluxos de rede enviados e recebidos por instâncias de VM. Também é possível usar a geração de registros de regras de firewall para verificar se o tráfego está passando entre as redes. Crie regras de firewall de VPC que permitam (ou neguem) o tráfego entre as redes com peering e ative a geração de registros de regras de firewall para essas regras. Em seguida, é possível ver quais regras de firewall foram atingidas usando o Cloud Logging.

Atualizar conexão de peering

Ao atualizar uma conexão de peering de rede VPC, é possível fazer o seguinte:

  • Defina se a rede VPC exporta ou importa rotas personalizadas ou rotas de sub-rede IPv4 públicas de uso privado para ou da rede VPC com peering.
  • Atualize uma conexão de peering para ativar ou desativar a troca de rotas IPv6 entre as redes de peering.

Sua rede apenas importará rotas se a rede com peering também exportar, e a rede com peering apenas receberá rotas se importar.

Console

  1. No Console do Google Cloud, acesse a página "Peering de rede VPC".
    Acessar "Peering de rede VPC"
  2. Selecione a conexão de peering a ser atualizada.
  3. Clique em Editar.
  4. Atualize a seleção do Tipo de pilha de IP para especificar quais rotas de sub-rede serão trocadas entre as redes com peering:
    • IPv4 (pilha única): interrompa a troca atual de rotas IPv6 no peering e continue trocando apenas rotas IPv4.
    • IPv4 e IPv6 (pilha dupla): comece a trocar rotas IPv4 e IPv6, desde que a conexão de peering correspondente também tenha o tipo de pilha IP definido como IPv4 e IPv6 (pilha dupla).
  5. Para importar ou exportar rotas personalizadas IPv4 e IPv6, escolha uma das opções a seguir ou ambas:
    • Importar rotas personalizadas para importar rotas personalizadas exportadas pela outra rede.
    • Exporte rotas personalizadas para exportar rotas personalizadas para a outra rede. A outra rede precisa importar as rotas para vê-las.
  6. Caso sua rede ou a rede de peering use intervalos de IPv4 públicos de uso privado nas sub-redes, por padrão, essas rotas serão exportadas, mas não serão importadas. Para importar rotas de sub-rede de IPv4 público de uso privado, selecione:
    • Importar rotas de sub-redes com IP público para importar rotas de sub-rede de IPv4 público de uso privado exportadas pela outra rede.
    • Clique em Salvar.

gcloud 

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Substitua:

  • PEERING_NAME: o nome da conexão de peering atual
  • NETWORK: o nome da rede no projeto que está em peering
  • STACK_TYPE: o tipo de pilha da conexão de peering.
    • Especifique IPV4_ONLY para interromper a troca atual de rotas IPv6 no peering e continue trocando apenas rotas IPv4.
    • Especifique IPV4_IPV6 para começar a trocar rotas IPv4 e IPv6, desde que a conexão de peering correspondente também tenha stack_type definido como IPV4_IPV6.
  • --import-custom-routes diz à rede para aceitar rotas personalizadas da rede com peering. A rede com peering precisa exportar as rotas primeiro.
  • --export-custom-routes instrui a rede a exportar rotas personalizadas para a rede com peering. A rede com peering precisa ser configurada para importar as rotas.
  • --import-subnet-routes-with-public-ip diz à rede para aceitar rotas de sub-rede da rede com peering se essa rede estiver usando de maneira particular usava endereços IPv4 públicos nas sub-redes dele. A rede com peering precisa exportar as rotas primeiro.
  • --export-subnet-routes-with-public-ip instrui a rede a exportar rotas de sub-rede que contenham endereços IPv4 públicos de uso privado. A rede com peering precisa ser configurada para importar as rotas.

Listar conexões de peering

Liste as conexões de peering atuais para visualizar o status delas e verificar se estão importando ou exportando rotas personalizadas.

Console

  1. No Console do Google Cloud, acesse a página "Peering de rede VPC".
    Acessar "Peering de rede VPC"
  2. Selecione a conexão de peering para ver os detalhes dela.

gcloud 

gcloud compute networks peerings list

Listar rotas de peering

Console

Use a guia Rotas efetivas para conferir todas as rotas aplicáveis do Kubernetes em uma rede VPC, incluindo sub-rede de peering importada, peering estático e peering dinâmico rotas de prioridade mais alta.

  1. No console do Google Cloud, acesse a página Rotas.

    Acessar a página Rotas

  2. Na guia Rotas efetivas, faça o seguinte:

    • Selecione uma rede VPC.
    • Selecione uma Região.

  3. Clique em Visualizar.

  4. Clique no campo de texto Filtrar e faça o seguinte:

    • Escolha Tipo no menu Propriedades.
    • Escolha uma das opções a seguir no menu Valores.
      • Sub-rede de peering: para ver rotas de sub-rede do peering nas redes VPC.
      • Peering estático: para ver rotas estáticas importadas do peering nas redes VPC.
      • Dinâmica de peering: para conferir rotas dinâmicas importadas de apps semelhantes nas redes VPC.

  5. Opcionalmente, clique em Mostrar rotas suprimidas para exibir rotas que estão suprimida. Posicione o ponteiro sobre o ícone na coluna Status para: exibir por que uma rota foi suprimida. O motivo inclui link para o pedido de roteamento com uma explicação.

gcloud

Use o seguinte comando da CLI do Google Cloud para:

  • Liste as exportações de rota enviadas da sua rede VPC para o peering nas redes VPC.
  • Liste os candidatos à importação de rotas para sua rede VPC.
. 
gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Substitua:

  • PEERING_NAME: o nome de uma conexão de peering.
  • NETWORK: o nome da rede no projeto que está em peering
  • REGION: a região em que você quer listar todas as rotas dinâmicas. As rotas de sub-rede e estáticas são globais e exibidas para todas as regiões.
  • DIRECTION: especifica se é necessário listar as rotas importadas (incoming) ou exportadas (outgoing).

Excluir uma conexão de peering de rede VPC

Você ou um administrador de rede VPC com peering podem excluir uma configuração de peering. Quando uma configuração de peering é excluída, a conexão de peering alterna para INACTIVE na outra rede, e todas as rotas compartilhadas entre as redes são removidas.

Console

  1. Acesse a página "Peering de rede VPC" no Console do Google Cloud.
    Acessar "Peering de rede VPC"
  2. Marque a caixa de seleção ao lado do peering que você quer remover.
  3. Clique em Excluir.

gcloud 

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Substitua:

  • PEERING_NAME: o nome da conexão de peering a ser excluída
  • NETWORK: o nome da rede no projeto que está em peering

Solução de problemas

As seções a seguir descrevem como solucionar problemas com peering de rede VPC.

As VMs de peering estão inacessíveis

Depois que a conexão de peering se torna ACTIVE, pode demorar até um minuto para que todos os fluxos de tráfego sejam configurados entre as redes VPC com peering. Esse tempo varia de acordo com o tamanho das redes VPC que estão com peering. Se você configurou a conexão de peering recentemente, aguarde um minuto e tente novamente. Além disso, verifique se não há regras de firewall bloqueando o acesso entre os CIDRs de sub-rede da rede VPC com peering.

Faltam rotas personalizadas

Esta seção descreve como resolver problemas de rotas personalizadas ausentes.

Verificar o estado da conexão de peering

Para verificar o estado da conexão de peering, faça o seguinte:

  1. Liste conexões de peering.
  2. Identifique a conexão de peering com o problema a ser resolvido e analise o peering dela estado.
    1. Se o estado for ACTIVE, siga as etapas na próxima seção.
    2. Se o estado de peering for INACTIVE, uma rede administrador da outra rede precisa crie uma configuração de peering para sua rede VPC do produtor de serviços.

Resolver problemas de uma conexão com o ACTIVE

Para resolver problemas de rotas personalizadas ausentes em uma conexão de peering ACTIVE:

  1. Liste rotas de peering na sua rede VPC. Na guia Rotas efetivas, faça o seguinte:

    1. As regiões em que as rotas dinâmicas são programadas dependem o modo de roteamento dinâmico da rede VPC que exporta rotas personalizadas. Para mais detalhes, consulte Efeitos do modo de roteamento dinâmico. No mundo no modo de roteamento dinâmico, apenas a rota dinâmica com a melhor classificação é programada em regiões que não correspondem à região do próximo salto.

    2. Clique no botão Mostrar rotas suprimidas para a posição ativada e marque para o seu trajeto. Para visualizar por que um trajeto foi suprimido, aponte ao ícone na coluna Status. O Google Cloud oferece resolução de conflitos em cada região na VPC rede que importa rotas usando o peering de rede VPC.

    3. Procure um aviso indicando que sua rede VPC tem atingiu o limite de rotas dinâmicas por região por peering do grupo de cotas. Se a VPC da rede atingiu o limite da cota, uma ou mais instâncias dinâmicas de peering rotas não são programadas. Como não é possível mostrar exatamente as rotas dinâmicas de peering não são programadas. Solicite um limite de cota. de aumento nas rotas dinâmicas por região e por cota de grupo de peering.

  2. Se ainda assim o trajeto esperado não for exibido, faça o seguinte:

    1. Analise sua configuração de peering e atualize sua configuração de peering se necessário para que ele importe rotas personalizadas.

    2. Certifique-se de que a rota não é de um dos seguintes tipos que não podem ser trocados usando peering de rede VPC:

      • Sub-rede em peering, rotas de peering estáticas e dinâmicas de peering em uma rede VPC que são recebidas de outras redes de peering não podem ser trocadas com sua rede VPC usando Peering de rede VPC.

      • Rotas estáticas que usam o próximo salto e o gateway de Internet padrão rotas com tags de rede não podem ser trocadas usando Peering de rede VPC.

      Para mais informações, consulte Opções de troca de rota.

    3. Peça a um administrador da rede VPC com peering para fazer o seguinte:

      1. Listar rotas na VPC de rede, buscando a rota que você espera.

      2. Analise a configuração de peering e atualize-a, se necessário, para exportar rotas personalizadas.

O tráfego destinado a uma rede de peering está sendo descartado

Você pode usar Testes de conectividade para ajudar a determinar por que o tráfego destinado a uma rede de peering está sendo descartado. Se deve ser enviado usando rotas personalizadas. Consulte Faltam rotas personalizadas.

O tráfego está sendo enviado para um próximo salto inesperado

Você pode usar Testes de conectividade para ajudar a determinar por que o tráfego está sendo enviado para um próximo salto inesperado. Se deve ser enviado usando rotas personalizadas. Consulte Faltam rotas personalizadas.

Não é possível fazer peering com uma rede VPC específica

Se não for possível criar uma configuração de peering com determinadas redes VPC, uma política da organização pode estar restringindo as redes VPC com as quais sua rede pode fazer peering. Na política da organização, adicione a rede à lista de peerings permitidos ou entre em contato com o administrador da organização. Para ver mais informações, consulte a restrição constraints/compute.restrictVpcPeering.

As rotas IPv6 não são trocadas

Primeiro, verifique se a conexão de peering e a conexão de peering do a rede VPC com peering têm os tipos de pilha definidos como IPV4_IPV6. Caso seja necessário,

  • Atualize sua conexão de peering para definir a pilha como IPV4_IPV6.
  • Peça a um administrador da rede VPC com peering para atualizar a conexão de peering, definindo o tipo de pilha como IPV4_IPV6.

Depois que as duas conexões de peering tiverem os tipos de pilha definidos como IPV4_IPV6, IPv6 as rotas de sub-rede (internas e externas) são trocadas. As rotas de sub-rede IPv6 são únicas entre todas as redes VPC do Google Cloud.

Para trocar rotas personalizadas IPv6:

  • Atualize sua conexão de peering para importar e exportar rotas personalizadas.
  • Peça a um administrador da rede VPC com peering para atualizar a conexão de peering para importar e exportar rotas personalizadas.

A seguir