Configura e gestisci il peering di rete VPC

Il peering di rete VPC di Google Cloud consente la connettività con indirizzi IP interni su due reti Virtual Private Cloud (VPC), indipendentemente dal fatto che appartengano allo stesso progetto o alla stessa organizzazione. Il peering supporta la connettività tra reti con subnet dual stack.

Per ulteriori informazioni, consulta Peering di rete VPC.

Crea una configurazione di peering

Prima di iniziare, devi avere il nome della rete VPC con la quale eseguirai il peering. Se la rete si trova in un altro progetto, devi anche avere l'ID progetto di quel progetto. Non puoi elencare le richieste di peering per la tua rete VPC. Se necessario, chiedi all'amministratore della rete con cui vuoi eseguire il peering i nomi della rete e del progetto.

Una configurazione del peering stabilisce l'intenzione di connettersi a un'altra rete VPC. La tua rete e l'altra rete non sono collegate fino a quando ciascuna non ha una configurazione di peering per l'altra. Quando l'altra rete ha una configurazione corrispondente per il peering con la tua rete, lo stato del peering diventa ACTIVE in entrambe le reti e le reti sono connesse. Se non esiste una configurazione di peering corrispondente nell'altra rete, lo stato del peering rimane INACTIVE, a indicare che la tua rete non è collegata all'altra.

Google Cloud consente una sola attività correlata al peering alla volta tra le reti con peering. Ad esempio, se configuri il peering con una rete e provi immediatamente a configurarne un'altra, l'operazione non va a buon fine con il seguente messaggio: Error: There is a peering operation in progress on the local or peer network. Try again later.

Una volta connesse, le due reti VPC scambiano sempre route di subnet IPv4 (intervalli di subnet IPv4 principali e secondari) che utilizzano intervalli di indirizzi IPv4 privati. Per saperne di più sulle opzioni di scambio di route delle sottoreti, consulta Opzioni per lo scambio di route delle sottoreti. Per informazioni dettagliate sullo scambio di route statici o dinamici, vedi Opzioni per lo scambio di route statici e Opzioni per lo scambio di route dinamici.

Console

  1. Nella console Google Cloud, vai alla pagina Peering di reti VPC .
    Vai a Peering di rete VPC
  2. Fai clic su Crea connessione.
  3. Fai clic su Continua.
  4. Nel campo Nome, inserisci un nome per la configurazione del peering.
  5. In La tua rete VPC, seleziona una rete con cui creare il peering.
  6. Seleziona la rete con cui eseguire il peering.

    • Se la rete con cui vuoi creare il peering si trova nello stesso progetto, selezionate Nel progetto [NOME-DEL-PROIETT] e poi la rete con cui eseguire il peering.
    • Se la rete con cui vuoi creare il peering si trova in un altro progetto, seleziona In un altro progetto. Specifica l'ID progetto che include la rete con cui vuoi creare il peering e il nome della rete VPC.
  7. In Tipo di stack IP, specifica le route di subnet da scambiare tra le reti in peering:

    • IPv4 (stack singolo): scambia solo route IPv4.
    • IPv4 e IPv6 (stack doppio): scambia sia le route IPv4 che quelle IPv6.
  8. Per importare o esportare route IPv4 e IPv6 personalizzate, scegli una o entrambe le seguenti opzioni:

    • Importa route personalizzate:importa le route personalizzate dalla rete peer. La rete peer deve attivare l'esportazione delle route personalizzate per poterle importare.
    • Esporta route personalizzate:esporta le route personalizzate nella rete peer. La rete peer deve attivare l'importazione delle route personalizzate per consentire l'esportazione delle route.
  9. Se la tua rete o la rete peer utilizza intervalli IPv4 pubblici utilizzati privatamente nelle relative subnet, queste route vengono esportate per impostazione predefinita, ma non vengono importate per impostazione predefinita. Per importare route di subnet IPv4 pubblici utilizzati privatamente, seleziona:

    • Importa route di subnet con IP pubblico per importare route di subnet IPv4 pubblico utilizzate privatamente esportate dall'altra rete
  10. Fai clic su Crea.

gcloud

Crea una connessione di peering di rete VPC.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

Sostituisci quanto segue:

  • PEERING_NAME: il nome della configurazione del peering.
  • NETWORK: il nome della rete nel progetto con cui vuoi eseguire il peering.
  • PEER_PROJECT_ID: l'ID del progetto contenente la rete con cui vuoi eseguire il peering.
  • PEER_NETWORK_NAME: il nome della rete con cui vuoi eseguire il peering.
  • STACK_TYPE: il tipo di stack per la connessione di peering. Specifica IPV4_ONLY per scambiare solo route IPv4. In alternativa, specifica IPV4_IPV6 per scambiare sia le route IPv4 che IPv6. IPV4_ONLY è il valore predefinito.
  • --import-custom-routes indica alla rete di accettare route personalizzate dalla rete in peering. La rete connessa in peer deve prima esportare i route.
  • --export-custom-routes indica alla rete di esportare route personalizzate nella rete connessa in peering. La rete in peering deve essere impostata per importare le route.
  • L'opzione --import-subnet-routes-with-public-ip indica alla rete di accettare route di subnet dalla rete con cui è in peering se questa utilizza indirizzi IPv4 pubblici utilizzati privatamente nelle sue subnet. La rete connessa in peer deve prima esportare i route.
  • --export-subnet-routes-with-public-ip indica alla rete di esportare route di subnet contenenti indirizzi IPv4 pubblici utilizzati privatamente. La rete in peering deve essere impostata per importare i percorsi.

Terraform

Puoi utilizzare un modulo Terraform per creare una configurazione di peering.

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 9.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Per le due reti VPC in peering, ogni link autoreferenziale include un ID progetto e il nome della rete VPC. Per ottenere il link autoreferenziale di una rete VPC, puoi utilizzare il comando gcloud compute networks describe o il metodo networks.get nel progetto di ogni rete VPC.

Quando crei un peering da local_network a peer_network, la relazione di peering è bidirezionale. Il peering dal peer_network al local_network viene creato automaticamente.

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Verificare che il traffico passi tra le reti VPC in peering

Puoi utilizzare i log di flusso VPC per visualizzare i flussi di rete inviati e ricevuti dalle istanze VM. Puoi anche utilizzare il logging delle regole firewall per verificare che il traffico passi tra le reti. Crea regole firewall VPC che consentano (o neghino) il traffico tra le reti in peering e attiva la registrazione delle regole firewall per queste regole. Puoi quindi visualizzare le regole firewall che sono state interessate utilizzando Cloud Logging.

Aggiorna una connessione in peering

Quando aggiorni una connessione di peering di rete VPC esistente, puoi eseguire le seguenti operazioni:

  • Modifica l'opzione che consente alla rete VPC di esportare o importare route personalizzate o route di subnet IPv4 pubblici utilizzati privatamente verso o dalla rete VPC peer.
  • Aggiorna una connessione in peering esistente per attivare o disattivare lo scambio di route IPv6 tra le reti in peering.

La tua rete importa le route solo se la rete peer le esporta e la rete peer le riceve solo se le importa.

Console

  1. Nella console Google Cloud, vai alla pagina Peering di reti VPC.
    Vai a Peering di rete VPC
  2. Seleziona la connessione di peering da aggiornare.
  3. Fai clic su Modifica.
  4. Aggiorna la selezione Tipo di stack IP per specificare quali route delle subnet devono essere scambiati tra le reti con lo stesso peering:
    • IPv4 (stack singolo): interrompi lo scambio esistente di route IPv6 tramite il peering e continua a scambiare solo route IPv4.
    • IPv4 e IPv6 (stack doppio): inizia a scambiare le route IPv4 e IPv6, a condizione che la connessione di peering corrispondente abbia anche il Tipo di stack IP impostato su IPv4 e IPv6 (stack doppio).
  5. Per importare o esportare route IPv4 e IPv6 personalizzate, scegli una o entrambe le seguenti opzioni:
    • Importa route personalizzate per importare le route personalizzate esportate dall'altra rete
    • Esporta route personalizzate per esportare le route personalizzate nell'altra rete. L'altra rete deve importare i route per visualizzarli.
  6. Se la tua rete o la rete peer utilizza intervalli IPv4 pubblici utilizzati privatamente nelle relative subnet, queste route vengono esportate per impostazione predefinita, ma non vengono importate per impostazione predefinita. Per importare route di subnet IPv4 pubblici utilizzati privatamente, seleziona:
    • Importa route di subnet con IP pubblico per importare route di subnet IPv4 pubblico utilizzate privatamente esportate dall'altra rete
    • Fai clic su Salva.

gcloud

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Sostituisci quanto segue:

  • PEERING_NAME: il nome della connessione di peering esistente.
  • NETWORK: il nome della rete nel progetto che è in peering.
  • STACK_TYPE: il tipo di stack per la connessione di peering.
    • Specifica IPV4_ONLY per interrompere lo scambio esistente di route IPv6 tramite il peering e continuare a scambiare solo route IPv4.
    • Specifica IPV4_IPV6 per iniziare a scambiare route IPv4 e IPv6, a condizione che anche la connessione in peering corrispondente abbia stack_type impostato su IPV4_IPV6.
  • --import-custom-routes indica alla rete di accettare route personalizzate dalla rete in peering. La rete connessa in peer deve prima esportare i route.
  • --export-custom-routes indica alla rete di esportare route personalizzate nella rete connessa in peering. La rete in peering deve essere impostata per importare le route.
  • L'opzione --import-subnet-routes-with-public-ip indica alla rete di accettare route di subnet dalla rete con cui è in peering se questa utilizza indirizzi IPv4 pubblici utilizzati privatamente nelle sue subnet. La rete connessa in peer deve prima esportare i route.
  • --export-subnet-routes-with-public-ip indica alla rete di esportare route di subnet contenenti indirizzi IPv4 pubblici utilizzati privatamente. La rete in peering deve essere impostata per importare i percorsi.

Elenco delle connessioni in peering

Elenca le connessioni in peering esistenti per visualizzarne lo stato e se stanno importando o esportando route personalizzate.

Console

  1. Nella console Google Cloud, vai alla pagina Peering di reti VPC.
    Vai a Peering di rete VPC
  2. Seleziona la connessione di peering per visualizzarne i dettagli.

gcloud

gcloud compute networks peerings list

Elenca le route di peering

Console

Utilizza la scheda Route operative per visualizzare tutti i tipi di route applicabili in una rete VPC, tra cui le route di peering statiche, di peering dinamico e di subnet di peering importate.

  1. Nella console Google Cloud, vai alla pagina Route.

    Vai a Route

  2. Nella scheda Route operative, procedi nel seguente modo:

    • Seleziona una rete VPC.
    • Seleziona una Regione.
  3. Fai clic su Visualizza.

  4. Fai clic sul campo di testo Filtro e segui questi passaggi:

    • Scegli Tipo dal menu Proprietà.
    • Scegli una delle seguenti opzioni dal menu Valori.
      • Subnet di peering: per visualizzare le route delle subnet dalle reti VPC di peering.
      • Statica peering: per visualizzare le route statiche importate dalle reti VPC peer.
      • Peering dinamico: per visualizzare le route dinamiche importate dalle reti VPC in peering.
  5. Se vuoi, fai clic su Mostra route eliminati per visualizzare le route eliminate. Posiziona il cursore sopra l'icona nella colonna Stato per visualizzare il motivo per cui un percorso è stato eliminato. Il motivo include un link alla documentazione relativa all'ingiunzione di rimozione con una spiegazione.

gcloud

Utilizza il seguente comando Google Cloud CLI per:

  • Elenca le esportazioni di route inviate dalla tua rete VPC alle reti VPC di peering.
  • Elenca le route candidate per l'importazione per la tua rete VPC.
gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Sostituisci quanto segue:

  • PEERING_NAME: il nome di una connessione di peering esistente.
  • NETWORK: il nome della rete nel progetto che è in peering.
  • REGION: la regione in cui vuoi elencare tutti i percorsi dinamici. Le route di subnet e le route statiche sono globali e sono mostrate per tutte le regioni.
  • DIRECTION: specifica se elencare le rotte importate (incoming) o esportate (outgoing).

Eliminare una connessione di peering di rete VPC

Tu o un amministratore di rete della rete VPC di destinazione potete eliminare una configurazione di peering. Quando una configurazione di peering viene eliminata, la connessione di peering passa a INACTIVE nell'altra rete e tutti i percorsi condivisi tra le reti vengono rimossi.

Console

  1. Vai alla pagina Paritetà di rete VPC nella console Google Cloud.
    Vai a Peering di rete VPC
  2. Seleziona la casella di controllo accanto al peering da rimuovere.
  3. Fai clic su Elimina.

gcloud

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Sostituisci quanto segue:

  • PEERING_NAME: il nome della connessione di peering da eliminare.
  • NETWORK: il nome della rete nel progetto che è in peering.

Risoluzione dei problemi

Le sezioni seguenti descrivono come risolvere i problemi relativi al peering di reti VPC.

Le VM peer non sono raggiungibili

Una volta che la connessione in peering è attiva, potrebbe essere necessario fino a un minuto per configurare tutti i flussi di traffico tra le reti in peering. Questo tempo dipende dalle dimensioni delle reti in peering. Se di recente hai configurato la connessione di peering, attendi fino a un minuto e riprova. Inoltre, assicurati che non siano presenti regole firewall che blocchino l'accesso ai/dai CIDR delle sottoreti della rete VPC peer.

Le route personalizzate mancano

Questa sezione descrive come risolvere i problemi relativi ai percorsi personalizzati mancanti.

Controllare lo stato della connessione di peering

Per controllare lo stato della connessione di peering:

  1. Elenca le connessioni in peering.
  2. Identifica la connessione di peering da risolvere e controllane lo stato.
    1. Se lo stato è ACTIVE, segui i passaggi descritti nella sezione successiva.
    2. Se lo stato del peering è INACTIVE, un amministratore di rete per l'altra rete deve creare una configurazione di peering per la tua rete VPC.

Risolvere i problemi di connessione a ACTIVE

Per risolvere i problemi relativi ai percorsi personalizzati mancanti in una connessione in peering ACTIVE:

  1. Elenca le route di peering nella tua rete VPC. Nella scheda Route efficaci, segui questi passaggi:

    1. Tieni presente che le regioni in cui sono programmate le route dinamiche dipendono dalla modalità di routing dinamico della rete VPC che esporta le route personalizzate. Per maggiori dettagli, vedi Effetti della modalità di routing dinamico. In modalità di routing dinamico globale, viene programmata solo la route dinamica con il ranking più alto nelle regioni che non corrispondono alla regione dell'hop successivo.

    2. Fai clic sul pulsante di attivazione/disattivazione Mostra le route eliminate per attivarlo, quindi cerca il tuo percorso. Per visualizzare il motivo per cui un percorso è stato eliminato, posiziona il mouse sopra l'icona nella colonna Stato. Google Cloud fornisce la risoluzione dei conflitti di route su base regionale nella rete VPC che importa le route utilizzando il peering di rete VPC.

    3. Cerca un avviso che indica che la tua rete VPC ha raggiunto il limite per la quota di route dinamiche per regione per gruppo di peering. Se la rete VPC ha raggiunto il limite per questa quota, una o più route dinamiche di peering non sono programmate. Poiché non è possibile mostrare esattamente quali route dinamiche di peering non sono programmate, richiedi un aumento del limite di quota per le route dinamiche per regione per quota di gruppo di peering.

  2. Se continui a non vedere il percorso previsto, procedi nel seguente modo:

    1. Esamina la configurazione del peering e aggiornala se necessario in modo che importi le route personalizzate.

    2. Assicurati che la route non sia uno dei seguenti tipi di route che non possono essere scambiati utilizzando il peering di rete VPC:

      • Le route di peering di subnet, statiche e dinamiche in una rete VPC in peering che vengono ricevute dalle altre reti peer non possono essere scambiate con la tua rete VPC utilizzando il peering di rete VPC.

      • Le route statiche che utilizzano l'hop successivo del gateway internet predefinito e le route statiche con tag di rete non possono essere scambiate utilizzando il peering di rete VPC.

      Per ulteriori informazioni, consulta Opzioni di scambio route.

    3. Chiedi a un amministratore di rete della rete VPC in peering di:

      1. Elenca i route nella rete VPC, cercando il route che ti aspetti.

      2. Esamina la configurazione del peering e aggiornala se necessario in modo che esegua l'esportazione delle route personalizzate.

Il traffico destinato a una rete peer viene perso

Puoi utilizzare Connectivity Tests per determinare il motivo per cui il traffico destinato a una rete peer viene interrotto. Se il traffico deve essere inviato utilizzando route personalizzate, consulta Le route personalizzate non sono presenti.

Il traffico viene inviato a un hop successivo imprevisto

Puoi utilizzare Connectivity Tests per determinare il motivo per cui il traffico viene inviato a un hop successivo imprevisto. Se il traffico deve essere inviato utilizzando route personalizzate, consulta Le route personalizzate non sono presenti.

Impossibile eseguire il peering con una determinata rete VPC

Se non riesci a creare una configurazione di peering con determinate reti VPC, un criterio dell'organizzazione potrebbe limitare le reti VPC con cui la tua rete può eseguire il peering. Nel criterio dell'organizzazione, aggiungi la rete all'elenco di peer consentiti o contatta l'amministratore dell'organizzazione. Per ulteriori informazioni, consulta la vincolo constraints/compute.restrictVpcPeering.

Le route IPv6 non vengono scambiate

Innanzitutto, verifica che i tipi di stack siano impostati su IPV4_IPV6 sia per la connessione di peering che per la rete VPC con peering. Se necessario:

  • Aggiorna la connessione in peering per impostare il tipo di istruzione su IPV4_IPV6.
  • Chiedi a un amministratore di rete della rete VPC con peering di aggiornare la connessione di peering impostando il tipo di stack su IPV4_IPV6.

Dopo aver impostato i tipi di stack su IPV4_IPV6 per entrambe le connessioni in peering, vengono scambiate le route di subnet IPv6 (interne ed esterne). Le route di subnet IPv6 sono uniche tra tutte le reti VPC Google Cloud.

Per scambiare route personalizzate IPv6:

  • Aggiorna la connessione in peering per importare ed esportare route personalizzate.
  • Chiedi a un amministratore di rete della rete VPC in peering di aggiornare la connessione in peering per importare ed esportare route personalizzate.

Passaggi successivi