Utilisez l'appairage de réseaux VPC.

L'appairage de réseaux VPC Google Cloud permet une connectivité via des adresses IP internes sur deux réseaux cloud privé virtuel (VPC), qu'ils appartiennent ou non au même projet ou à la même organisation. L'appairage est compatible avec la connectivité entre des réseaux comportant des sous-réseaux à double pile.

Pour en savoir plus, consultez la section Appairage de réseaux VPC.

Créer une configuration d'appairage

Avant de commencer, vous devez disposer du nom du réseau VPC avec lequel vous souhaitez effectuer l'appairage. Si ce réseau est situé dans un autre projet, vous devez également disposer de l'ID de ce projet. Vous ne pouvez pas répertorier les demandes d'appairage pour votre réseau VPC. Si nécessaire, demandez à l'administrateur du réseau que vous souhaitez appairer, les noms de réseau et de projet.

Une configuration d'appairage établit l'intention de se connecter à un autre réseau VPC. Votre réseau et l'autre réseau ne sont pas connectés tant qu'ils ne disposent pas tous les deux d'une configuration d'appairage l'un avec l'autre. Une fois que l'autre réseau possède une configuration d'appairage avec votre réseau, l'état de l'appairage devient ACTIVE dans les deux réseaux, qui sont alors connectés. Si aucune configuration d'appairage correspondante n'existe sur l'autre réseau, l'état reste sur INACTIVE, et votre réseau n'est pas connecté à l'autre.

Google Cloud n'autorise qu'une seule activité d'appairage à la fois sur les réseaux appairés. Par exemple, si vous configurez un appairage à un réseau et que vous tentez tout de suite après d'en configurer un autre, l'opération échoue avec le code suivant : Error: There is a peering operation in progress on the local or peer network. Try again later.

Une fois connectés, les deux réseaux échangent toujours des routes de sous-réseau. Si vous le souhaitez, vous pouvez importer des routes personnalisées IPv4 statiques et dynamiques, et des routes personnalisées IPv6 dynamiques à partir d'un réseau appairé si celui-ci a été configuré pour les exporter. Pour plus d'informations, reportez-vous à la section Importer et exporter des routes personnalisées.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 9.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Vérifier que le trafic est acheminé entre des réseaux VPC appairés

Vous pouvez utiliser les journaux de flux VPC pour afficher les flux de réseau envoyés et reçus par les instances de VM. Vous pouvez également utiliser la journalisation des règles de pare-feu pour vérifier la transmission du trafic entre les réseaux. Créez des règles de pare-feu VPC qui autorisent (ou refusent) le trafic entre les réseaux appairés, et activez la journalisation des règles de pare-feu pour ces règles. Vous pouvez ensuite afficher les règles de pare-feu qui ont été appelées à l'aide de Cloud Logging.

Mettre à jour une connexion d'appairage

Lorsque vous mettez à jour une connexion d'appairage de réseaux VPC existante, vous pouvez effectuer les opérations suivantes :

• Indiquez si votre réseau VPC exporte ou importe les routes personnalisées ou les routes de sous-réseau IPv4 publiques utilisées en mode privé, vers ou depuis le réseau VPC appairé.
• Mettez à jour une connexion d'appairage existante pour activer ou désactiver l'échange de routes IPv6 entre les réseaux d'appairage.

Votre réseau n'importe effectivement les routes que si le réseau appairé les exporte, et le réseau appairé ne reçoit vos routes que s'il les importe.

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Répertorier les connexions d'appairage

Répertoriez les connexions d'appairage existantes pour afficher leur statut et indiquer si elles importent ou exportent des routes personnalisées.

gcloud compute networks peerings list

Répertorier des routes à partir de connexions d'appairage

Vous pouvez répertorier les routes dynamiques importées ou exportées par votre réseau VPC depuis ou vers un réseau VPC appairé. Pour les routes exportées, vous pouvez vérifier si un réseau appairé accepte ou refuse vos routes personnalisées. Pour les routes importées, vous pouvez vérifier si votre réseau accepte ou refuse les routes personnalisées d'un réseau appairé.

Il est possible que vous ne voyiez pas le même nombre de routes pour chaque région. Pour en savoir plus, consultez la section Dépannage.

gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Supprimer une connexion d'appairage de réseaux VPC

Vous-même ou un administrateur du réseau VPC appairé pouvez supprimer une configuration d'appairage. Lorsqu'une configuration d'appairage est supprimée, la connexion d'appairage passe à l'état INACTIVE sur l'autre réseau et toutes les routes partagées entre les réseaux sont supprimées.

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Exemple de configuration d'appairage de réseaux VPC

Prenons l'exemple d'une organisation organization-a devant effectuer un appairage de réseaux VPC entre network-a dans project-a et network-b dans project-b. Pour que l'appairage de réseau VPC soit établi avec succès, les administrateurs de network-a et de network-b doivent configurer séparément l'association d'appairage.

Étape 1 : Appairer network-a à network-b

Un utilisateur disposant des autorisations IAM appropriées dans project-a configure network-a pour l'appairer avec network-b. Par exemple, les utilisateurs dotés du rôle roles/editor ou roles/compute.networkAdmin peuvent configurer l'appairage.

Avant de commencer, vous avez besoin des ID de projet et des noms des réseaux à appairer.

gcloud compute networks peerings create peer-ab \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --import-custom-routes \
    --export-custom-routes

À ce stade, l'état d'appairage reste à l'état INACTIVE, car il n'existe pas de configuration correspondante dans network-b dans project-b.

Lorsque l'état d'appairage devient ACTIVE, l'appairage de réseaux VPC échange automatiquement les routes de sous-réseau. Google Cloud échange également les routes personnalisées (routes statiques et dynamiques) en les important ou en les exportant via la connexion d'appairage. Les deux réseaux doivent être configurés pour échanger des routes personnalisées avant leur partage. Pour plus d'informations, reportez-vous à la section Importer et exporter des routes personnalisées.

Pour voir l'état d'appairage actuel, affichez la connexion d'appairage :

gcloud compute networks peerings list --network network-a

Étape 2 : Appairer network-b à network-a

Un administrateur réseau (NetworkAdmin) ou un utilisateur disposant des autorisations IAM appropriées dans project-b doit définir la configuration correspondante de network-b à network-a pour que l'appairage devienne actif (ACTIVE) aux deux extrémités.

gcloud compute networks peerings create peer-ba \
     --network=network-b \
     --peer-project=project-a \
     --peer-network=network-a \
     --import-custom-routes \
     --export-custom-routes

Étape 3 : l'appairage de réseaux VPC devient actif (ACTIVE)

Dès que l'appairage passe à l'état ACTIVE, les routes de sous-réseau et les routes personnalisées sont échangées. Les flux de trafic suivants sont configurés :

• entre les instances de VM des réseaux appairés : connectivité maillée complète ;
• entre les instances de VM de l'un des réseaux et les points de terminaison d'équilibreur de charge réseau interne à stratégie directe du réseau appairé.

gcloud compute networks peerings list --network network-a

Les routes vers les préfixes CIDR (Classless Inter-Domain Routing) du réseau appairé sont désormais visibles sur les pairs du réseau VPC. Il s'agit de routes implicites générées pour les connexions d'appairage actives. Elles n'ont aucune ressource de route correspondante. La procédure suivante permet d'afficher les routes pour tous les réseaux VPC pour project-a.

gcloud compute routes list --project project-a

Créer plusieurs connexions d'appairage

Prenons l'exemple d'un scénario dans lequel des instances de VM de network-a doivent accéder aux services de deux organisations externes différentes : SaaS1 et SaaS2. Pour accéder aux deux en utilisant uniquement des adresses IP internes, deux connexions d'appairage sont nécessaires :

• network-a est appairé à network-b, qui se trouve dans SaaS1
• network-a est appairé à network-c, qui se trouve dans SaaS2

Avec l'appairage de réseaux VPC, peu importe que network-b et network-c se trouvent dans des projets et des organisations différents.

Pour créer cette configuration, créez deux sessions d'appairage distinctes.

Quotas et limites

Consultez la page Quotas et limites de l'appairage de réseaux VPC.

Dépannage

Les sections suivantes expliquent comment résoudre les problèmes liés à l'appairage de réseaux VPC.

Les VM de pairs sont inaccessibles

Une fois que la connexion d'appairage est ACTIVE, la mise en place de tous les flux de trafic entre les réseaux appairés peut prendre jusqu'à une minute. Ce temps dépend de la taille des réseaux à appairer. Si vous avez récemment configuré la connexion d'appairage, patientez une minute, puis réessayez. Assurez-vous également qu'aucune règle de pare-feu ne bloque l'accès depuis ou vers des préfixes CIDR de sous-réseau du réseau VPC appairé.

Routes personnalisées non échangées entre réseaux appairés

Commencez par répertorier les routes à partir de vos connexions d'appairage. Si vous ne voyez pas les routes vers les destinations attendues, vérifiez les points suivants :

• Répertoriez les connexions d'appairage. Recherchez le réseau avec les plages de destination souhaitées et assurez-vous que son état d'appairage est ACTIVE. Si la connexion d'appairage est INACTIVE, la configuration d'appairage de votre réseau n'existe pas dans l'autre réseau. Si vous ne gérez pas l'autre réseau, vous devez contacter un administrateur réseau qui s'en occupe.

• Mettez à jour la configuration d'appairage sur votre réseau afin qu'elle soit configurée pour importer des routes personnalisées à partir de l'autre réseau. Assurez-vous que l'autre réseau a été configuré pour exporter ses routes personnalisées.

Le trafic destiné à un réseau appairé est supprimé

Commencez par répertorier les connexions d'appairage pour vous assurer que votre réseau est toujours connecté à l'autre. Si l'état d'appairage est INACTIVE, aucune configuration d'appairage pour votre réseau n'existe dans l'autre réseau. Si vous ne gérez pas l'autre réseau, vous devez contacter un administrateur réseau qui s'en occupe.

Ensuite, répertoriez les routes provenant de connexions d'appairage. Vous ne pouvez importer que le nombre de routes autorisé par les limites relatives à l'appairage de réseaux VPC.

Trafic envoyé à un saut suivant inattendu

Examinez l'ordre de routage pour voir si une autre route a été choisie à la place.

Impossible d'appairer avec un réseau VPC particulier

Si vous ne pouvez pas créer de configuration d'appairage avec certains réseaux VPC, il est possible qu'une règle d'administration contraigne les réseaux VPC avec lesquels votre réseau peut être appairé. Dans la règle d'administration, ajoutez le réseau à la liste des pairs autorisés ou contactez l'administrateur de votre organisation. Pour plus d'informations, reportez-vous à la documentation sur la contrainte constraints/compute.restrictVpcPeering.

Routes de sous-réseau IPv6 non échangées après la mise à jour de stack_type de l'appairage vers IPV4_IPV6

Assurez-vous que la valeur de stack_type pour la connexion d'appairage correspondante est également définie sur IPV4_IPV6. Pour les deux côtés d'une connexion d'appairage, stack_type doit être défini sur IPV4_IPV6 pour que les routes IPv6 et le trafic puissent être échangés.

Routes dynamiques IPv6 non exportées après la mise à jour de stack_type de l'appairage vers IPV4_IPV6

Pour exporter des routes IPv6 dynamiques et statiques, vous devez activer les options –export-custom-route et –import-custom-route sur les connexions d'appairage correspondantes.

Routes statiques et dynamiques IPv6 non échangées après l'activation de l'importation et de l'exportation de routes personnalisées

Assurez-vous que stack_type est défini sur IPV4_IPV6 pour les deux appairages.

Certaines routes dynamiques sont importées, mais toutes ne s'affichent pas.

Réfléchissez aux éléments suivants :

• Il est possible que vous ne voyiez pas le même nombre de routes pour chaque région. Si plusieurs routes avec les mêmes plages d'adresses IP sont échangées entre les régions, seules les routes ayant la priorité la plus élevée sont importées. Si ces routes sont échangées dans la même région, toutes les routes sont importées.

• Lorsqu'un réseau atteint la limite de routes dynamiques par groupe d'appairage, aucune autre route n'est importée. Cependant, il n'est pas possible d'identifier les routes omises.

Étape suivante

• Pour plus d'informations sur le routage VPC, consultez la page Routes.
• Pour les limites liées à l'appairage de réseaux VPC, consultez la page Limites de l'appairage de réseaux VPC.
• Pour plus d'informations sur l'utilisation d'un équilibreur de charge réseau interne à stratégie directe comme saut suivant pour une route statique personnalisée, consultez la page Utiliser un équilibreur de charge réseau interne à stratégie directe comme saut suivant.