Configura e gestisci il peering di rete VPC

Il peering di rete VPC di Google Cloud abilita IP interni per la connettività Le reti Virtual Private Cloud (VPC), indipendentemente dal fatto che appartengano o meno nella stessa organizzazione o nello stesso progetto. Il peering supporta la connettività tra reti con subnet a doppio stack.

Per ulteriori informazioni, vedi Peering di rete VPC.

Crea una configurazione di peering

Prima di iniziare, devi conoscere il nome della rete VPC con cui eseguirai il peering. Se la rete si trova in un altro progetto, deve avere anche l'ID di quel progetto. Non puoi elencare il peering richieste per la tua rete VPC. Se necessario, chiedi all'amministratore del la rete con cui intendi eseguire il peering per i nomi di rete e progetto.

Una configurazione di peering stabilisce l'intento di connettersi a un altro rete VPC. La tua rete e l'altra rete non sono connesse fino a ottenere una configurazione di peering per l'altra. Dopo l'altro una rete ha una configurazione corrispondente per il peering con la tua rete, lo stato del peering passa a ACTIVE in entrambe le reti e le due reti sono connesse. Se non esiste una configurazione di peering corrispondente nell'altra rete, il modello rimane INACTIVE, a indicare che la rete non è connessa al e l'altra.

Google Cloud consente una sola attività relativa al peering alla volta su reti in peering. Ad esempio, se imposti il peering con una rete prova immediatamente a configurarne un'altra, l'operazione non va a buon fine con quanto segue: Error: There is a peering operation in progress on the local or peer network. Try again later.

Una volta connesse, le due reti si scambiano sempre subnet route. Facoltativamente, puoi importare e route personalizzate IPv4 dinamiche e route personalizzate IPv6 dinamiche da un rete, se è stata configurata per esportarle. Per ulteriori informazioni, vedi l'importazione e l'esportazione di dati route.

Console

  1. Nella console Google Cloud, vai alla pagina Peering di rete VPC .
    Vai al peering di rete VPC
  2. Fai clic su Crea connessione.
  3. Fai clic su Continua.
  4. Nel campo Nome, inserisci un nome per la configurazione del peering.
  5. In La tua rete VPC, seleziona una rete da collegare in peering.

  6. Seleziona la rete con cui eseguire il peering.

    • Se la rete con cui vuoi eseguire il peering si trova nello stesso progetto, seleziona Nel progetto [NAME-OF-YOUR-PROJECT] e poi la rete per con cui colleghi.
    • Se la rete con cui vuoi eseguire il peering si trova in un progetto diverso, Seleziona In un altro progetto. Specifica l'ID progetto che include la rete con cui desideri eseguire il peering e il nome rete VPC.

  7. In Tipo di stack IP, specifica le route di subnet da scambiare tra le reti in peering:

    • IPv4 (stack singolo): scambia solo route IPv4.
    • IPv4 e IPv6 (stack doppio): scambia le route IPv4 e IPv6.

  8. Per importare o esportare route personalizzate IPv4 e IPv6, scegli una o entrambe le seguenti opzioni opzioni:

    • Importa route personalizzate:importa le route personalizzate dalla rete peer. La rete peer deve abilitare l'esportazione delle route personalizzate per le route da importare.
    • Esporta route personalizzate:esporta route personalizzate sul peer. in ogni rete. La rete peer deve abilitare l'importazione di route personalizzate per l'esportazione delle route.

  9. Se la tua rete o la rete peer utilizza l'IPv4 pubblico utilizzato privatamente di intervalli nelle rispettive subnet, queste route vengono esportate per impostazione predefinita, importati per impostazione predefinita. Per importare route di subnet IPv4 pubbliche utilizzate privatamente, seleziona:

    • Importa route di subnet con IP pubblico per eseguire l'importazione privatamente utilizzata route di subnet IP pubbliche esportate dall'altra rete

  10. Fai clic su Crea.

gcloud

Crea una connessione di peering di rete VPC.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

Sostituisci quanto segue:

  • PEERING_NAME: il nome della configurazione di peering.
  • NETWORK: il nome della rete nel progetto che che vuoi collegare tra loro.
  • PEER_PROJECT_ID: l'ID del progetto contenente la della rete con cui vuoi eseguire il peering.
  • PEER_NETWORK_NAME: il nome della rete a cui con cui vuoi interagire.
  • STACK_TYPE: tipo di stack per la connessione in peering. Specifica IPV4_ONLY per scambiare solo route IPv4. In alternativa, specifica IPV4_IPV6 per scambiare le route IPv4 e IPv6. IPV4_ONLY è il valore predefinito.
  • --import-custom-routes indica alla rete di accettare route personalizzate dalla rete in peering. La rete in peering deve prima esportare le route.
  • --export-custom-routes indica alla rete di esportare route personalizzate alla rete in peering. La rete in peering deve essere impostata per importare le route.
  • --import-subnet-routes-with-public-ip indica alla rete di accettare route subnet dalla rete in peering che la rete utilizza indirizzi IPv4 pubblici utilizzati privatamente subnet. La rete in peering deve prima esportare le route.
  • --export-subnet-routes-with-public-ip indica alla rete di esportare route subnet che contengono dagli indirizzi IP pubblici. La rete in peering deve essere impostata per importare route.

Terraform

Puoi usare un modulo Terraform per creare una configurazione di peering.

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 9.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Per le due reti VPC in peering, ogni collegamento autonomo include un ID progetto e il nome della rete VPC. Per ottenere il collegamento autonomo per una rete VPC, puoi utilizza il comando gcloud compute networks describe o networks.get in ogni del progetto della rete VPC.

Quando crei un peering da local_network a peer_network, la relazione di peering è bidirezionale. Il peering peer_network a local_network viene creato automaticamente.

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta: Comandi Terraform di base.

Verifica che il traffico passi tra reti VPC in peering

Puoi utilizzare Log di flusso VPC per visualizzare i flussi di rete inviati da istanze VM e riceverle. Puoi anche utilizzare Logging delle regole firewall per per verificare che il traffico passi tra le reti. Crea regole firewall VPC che consentono (o negano) il traffico tra le reti in peering e attivano Logging delle regole firewall per queste regole. Puoi quindi visualizzare Le regole firewall sono state verificate utilizzando Cloud Logging.

Aggiorna una connessione in peering

Quando aggiorni una connessione di peering di rete VPC esistente, puoi:

  • Scegli se esportare o importare route personalizzate dalla tua rete VPC o route di subnet IPv4 pubbliche utilizzate privatamente da o verso la rete VPC peer.
  • Aggiorna una connessione in peering esistente per abilitare o disabilitare lo scambio di route IPv6 tra le reti di peering.

La tua rete importa le route solo se anche la rete peer esporta le route e la rete peer riceve le route solo se importa che li rappresentano.

Console

  1. Nella console Google Cloud, vai alla pagina Peering di rete VPC.
    Vai al peering di rete VPC
  2. Seleziona la connessione in peering da aggiornare.
  3. Fai clic su Modifica.
  4. Aggiorna la selezione Tipo di stack IP per specificare quali route di subnet devono essere scambiate tra le reti in peering:
      .
    • IPv4 (stack singolo): interrompi lo scambio esistente di route IPv6 sul peering e continua a scambiare solo route IPv4.
    • IPv4 e IPv6 (stack doppio): inizia a scambiare sia le route IPv4 sia quelle IPv6, a condizione che anche per la connessione in peering corrispondente il Tipo di stack IP sia impostato su IPv4 e IPv6 (stack doppio).
  5. Per importare o esportare route personalizzate IPv4 e IPv6, scegli una o entrambe le seguenti opzioni opzioni:
    • Importa route personalizzate per importare le route personalizzate esportate dal altra rete
    • Esporta route personalizzate per esportare route personalizzate nell'altro in ogni rete. L'altra rete deve importare le route per visualizzarle.
  6. Se la tua rete o la rete peer utilizza l'IPv4 pubblico utilizzato privatamente di intervalli nelle rispettive subnet, queste route vengono esportate per impostazione predefinita, importati per impostazione predefinita. Per importare route di subnet IPv4 pubbliche utilizzate privatamente, seleziona:
    • Importa route di subnet con IP pubblico per eseguire l'importazione privatamente utilizzata route di subnet IP pubbliche esportate dall'altra rete
    • Fai clic su Salva.

gcloud 

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Aggiorna quanto segue:

  • PEERING_NAME: il nome del peering esistente connessione.
  • NETWORK: il nome della rete nel progetto che è connesso in peering.
  • STACK_TYPE: tipo di stack per la connessione in peering.
    • Specifica IPV4_ONLY per interrompere lo scambio esistente di route IPv6 sul peering e continuare a scambiare solo route IPv4.
    • Specifica IPV4_IPV6 per iniziare a scambiare le route IPv4 e IPv6, a condizione che anche per la connessione in peering corrispondente sia impostato stack_type su IPV4_IPV6.
  • --import-custom-routes indica alla rete di accettare route personalizzate dalla rete in peering. La rete in peering deve prima esportare le route.
  • --export-custom-routes indica alla rete di esportare route personalizzate alla rete in peering. La rete in peering deve essere impostata per importare le route.
  • --import-subnet-routes-with-public-ip indica alla rete di accettare route subnet dalla rete in peering che la rete utilizza indirizzi IPv4 pubblici utilizzati privatamente subnet. La rete in peering deve prima esportare le route.
  • --export-subnet-routes-with-public-ip indica alla rete di esportare route subnet che contengono dagli indirizzi IP pubblici. La rete in peering deve essere impostata per importare route.

Elenca connessioni in peering

Elencare le connessioni in peering esistenti per visualizzarne lo stato e se sono importare o esportare route personalizzate.

Console

  1. Nella console Google Cloud, vai alla pagina Peering di rete VPC.
    Vai al peering di rete VPC
  2. Seleziona la connessione in peering per visualizzarne i dettagli.

gcloud 

gcloud compute networks peerings list

Elenca le route dalle connessioni in peering

Puoi elencare le route dinamiche della rete VPC l'importazione o l'esportazione in una rete VPC in peering. Per esportati route, puoi controllare se una rete peer sta accettando o rifiutando la tua e route personalizzate. Per le route importate, puoi controllare se la rete è accettare o rifiutare route personalizzate da una rete peer.

Potresti non vedere lo stesso numero di route per ogni regione. Per ulteriori informazioni informazioni, consulta la sezione Risoluzione dei problemi.

Console

  1. Nella console Google Cloud, vai alla pagina Peering di rete VPC.
    Vai al peering di rete VPC
  2. Seleziona la connessione in peering per visualizzarne i dettagli.

  3. Visualizza le route personalizzate che la tua rete sta importando o esportando. Utilizza la selettore di regione per visualizzare le route dinamiche in una determinata regione. Subnet e le route statiche sono globali e vengono mostrate per tutte le regioni.

    • Per visualizzare le route personalizzate importate, seleziona Route importate .
    • Per visualizzare le route personalizzate esportate, seleziona Route esportate .

gcloud 

gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Aggiorna quanto segue:

  • PEERING_NAME: il nome di un peering esistente connessione.
  • NETWORK: il nome della rete nel progetto che è connesso in peering.
  • REGION: la regione in cui vuoi elencare tutti gli elementi dinamici route. Le route statiche e statiche sono globali e vengono visualizzate per tutte le regioni.
  • DIRECTION: specifica se includere un elenco di elementi importati (incoming) o esportate (outgoing).

Elimina una connessione di peering di rete VPC

Tu o un amministratore di rete per la rete VPC peer potete una configurazione di peering. Quando una configurazione di peering viene eliminata, la connessione in peering passa a INACTIVE nell'altra rete e tutte le route condivise tra le reti vengono rimosse.

Console

  1. Vai alla pagina Peering di rete VPC nella console Google Cloud.
    Vai al peering di rete VPC
  2. Seleziona la casella di controllo accanto al peering da rimuovere.
  3. Fai clic su Elimina.

gcloud 

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Aggiorna quanto segue:

  • PEERING_NAME: il nome della connessione in peering a eliminare.
  • NETWORK: il nome della rete nel progetto che è connesso in peering.

Quote e limiti

Vedi Quote e limiti di peering di rete VPC.

Risoluzione dei problemi

Le seguenti sezioni descrivono come risolvere i problemi relativi a peering di rete VPC.

Le VM peer non sono raggiungibili

Quando la connessione in peering è ATTIVA, potrebbe essere necessario fino a un minuto per tutte i flussi di traffico da impostare tra le reti in peering. Questa volta dipende dalla dimensione delle reti in peering. Se di recente hai configura la connessione in peering, attendi fino a un minuto e riprova. Inoltre, assicurati che non siano presenti regole firewall che bloccano l'accesso al peer o al peer CIDR delle subnet di rete VPC.

Route personalizzate non scambiate tra reti in peering

Innanzitutto, elenca le route dalle connessioni in peering. Se non visualizzi i percorsi per le destinazioni previste, controlla quanto segue:

  • Elenco delle connessioni in peering. Trova la rete con intervalli di destinazione desiderati e assicurati che lo stato di peering sia ACTIVE. Se la connessione in peering è INACTIVE, una configurazione di peering per la tua rete non esiste nell'altra rete. Se non gestisci l'altra rete, dovrai coordinarti con un amministratore di rete che lo farà.

  • Aggiorna la configurazione del peering in in modo che sia configurata in modo da importare route personalizzate dall'altra in ogni rete. Assicurati che l'altra rete sia stata configurata per esportarne i dati e route personalizzate.

Il traffico destinato a una rete peer viene eliminato

Innanzitutto, elenca le connessioni in peering per assicurarti che è ancora connessa all'altra rete. Se lo stato del peering è INACTIVE, non esiste una configurazione di peering per la tua rete nell'altra rete. Se Non gestisci l'altra rete, dovrai contattare una rete amministratore responsabile.

Successivamente, elenca le route delle connessioni peer. Puoi solo importare tutte le route consentite dal peering di rete VPC limiti.

Il traffico viene inviato a un hop successivo imprevisto

Controlla l'ordine di routing per verificare se è stato scelto un altro percorso.

Impossibile eseguire il peering con una determinata rete VPC

Se non puoi creare una configurazione di peering con un determinato VPC delle reti, un criterio dell'organizzazione potrebbe vincolare il VPC reti con cui la tua rete può effettuare il peering. Nel criterio dell'organizzazione, aggiungi il parametro all'elenco dei peer consentiti oppure contatta l'amministratore della tua organizzazione. Per ulteriori informazioni, consulta constraints/compute.restrictVpcPeering di blocco.

Route di subnet IPv6 non scambiate dopo l'aggiornamento di stack_type del peering a IPV4_IPV6

Assicurati che anche il valore di stack_type per la connessione in peering corrispondente sia impostato su IPV4_IPV6. Per consentire lo scambio di route e traffico IPv6, è necessario che stack_type sia impostato su IPV4_IPV6 su entrambi i lati di una connessione in peering.

Route dinamiche IPv6 non esportate dopo l'aggiornamento di stack_type del peering in IPV4_IPV6

Per esportare route IPv6 dinamiche e statiche, devi abilitare i flag –export-custom-route e –import-custom-route sulle connessioni in peering corrispondenti.

Route statiche e dinamiche IPv6 non scambiate dopo l'abilitazione dell'importazione e dell'esportazione di route personalizzate

Assicurati che per entrambi i peering sia impostato stack_type su IPV4_IPV6.

Alcune route dinamiche sono importate, ma non le vedo tutte

Considera quanto segue:

  • Potresti non vedere lo stesso numero di route per ogni regione. Se più le route con gli stessi intervalli di indirizzi IP vengono scambiate tra regioni, vengono importate le route con la priorità più alta. Se queste route vengono scambiate nella stessa regione, vengono importate tutte le route.

  • Quando una rete raggiunge il limite per gruppo di peering di route dinamiche, vengono importate. Tuttavia, non è possibile determinare quali route omesso.

Passaggi successivi