VPC-Netzwerk-Peering verwenden

Mit dem Google Cloud VPC-Netzwerk-Peering sind Verbindungen über interne IP-Adressen zwischen zwei VPC-Netzwerken (Virtual Private Cloud) möglich, unabhängig davon, ob sie zum selben Projekt oder zur selben Organisation gehören. Peering unterstützt die Konnektivität zwischen Netzwerken mit Dual-Stack-Subnetzen.

Weitere Informationen finden Sie unter VPC-Netzwerk-Peering.

Peering-Konfiguration erstellen

Bevor Sie beginnen, müssen Sie den Namen des VPC-Netzwerks kennen, zu dem Sie eine Peering-Verbindung herstellen möchten. Wenn sich dieses Netzwerk in einem anderen Projekt befindet, müssen Sie auch die Projekt-ID dieses Projekts kennen. Sie können keine Peering-Anfragen für Ihr VPC-Netzwerk auflisten. Fragen Sie gegebenenfalls den Administrator des Netzwerks, zu dem Sie eine Peering-Verbindung herstellen möchten, nach den Netzwerk- und Projektnamen.

Mit einer Peering-Konfiguration wird die Absicht festgeschrieben, eine Verbindung zu einem anderen VPC-Netzwerk herzustellen. Ihr Netzwerk und das andere Netzwerk sind erst dann miteinander verbunden, wenn beide eine Peering-Konfiguration für das jeweils andere Netzwerk haben. Nachdem auch das andere Netzwerk eine entsprechende Konfiguration für das Peering mit Ihrem Netzwerk hat, wechselt der Peering-Status in beiden Netzwerken zu ACTIVE und sie sind verbunden. Wenn im anderen Netzwerk keine entsprechende Peering-Konfiguration vorhanden ist, bleibt der Peering-Status INACTIVE und Ihr Netzwerk ist nicht mit dem anderen verbunden.

Google Cloud lässt in Peering-Netzwerken jeweils nur eine Peering-Aktivität zu. Wenn Sie beispielsweise eine Peering-Verbindung zu einem Netzwerk einrichten und sofort im Anschluss versuchen, ein weiteres Netzwerk einzurichten, schlägt der Vorgang mit folgendem Befehl fehl: Error: There is a peering operation in progress on the local or peer network. Try again later.

Nach der Verbindung der beiden Netzwerke tauschen diese immer Subnetzrouten aus. Optional können Sie sowohl statische als auch dynamische benutzerdefinierte IPv4-Routen und dynamische benutzerdefinierte IPv6-Routen aus einem Peering-Netzwerk importieren, wenn dieses für ihren Export konfiguriert ist. Weitere Informationen finden Sie unter Benutzerdefinierte Routen importieren und exportieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.
    Zum VPC-Netzwerk-Peering
  2. Klicken Sie auf Verbindung erstellen.
  3. Klicken Sie auf Weiter.
  4. Geben Sie im Feld Name einen Namen für die Peering-Konfiguration ein.
  5. Wählen Sie unter Mein VPC-Netzwerk ein Netzwerk aus, mit dem Sie eine Peering-Verbindung herstellen möchten.
  6. Wählen Sie das Netzwerk aus, mit dem Sie eine Peering-Verbindung herstellen möchten.

    • Wenn sich das Netzwerk, mit dem Sie eine Peering-Verbindung herstellen möchten, im selben Projekt befindet, wählen Sie In Projekt [NAME IHRES PROJEKTS] und dann das Netzwerk aus, mit dem die Peering-Verbindung hergestellt werden soll.
    • Wenn sich das Netzwerk, mit dem Sie eine Peering-Verbindung herstellen möchten, in einem anderen Projekt befindet, wählen Sie In einem anderen Projekt aus. Geben Sie die Projekt-ID an, die das Netzwerk, mit dem Sie eine Peering-Verbindung herstellen möchten, und den Namen des VPC-Netzwerks beinhaltet.
  7. Geben Sie unter IP-Stack-Typ an, welche Subnetzrouten zwischen den Peering-Netzwerken ausgetauscht werden sollen:

    • IPv4 (Einzelstack): Nur IPv4-Routen werden ausgetauscht.
    • IPv4 und IPv6 (Dual-Stack): IPv4- und IPv6-Routen werden ausgetauscht.
  8. Wählen Sie eine oder beide der folgenden Optionen aus, um benutzerdefinierte IPv4- und IPv6-Routen zu importieren oder zu exportieren:

    • Benutzerdefinierte Routen importieren: Benutzerdefinierte Routen aus dem Peering-Netzwerk importieren. Das Peering-Netzwerk muss den Export der benutzerdefinierten Route für Routen aktivieren, die importiert werden sollen.
    • Benutzerdefinierte Routen exportieren: Benutzerdefinierte Routen zum Peer-Netzwerk exportieren. Das Peer-Netzwerk muss den benutzerdefinierten Routenimport für den Export von Routen aktivieren.
  9. Wenn Ihr Netzwerk oder das Peering-Netzwerk privat genutzte öffentliche IPv4-Bereiche in seinen Subnetzen verwendet, werden diese Routen standardmäßig exportiert, aber nicht standardmäßig importiert. So importieren Sie privat verwendete öffentliche IPv4-Subnetzrouten:

    • Wählen Sie Subnetzrouten mit öffentlicher IP-Adresse importieren aus, um privat verwendete öffentliche IP-Subnetzrouten zu importieren, die aus dem anderen Netzwerk exportiert werden
  10. Klicken Sie auf Erstellen.

gcloud

Erstellen Sie eine VPC-Netzwerk-Peering-Verbindung.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

Dabei gilt:

  • PEERING_NAME: Der Name der Peering-Konfiguration.
  • NETWORK: Der Name des Netzwerks in Ihrem Projekt, zu dem Sie eine Peering-Verbindung herstellen möchten.
  • PEER_PROJECT_ID: Die ID des Projekts mit dem Netzwerk, zu dem Sie eine Peering-Verbindung herstellen möchten.
  • PEER_NETWORK_NAME: Der Name des Netzwerks, zu dem Sie eine Peering-Verbindung herstellen möchten.
  • STACK_TYPE: Der Stacktyp für die Peering-Verbindung. Geben Sie IPV4_ONLY an, um nur IPv4-Routen auszutauschen. Alternativ können Sie IPV4_IPV6 angeben, um sowohl IPv4- als auch IPv6-Routen auszutauschen. IPV4_ONLY ist der Standardwert.
  • --import-custom-routes weist das Netzwerk an, benutzerdefinierte Routen vom Peering-Netzwerk zu akzeptieren. Das Peering-Netzwerk muss zuerst die Routen exportieren.
  • --export-custom-routes weist das Netzwerk an, benutzerdefinierte Routen in das Peering-Netzwerk zu exportieren. Das Peering-Netzwerk muss zum Importieren der Routen festgelegt sein.
  • --import-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten aus dem Peering-Netzwerk zu akzeptieren, wenn dieses Netzwerk in seinen Subnetzen privat verwendete öffentliche IPv4-Adressen verwendet. Das Peering-Netzwerk muss zuerst die Routen exportieren.
  • --export-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten zu exportieren, die privat verwendete öffentliche IP-Adressen enthalten. Das Peering-Netzwerk muss so festgelegt sein, dass die Routen importiert werden.

Terraform

Sie können zum Erstellen einer Peering-Konfiguration ein Terraform-Modul verwenden.

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 9.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Für die beiden Peering-VPC-Netzwerke enthält jeder Self-Link eine Projekt-ID und den Namen des VPC-Netzwerks. Zum Abrufen des Self-Links für ein VPC-Netzwerk können Sie die den Befehl gcloud compute networks describe oder die Methode networks.get im Projekt jedes VPC-Netzwerks verwenden.

Wenn Sie eine Peering-Verbindung von local_network bis peer_network erstellen, ist die Peering-Beziehung bidirektional. Die Peering-Verbindung von peer_network zu local_network wird automatisch erstellt.

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Prüfen, ob Traffic zwischen Peering-VPC-Netzwerken weitergeleitet wird

Sie können VPC-Flusslogs verwenden, um die von VM-Instanzen gesendeten und empfangenen Netzwerkflüsse anzuzeigen. Sie können auch mit dem Logging von Firewallregeln überprüfen, ob der Traffic zwischen den Netzwerken übertragen wird. Erstellen Sie Firewallregeln, die Traffic zwischen den verbundenen Peering-Netzwerken zulassen oder ablehnen, und aktivieren Sie das Logging von Firewallregeln für diese Regeln. Sie können dann mit Cloud Logging prüfen, welche Firewallregeln verwendet wurden.

Peering-Verbindung aktualisieren

Wenn Sie eine vorhandene VPC-Netzwerk-Peering-Verbindung aktualisieren, können Sie Folgendes tun:

  • Ändern Sie, ob Ihr VPC-Netzwerk benutzerdefinierte Routen oder privat verwendete öffentliche IPv4-Subnetzrouten in das oder aus dem Peering-VPC-Netzwerk exportiert oder importiert.
  • Aktualisieren Sie eine vorhandene Peering-Verbindung, um den Austausch von IPv6-Routen zwischen den Peering-Netzwerken zu aktivieren oder zu deaktivieren.

Ihr Netzwerk importiert Routen nur, wenn das Peering-Netzwerk die Routen ebenfalls exportiert. Das Peering-Netzwerk empfängt Routen nur dann, wenn es sie auch importiert.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.
    Zum VPC-Netzwerk-Peering
  2. Wählen Sie die zu aktualisierende Peering-Verbindung aus.
  3. Klicken Sie auf Bearbeiten.
  4. Aktualisieren Sie die Auswahl IP-Stack-Typ, um festzulegen, welche Subnetzrouten zwischen den Peering-Netzwerken ausgetauscht werden sollen:
    • IPv4 (Einzelstack): Den vorhandenen Austausch von IPv6-Routen über das Peering beenden und nur noch IPv4-Routen austauschen.
    • IPv4 und IPv6 (Dual-Stack): Mit dem Austausch von IPv4- und IPv6-Routen beginnen, vorausgesetzt, die entsprechende Peering-Verbindung hat ebenfalls einen IP-Stack-Typ, der auf IPv4 und IPv6 (Dual-Stack) eingestellt ist.
  5. Wählen Sie eine oder beide der folgenden Optionen aus, um benutzerdefinierte IPv4- und IPv6-Routen zu importieren oder zu exportieren:
    • Benutzerdefinierte Routen importieren, um benutzerdefinierte Routen zu importieren, die aus dem anderen Netzwerk exportiert wurden
    • Benutzerdefinierte Routen exportieren, um benutzerdefinierte Routen in das andere Netzwerk zu exportieren. Das andere Netzwerk muss die Routen importieren, um sie zu sehen.
  6. Wenn Ihr Netzwerk oder das Peering-Netzwerk privat genutzte öffentliche IPv4-Bereiche in seinen Subnetzen verwendet, werden diese Routen standardmäßig exportiert, aber nicht standardmäßig importiert. So importieren Sie privat verwendete öffentliche IPv4-Subnetzrouten:
    • Wählen Sie Subnetzrouten mit öffentlicher IP-Adresse importieren aus, um privat verwendete öffentliche IP-Subnetzrouten zu importieren, die aus dem anderen Netzwerk exportiert werden
    • Klicken Sie auf Speichern.

gcloud

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Aktualisieren Sie Folgendes:

  • PEERING_NAME: Der Name der vorhandenen Peering-Verbindung.
  • NETWORK: Der Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist.
  • STACK_TYPE: Der Stacktyp für die Peering-Verbindung.
    • Geben Sie IPV4_ONLY an, um den vorhandenen Austausch von IPv6-Routen über das Peering zu beenden und weiterhin nur IPv4-Routen auszutauschen.
    • Geben Sie IPV4_IPV6 an, um den Austausch von IPv4- und IPv6-Routen zu starten, vorausgesetzt, die übereinstimmende Peering-Verbindung hat auch stack_type auf IPV4_IPV6 festgelegt.
  • --import-custom-routes weist das Netzwerk an, benutzerdefinierte Routen vom Peering-Netzwerk zu akzeptieren. Das Peering-Netzwerk muss zuerst die Routen exportieren.
  • --export-custom-routes weist das Netzwerk an, benutzerdefinierte Routen in das Peering-Netzwerk zu exportieren. Das Peering-Netzwerk muss zum Importieren der Routen festgelegt sein.
  • --import-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten aus dem Peering-Netzwerk zu akzeptieren, wenn dieses Netzwerk in seinen Subnetzen privat verwendete öffentliche IPv4-Adressen verwendet. Das Peering-Netzwerk muss zuerst die Routen exportieren.
  • --export-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten zu exportieren, die privat verwendete öffentliche IP-Adressen enthalten. Das Peering-Netzwerk muss so festgelegt sein, dass die Routen importiert werden.

Peering-Verbindungen auflisten

Listen Sie vorhandene Peering-Verbindungen auf, um ihren Status aufzurufen und zu prüfen, ob sie benutzerdefinierte Routen importieren oder exportieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.
    Zum VPC-Netzwerk-Peering
  2. Wählen Sie die Peering-Verbindung aus, um sich Details anzusehen.

gcloud

gcloud compute networks peerings list

Routen von Peering-Verbindungen auflisten

Sie können die dynamischen Routen auflisten, die Ihr VPC-Netzwerk aus einem Peering-VPC-Netzwerk importiert oder in dieses exportiert. Bei exportierten Routen können Sie prüfen, ob ein Peering-Netzwerk Ihre benutzerdefinierten Routen akzeptiert oder ablehnt. Bei importierten Routen können Sie prüfen, ob Ihr Netzwerk benutzerdefinierte Routen aus einem Peering-Netzwerk akzeptiert oder ablehnt.

Möglicherweise wird nicht für jede Region die gleiche Anzahl von Routen angezeigt. Weitere Informationen finden Sie unter Fehlerbehebung.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.
    Zum VPC-Netzwerk-Peering
  2. Wählen Sie die Peering-Verbindung aus, um sich Details anzusehen.
  3. Sehen Sie sich die benutzerdefinierten Routen an, die Ihr Netzwerk importiert oder exportiert. Verwenden Sie die Regionenauswahl, um die dynamischen Routen in einer bestimmten Region aufzurufen. Subnetz- und statische Routen sind global und werden für alle Regionen angezeigt.

    • Zum Aufrufen der importierten benutzerdefinierten Routen wählen Sie den Tab Importierte Routen aus.
    • Zum Aufrufen der exportierten benutzerdefinierten Routen wählen Sie den Tab Exportierte Routen aus.

gcloud

gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Aktualisieren Sie Folgendes:

  • PEERING_NAME: Der Name einer vorhandenen Peering-Verbindung.
  • NETWORK: Der Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist.
  • REGION: Die Region, in der Sie alle dynamischen Routen auflisten möchten. Subnetz- und statische Routen sind global und werden für alle Regionen angezeigt.
  • DIRECTION: Gibt an, ob importierte (incoming) oder exportierte (outgoing) Routen aufgelistet werden sollen.

VPC-Netzwerk-Peering-Verbindung löschen

Sie oder ein Netzwerkadministrator für das Peering-VPC-Netzwerk können eine Peering-Konfiguration löschen. Wenn eine Peering-Konfiguration gelöscht wurde, wechselt die Peering-Verbindung im anderen Netzwerk zu INACTIVE und alle von den Netzwerken gemeinsam genutzten Routen werden entfernt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerk-Peering“ auf.
    Zum VPC-Netzwerk-Peering
  2. Klicken Sie auf das Kästchen neben dem Peering, das Sie entfernen möchten.
  3. Klicken Sie auf Löschen.

gcloud

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Aktualisieren Sie Folgendes:

  • PEERING_NAME: Der Name der Peering-Verbindung, die gelöscht werden soll.
  • NETWORK: Der Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist.

Beispieleinrichtung von VPC-Netzwerk-Peering

In der Organisation organization-a muss zwischen network-a in project-a und network-b in project-b VPC-Netzwerk-Peering eingerichtet werden. Damit das VPC-Netzwerk-Peering erfolgreich eingerichtet werden kann, müssen die Administratoren von network-a und network-b die Peering-Verknüpfung separat konfigurieren.

Schritt 1: Peering von network-a mit network-b

Ein Nutzer mit entsprechenden IAM-Berechtigungen in project-a konfiguriert network-a für das Peering mit network-b. Beispielsweise können Nutzer mit der Rolle roles/editor oder roles/compute.networkAdmin Peering konfigurieren.

Peering zwischen network-a und network-b
Peering zwischen network-a und network-b (zum Vergrößern klicken)

Bevor Sie beginnen, benötigen Sie die Projekt-IDs und Namen der Netzwerke, die Sie über Peering verbinden möchten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerk-Peering“ auf.
    Zum VPC-Netzwerk-Peering
  2. Klicken Sie auf Verbindung erstellen.
  3. Klicken Sie auf Weiter.
  4. Geben Sie für diese Seite der Verbindung den Namen für peer-ab ein.
  5. Wählen Sie unter Mein VPC-Netzwerk das Netzwerk aus, das verbunden werden soll.
  6. Setzen Sie die Optionsfelder für Peering VPC-Netzwerk auf In another project, es sei denn, Sie möchten eine Peering-Verbindung innerhalb desselben Projekts herstellen.
  7. Geben Sie die Projekt-ID des anderen Projekts an.
  8. Geben Sie den VPC-Namen des anderen Netzwerks an.
  9. Wählen Sie Benutzerdefinierte Routen importieren und Benutzerdefinierte Routen exportieren aus.
  10. Klicken Sie auf Erstellen.

gcloud

gcloud compute networks peerings create peer-ab \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --import-custom-routes \
    --export-custom-routes

An diesem Punkt bleibt der Peering-Status INACTIVE, weil in network-b in project-b keine entsprechende Konfiguration vorhanden ist.

Wenn der Peering-Status ACTIVE wird, werden mit VPC-Netzwerk-Peering automatisch Subnetzrouten ausgetauscht. In Google Cloud werden auch benutzerdefinierte Routen (statische Routen und dynamische Routen) ausgetauscht. Dazu werden diese über die Peering-Verbindung importiert oder exportiert. Beide Netzwerke müssen so konfiguriert sein, dass benutzerdefinierte Routen ausgetauscht werden, bevor diese freigegeben werden. Weitere Informationen finden Sie unter Benutzerdefinierte Routen importieren und exportieren.

Rufen Sie die Peering-Verbindung auf, um den aktuellen Peering-Status zu prüfen:

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerk-Peering“ auf.
    Zum VPC-Netzwerk-Peering
  2. Die Statusmeldung "Warten auf die Verbindung mit dem Peering-Netzwerk" wird angezeigt.

gcloud

gcloud compute networks peerings list --network network-a

Schritt 2: Peering von network-b mit network-a

Ein NetworkAdmin oder ein Nutzer mit entsprechenden IAM-Berechtigungen muss in project-b die entsprechende Konfiguration von network-b zu network-a konfigurieren, damit das Peering an beiden Enden ACTIVE wird.

Peering zwischen network-b und network-a (zum Vergrößern klicken)
Peering zwischen network-a und network-b (zum Vergrößern klicken)

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerk-Peering“ auf.
    Zum VPC-Netzwerk-Peering
  2. Klicken Sie auf Verbindung erstellen.
  3. Klicken Sie auf Weiter.
  4. Geben Sie für diese Seite der Verbindung den Namen für peer-ba ein.
  5. Wählen Sie unter Mein VPC-Netzwerk das Netzwerk aus, das verbunden werden soll.
  6. Setzen Sie die Optionsfelder für Peering VPC-Netzwerk auf In another project, es sei denn, Sie möchten eine Peering-Verbindung innerhalb desselben Projekts herstellen.
  7. Geben Sie die Projekt-ID des anderen Projekts an.
  8. Geben Sie den VPC-Namen des anderen Netzwerks an.
  9. Wählen Sie Benutzerdefinierte Routen importieren und Benutzerdefinierte Routen exportieren aus.
  10. Klicken Sie auf Erstellen.

gcloud

gcloud compute networks peerings create peer-ba \
     --network=network-b \
     --peer-project=project-a \
     --peer-network=network-a \
     --import-custom-routes \
     --export-custom-routes

Schritt 3: VPC-Netzwerk-Peering wird ACTIVE

Sobald das Peering den Status ACTIVE erhält, werden die Subnetzrouten und benutzerdefinierten Routen ausgetauscht. Die folgenden Trafficströme sind eingerichtet:

  • Zwischen VM-Instanzen in den verbundenen Netzwerken (vollständig vermaschte Verbindung)
  • Von VM-Instanzen in einem Netzwerk zu internen Passthrough-Load-Balancer-Endpunkten im Peering-Netzwerk
Peering im Status "ACTIVE" (zum Vergrößern klicken)
Peering im Status "ACTIVE" (zum Vergrößern klicken)

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerk-Peering“ auf.
    Zum VPC-Netzwerk-Peering
  2. Der Status ist "Verbunden".
  3. Öffnen Sie die Seite „VPC-Netzwerk-Peering“ im anderen Projekt, wo ebenfalls der Status „Verbunden“ angezeigt wird.

gcloud

gcloud compute networks peerings list --network network-a

Die Routen zu den CIDR-Präfixen des über Peering verbundenen Netzwerks sind nun in allen Peering-Komponenten des VPC-Netzwerks sichtbar. Diese Routen sind implizite Routen, die für aktive Peering-Verbindungen generiert wurden. Sie haben keine zugehörigen Routenressourcen. Mit der folgenden Aktion werden Routen für alle VPC-Netzwerke für project-a aufgerufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Routen“ auf.
    Zur Seite „Routen“

gcloud

gcloud compute routes list --project project-a

Mehrere Peering-Verbindungen erstellen

Stellen wir uns ein Szenario vor, in dem VM-Instanzen in network-a auf Dienste von zwei externen Organisationen zugreifen müssen: SaaS1 und SaaS2. Wenn Sie auf beide nur mit internen IP-Adressen zugreifen möchten, sind zwei Peering-Verbindungen erforderlich:

  • network-a mit Peering-Verbindung zu network-b in SaaS1
  • network-a mit Peering-Verbindung zu network-c in SaaS2

Bei VPC-Netzwerk-Peering ist es unerheblich, dass sich network-b und network-c in verschiedenen Projekten und Organisationen befinden.

Grafik: Peering zwischen verschiedenen Unternehmen (zum Vergrößern klicken)
Peering zwischen verschiedenen Organisationen (zum Vergrößern klicken)

Erstellen Sie für diese Konfiguration zwei Peering-Sitzungen.

Kontingente und Limits

Siehe Kontingente und Limits für VPC-Netzwerk-Peering.

Fehlerbehebung

In den folgenden Abschnitten wird beschrieben, wie Sie Probleme beim VPC-Netzwerk-Peering beheben.

Peer-VMs sind nicht erreichbar

Nachdem die Peering-Verbindung den Status AKTIV hat, kann es bis zu einer Minute dauern, bis alle Trafficströme zwischen den über Peering verbundenen VPC-Netzwerken eingerichtet sind. Die Dauer hängt von der Größe der über Peering verbundenen VPC-Netzwerke ab. Wenn Sie die Peering-Verbindung erst kürzlich eingerichtet haben, warten Sie eine Minute und versuchen Sie es dann noch einmal. Achten Sie außerdem darauf, dass keine Firewallregeln den Traffic zu/von den Subnetz-CIDRs des Peering-VPC-Netzwerks blockieren.

Benutzerdefinierte Routen, die nicht zwischen Peering-Netzwerken ausgetauscht werden

Listen Sie zuerst die Routen Ihrer Peering-Verbindungen auf. Wenn keine Routen zu erwarteten Zielen aufgeführt sind, prüfen Sie Folgendes:

  • Listen Sie Peering-Verbindungen auf. Suchen Sie das Netzwerk mit den gewünschten Zielbereichen und prüfen Sie, ob der Peering-Status ACTIVE lautet. Wenn der Status der Peering-Verbindung INACTIVE lautet, ist im anderen Netzwerk keine Peering-Konfiguration für Ihr Netzwerk vorhanden. Wenn Sie das andere Netzwerk nicht verwalten, wenden Sie sich an einen dafür zuständigen Netzwerkadministrator.

  • Aktualisieren Sie die Peering-Konfiguration in Ihrem Netzwerk so, dass sie für den Import benutzerdefinierter Routen aus dem anderen Netzwerk eingerichtet ist. Vergewissern Sie sich, dass das andere Netzwerk für den Export seiner benutzerdefinierten Routen konfiguriert ist.

Traffic für ein Peer-Netzwerk wird verworfen

Listen Sie zuerst die Peering-Verbindungen auf, um sicherzustellen, dass Ihr Netzwerk noch mit dem anderen verbunden ist. Wenn der Peering-Status INACTIVE lautet, ist im anderen Netzwerk keine Peering-Konfiguration für Ihr Netzwerk vorhanden. Wenn Sie das andere Netzwerk nicht verwalten, wenden Sie sich an einen dafür zuständigen Netzwerkadministrator.

Als Nächstes listen Sie die Routen von Peering-Verbindungen auf. Sie können nur so viele Routen importieren, wie es gemäß den VPC-Netzwerk-Peering-Limits zulässig ist.

Traffic wird an einen unerwarteten nächsten Hop gesendet

Prüfen Sie die Routingreihenfolge, um zu sehen, ob stattdessen eine andere Route gewählt wurde.

Peering mit einem bestimmten VPC-Netzwerk nicht möglich

Wenn Sie zu bestimmten VPC-Netzwerken keine Peering-Konfiguration herstellen können, könnten die VPC-Netzwerke, zu denen Ihr Netzwerk Peering-Verbindungen herstellen kann, durch eine Organisationsrichtlinie eingeschränkt sein. Fügen Sie das Netzwerk in der Organisationsrichtlinie der Liste der zulässigen Peering-Verbindungen hinzu oder wenden Sie sich an den Administrator Ihrer Organisation. Weitere Informationen finden Sie in der Einschränkung constraints/compute.restrictVpcPeering.

IPv6-Subnetzrouten, die nach der Aktualisierung von stack_type des Peerings auf IPV4_IPV6 nicht ausgetauscht wurden

Achten Sie darauf, dass der Wert von stack_type für die entsprechende Peering-Verbindung auch auf IPV4_IPV6 gesetzt ist. Auf beiden Seiten einer Peering-Verbindung muss stack_type auf IPV4_IPV6 gesetzt sein, bevor IPv6-Routen und -Traffic ausgetauscht werden können.

Dynamische IPv6-Routen, die nach der Aktualisierung von stack_type des Peerings auf IPV4_IPV6 nicht exportiert wurden

Für den Export dynamischer und statischer IPv6-Routen müssen Sie die Flags –export-custom-route und –import-custom-route für die entsprechenden Peering-Verbindungen aktivieren.

Statische und dynamische IPv6-Routen, die nach der Aktivierung des Imports und Exports benutzerdefinierter Routen nicht ausgetauscht werden

Achten Sie darauf, dass für beide Peerings stack_type auf IPV4_IPV6 gesetzt ist.

Einige dynamische Routen werden importiert, aber ich sehe nicht alle.

Beachten Sie dabei Folgendes:

  • Möglicherweise wird nicht für jede Region die gleiche Anzahl von Routen angezeigt. Wenn mehrer Routen mit denselben IP-Adressbereichen über Regionen ausgetauscht werden, werden nur die Routen mit der höchsten Priorität importiert. Wenn diese Routen in derselben Region ausgetauscht werden, werden alle Routen importiert.

  • Wenn ein Netzwerk das Limit der dynamischen Routen pro Peering-Gruppe erreicht, werden keine weiteren Routen importiert. Es ist jedoch nicht möglich, zu bestimmen, welche Routen ausgelassen werden.

Nächste Schritte