Utilisez l'appairage de réseaux VPC.

L'appairage de réseaux VPC Google Cloud permet une connectivité via des adresses IP internes sur deux réseaux cloud privé virtuel (VPC), qu'ils appartiennent ou non au même projet ou à la même organisation. L'appairage est compatible avec la connectivité entre des réseaux comportant des sous-réseaux à double pile.

Pour en savoir plus, consultez la section Appairage de réseaux VPC.

Créer une configuration d'appairage

Avant de commencer, vous devez disposer du nom du réseau VPC avec lequel vous souhaitez effectuer l'appairage. Si ce réseau est situé dans un autre projet, vous devez également disposer de l'ID de ce projet.

Une configuration d'appairage établit l'intention de se connecter à un autre réseau VPC. Votre réseau et l'autre réseau ne sont pas connectés tant qu'ils ne disposent pas tous les deux d'une configuration d'appairage l'un avec l'autre. Une fois que l'autre réseau possède une configuration d'appairage avec votre réseau, l'état de l'appairage devient ACTIVE dans les deux réseaux, qui sont alors connectés. Si aucune configuration d'appairage correspondante n'existe sur l'autre réseau, l'état reste sur INACTIVE, et votre réseau n'est pas connecté à l'autre.

Une fois connectés, les deux réseaux échangent toujours des routes de sous-réseau. Si vous le souhaitez, vous pouvez importer des routes personnalisées IPv4 statiques et dynamiques, et des routes personnalisées IPv6 dynamiques à partir d'un réseau appairé si celui-ci a été configuré pour les exporter. Pour plus d'informations, reportez-vous à la section Importer et exporter des routes personnalisées.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 9.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Mettre à jour une connexion d'appairage

Lorsque vous mettez à jour une connexion d'appairage de réseaux VPC existante, vous pouvez effectuer les opérations suivantes :

• Indiquez si votre réseau VPC exporte ou importe les routes personnalisées ou les routes de sous-réseau IPv4 publiques utilisées en mode privé, vers ou depuis le réseau VPC appairé.
• Mettez à jour une connexion d'appairage existante pour activer ou désactiver l'échange de routes IPv6 entre les réseaux d'appairage.

Votre réseau n'importe effectivement les routes que si le réseau appairé les exporte, et le réseau appairé ne reçoit vos routes que s'il les importe.

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Répertorier les connexions d'appairage

Répertoriez les connexions d'appairage existantes pour afficher leur statut et indiquer si elles importent ou exportent des routes personnalisées.

gcloud compute networks peerings list

Répertorier des routes à partir de connexions d'appairage

Vous pouvez répertorier les routes dynamiques importées ou exportées par votre réseau VPC depuis ou vers un réseau VPC appairé. Pour les routes exportées, vous pouvez vérifier si un réseau appairé accepte ou refuse vos routes personnalisées. Pour les routes importées, vous pouvez vérifier si votre réseau accepte ou refuse les routes personnalisées d'un réseau appairé.

Il est possible que vous ne voyiez pas le même nombre de routes pour chaque région. Pour en savoir plus, consultez la section Dépannage.

gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Supprimer une connexion d'appairage de réseaux VPC

Vous-même ou un administrateur du réseau VPC appairé pouvez supprimer une configuration d'appairage. Lorsqu'une configuration d'appairage est supprimée, la connexion d'appairage passe à l'état INACTIVE sur l'autre réseau et toutes les routes partagées entre les réseaux sont supprimées.

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Exemple de configuration d'appairage de réseaux VPC

Prenons l'exemple d'une organisation organization-a devant effectuer un appairage de réseaux VPC entre network-a dans project-a et network-b dans project-b. Pour que l'appairage de réseau VPC soit établi avec succès, les administrateurs de network-a et de network-b doivent configurer séparément l'association d'appairage.

Étape 1 : Appairer network-a à network-b

Un utilisateur disposant des autorisations IAM appropriées dans project-a configure network-a pour l'appairer avec network-b. Par exemple, les utilisateurs dotés du rôle roles/editor ou roles/compute.networkAdmin peuvent configurer l'appairage.

Avant de commencer, vous avez besoin des ID de projet et des noms des réseaux à appairer.

gcloud compute networks peerings create peer-ab \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --import-custom-routes \
    --export-custom-routes

À ce stade, l'état d'appairage reste à l'état INACTIVE, car il n'existe pas de configuration correspondante dans network-b dans project-b.

Lorsque l'état d'appairage devient ACTIVE, l'appairage de réseaux VPC échange automatiquement les routes de sous-réseau. Google Cloud échange également les routes personnalisées (routes statiques et dynamiques) en les important ou en les exportant via la connexion d'appairage. Les deux réseaux doivent être configurés pour échanger des routes personnalisées avant leur partage. Pour plus d'informations, reportez-vous à la section Importer et exporter des routes personnalisées.

Pour voir l'état d'appairage actuel, affichez la connexion d'appairage :

gcloud compute networks peerings list --network network-a

Étape 2 : Appairer network-b à network-a

Un administrateur réseau (NetworkAdmin) ou un utilisateur disposant des autorisations IAM appropriées dans project-b doit définir la configuration correspondante de network-b à network-a pour que l'appairage devienne actif (ACTIVE) aux deux extrémités.

gcloud compute networks peerings create peer-ba \
     --network=network-b \
     --peer-project=project-a \
     --peer-network=network-a \
     --import-custom-routes \
     --export-custom-routes

Étape 3 : l'appairage de réseaux VPC devient actif (ACTIVE)

Dès que l'appairage passe à l'état ACTIVE, les routes de sous-réseau et les routes personnalisées sont échangées. Les flux de trafic suivants sont configurés :

• entre les instances de VM des réseaux appairés : connectivité maillée complète ;
• entre les instances de VM de l'un des réseaux et les points de terminaison d'équilibreur de charge réseau interne à stratégie directe du réseau appairé.

gcloud compute networks peerings list --network network-a

Les routes vers les préfixes CIDR (Classless Inter-Domain Routing) du réseau appairé sont désormais visibles sur les pairs du réseau VPC. Il s'agit de routes implicites générées pour les connexions d'appairage actives. Elles n'ont aucune ressource de route correspondante. La procédure suivante permet d'afficher les routes pour tous les réseaux VPC pour project-a.

gcloud compute routes list --project project-a

Créer plusieurs connexions d'appairage

Prenons l'exemple d'un scénario dans lequel des instances de VM de network-a doivent accéder aux services de deux organisations externes différentes : SaaS1 et SaaS2. Pour accéder aux deux en utilisant uniquement des adresses IP internes, deux connexions d'appairage sont nécessaires :

• network-a est appairé à network-b, qui se trouve dans SaaS1
• network-a est appairé à network-c, qui se trouve dans SaaS2

Avec l'appairage de réseaux VPC, peu importe que network-b et network-c se trouvent dans des projets et des organisations différents.

Pour créer cette configuration, créez deux sessions d'appairage distinctes.

Restrictions

Le chevauchement des plages d'adresses IP de sous-réseau est interdit sur les réseaux VPC appairés

Aucune plage d'adresses IP de sous-réseau ne peut en chevaucher une autre dans un réseau VPC appairé. Lors de l'appairage, Google Cloud vérifie s'il existe des sous-réseaux comportant des plages d'adresses IP qui se chevauchent. Si oui, l'appairage échoue. Dans le cas d'un réseau appairé, si vous essayez de créer un sous-réseau VPC ou d'étendre une plage d'adresses IP de sous-réseau, Google Cloud vérifie que les nouvelles plages de sous-réseaux ne chevauchent pas les plages existantes.

Pour en savoir plus sur les vérifications de chevauchement, consultez les pages suivantes :

• Chevauchement de sous-réseaux au moment de l'appairage
• Chevauchement de sous-réseaux lors de la création ou de l'extension de sous-réseaux

Les anciens réseaux ne sont pas compatibles avec l'appairage de réseaux VPC

Les anciens réseaux ne comportent pas de sous-réseaux. Ils ne peuvent pas être appairés à d'autres réseaux et ne sont pas compatibles avec l'appairage de réseaux VPC.

Pas de noms DNS Compute Engine dans les projets

Les noms DNS internes de Compute Engine créés sur un réseau ne sont pas accessibles aux réseaux appairés. L'adresse IP de la VM doit être utilisée pour atteindre les instances de VM sur un réseau appairé.

Les tags et les comptes de service ne peuvent pas être utilisés sur des réseaux appairés

Vous ne pouvez pas référencer un tag ou un compte de service concernant une VM d'un réseau appairé dans une règle de pare-feu de l'autre réseau appairé. Par exemple, si une règle d'entrée dans un réseau appairé filtre sa source en fonction d'un tag, elle autorise uniquement le trafic de VM provenant de ce réseau, et non de ses pairs, même Si une VM d'un réseau appairé possède ce tag. Cette situation se produit de manière similaire pour les comptes de service.

GKE et appairage de réseaux VPC

L'appairage de réseaux VPC est compatible avec GKE lorsqu'il est utilisé avec des alias d'adresses IP et des routes personnalisées. Les services Kubernetes (s'ils sont exposés via un équilibreur de charge réseau interne à stratégie directe) et les adresses IP de pods sont accessibles sur les réseaux VPC.

Cloud Load Balancing avec appairage de réseaux VPC

Cloud Load Balancing ne permet pas de configurer les interfaces et les backends de l'équilibreur de charge dans différents réseaux VPC, même s'ils sont appairés avec l'appairage de réseaux VPC.

Les équilibreurs de charge réseau internes à stratégie directe et les équilibreurs de charge d'application internes n'acceptent l'appairage de réseaux VPC que pour l'accès client depuis le réseau VPC appairé.

Limites

Reportez-vous à la page Limites relatives à l'appairage de réseaux VPC.

Dépannage

Q : Ma connexion d'appairage est configurée, mais je ne parviens pas à accéder aux machines virtuelles du réseau pair ni aux équilibreurs de charge interne.

Une fois que la connexion d'appairage est ACTIVE, la mise en place de tous les flux de trafic entre les réseaux appairés peut prendre jusqu'à une minute. Ce temps dépend de la taille des réseaux à appairer. Si vous avez récemment configuré la connexion d'appairage, patientez une minute, puis réessayez. Assurez-vous également qu'aucune règle de pare-feu ne bloque l'accès depuis ou vers des préfixes CIDR de sous-réseau du réseau VPC appairé.

Q : Lorsque j'essaie de configurer la connexion d'appairage, je reçois un message d'erreur indiquant qu'une autre opération d'appairage est en cours.

Afin d'éviter les conflits avec, entre autres, les mises à jour de routage, Google Cloud n'autorise qu'une seule activité d'appairage à la fois sur les réseaux appairés. Par exemple, si vous configurez un appairage à un réseau et que vous tentez tout de suite après d'en configurer un autre, il est possible que toutes les tâches du premier appairage ne soient pas terminées. L'exécution de toutes les tâches peut prendre une minute. Il est également possible qu'un équilibreur de charge interne ou qu'une VM soient en train d'être ajoutés au réseau appairé existant, ce qui peut avoir une incidence sur les éléments accessibles entre les réseaux. Dans la plupart des cas, il est conseillé d'attendre une ou deux minutes et de recommencer l'opération d'appairage.

Q : Je reçois un message d'erreur lorsque j'essaie de supprimer un réseau VPC comportant des appairages à l'état ACTIVE.

Pour pouvoir supprimer un réseau VPC, vous devez d'abord supprimer toutes les configurations d'appairage du réseau. Reportez-vous à la section Supprimer une connexion d'appairage de réseaux VPC.

Q : Est-il possible d'appairer des réseaux VPC comportant des sous-réseaux dont les plages d'adresses IP principales ou secondaires se chevauchent ?

Non. Vous pouvez uniquement appairer des réseaux VPC dont les sous-réseaux possèdent des plages d'adresses IP de sous-réseau principales et secondaires uniques.

Q : Comment puis-je m'assurer que les nouveaux sous-réseaux que je crée dans mon réseau VPC n'auront pas de plages d'adresses IP de sous-réseau en conflit avec des sous-réseaux ou des routes dans des réseaux appairés ?

Avant de créer de nouveaux sous-réseaux, vous pouvez répertorier les routes provenant des connexions d'appairage. Assurez-vous que vous n'utilisez aucune de leurs destinations comme plages d'adresses IP principales ou secondaires lorsque vous créez de nouveaux sous-réseaux dans votre réseau VPC.

Q : Mon réseau VPC est appairé à un autre réseau VPC. Je souhaite créer un sous-réseau dans mon réseau. Comment créer ce sous-réseau pour qu'il ne chevauche pas les sous-réseaux du réseau pair ?

À ce stade, aucune commande ne peut vous aider. Demandez à l'administrateur du réseau appairé de vous renseigner sur les routes de sous-réseau qui se trouvent déjà dans ce réseau.

Q : Existe-t-il des problèmes de sécurité ou de confidentialité liés à l'appairage de réseaux VPC ?

Une fois l'appairage configuré, chaque réseau VPC connaît les plages d'adresses de sous-réseau de l'autre réseau. En outre, chaque réseau VPC pair peut envoyer et recevoir du trafic à partir de toutes les VM de l'autre réseau, sauf si des règles de pare-feu l'en empêchent. En dehors de cette fonctionnalité, les réseaux appairés ne bénéficient pas d'une visibilité réciproque.

Q : Comment vérifier que le trafic est acheminé entre des réseaux VPC appairés ?

Vous pouvez utiliser les journaux de flux VPC pour afficher les flux de réseau envoyés et reçus par les instances de VM. Vous pouvez également utiliser la journalisation des règles de pare-feu pour vérifier la transmission du trafic entre les réseaux. Créez des règles de pare-feu VPC qui autorisent (ou refusent) le trafic entre les réseaux appairés, et activez la journalisation des règles de pare-feu pour ces règles. Vous pouvez ensuite afficher les règles de pare-feu qui ont été appelées à l'aide de Cloud Logging.

Q : Comment puis-je déterminer si d'autres réseaux VPC demandent à se connecter à mon réseau VPC à l'aide de l'appairage de réseaux VPC ?

Vous ne pouvez pas répertorier les demandes d'appairage pour votre réseau VPC. Vous ne pouvez voir que les configurations d'appairage que vous avez créées.

L'appairage de réseaux VPC nécessite qu'une configuration d'appairage soit créée des deux côtés avant de pouvoir établir une connexion. Même si un administrateur réseau d'un autre réseau VPC crée une configuration d'appairage avec votre réseau, aucune connexion d'appairage ne sera créée, sauf si vous créez une configuration d'appairage avec cet autre réseau.

Q : Comment mettre les routes d'un réseau appairé à disposition d'un réseau sur site connecté à mon réseau VPC à l'aide de Cloud VPN ou de Cloud Interconnect ?

L'appairage de réseaux VPC ne prend pas en charge le routage transitif. En d'autres termes, les routes importées depuis d'autres réseaux ne sont pas automatiquement annoncées par les routeurs Cloud de votre réseau VPC. Toutefois, vous pouvez utiliser des annonces de plages d'adresses IP personnalisées provenant de routeurs Cloud de votre réseau VPC pour partager des routes vers des destinations du réseau appairé.

Pour les tunnels VPN classiques utilisant un routage statique, vous devez configurer des routes statiques vers les plages de destination du réseau appairé sur votre réseau sur site. Notez que certains cas d'utilisation de tunnels VPN classiques sont obsolètes.

Q : Pourquoi les routes personnalisées ne sont-elles pas échangées entre des réseaux appairés ?

Commencez par répertorier les routes à partir de vos connexions d'appairage. Si vous ne voyez pas les routes vers les destinations attendues, vérifiez les points suivants :

• Répertoriez les connexions d'appairage. Recherchez le réseau avec les plages de destination souhaitées et assurez-vous que son état d'appairage est ACTIVE. Si la connexion d'appairage est INACTIVE, la configuration d'appairage de votre réseau n'existe pas dans l'autre réseau. Si vous ne gérez pas l'autre réseau, vous devez contacter un administrateur réseau qui s'en occupe.

• Mettez à jour la configuration d'appairage sur votre réseau afin qu'elle soit configurée pour importer des routes personnalisées à partir de l'autre réseau. Assurez-vous que l'autre réseau a été configuré pour exporter ses routes personnalisées.

Q : Pourquoi le trafic destiné à un réseau appairé est-il supprimé ?

Commencez par répertorier les connexions d'appairage pour vous assurer que votre réseau est toujours connecté à l'autre. Si l'état d'appairage est INACTIVE, aucune configuration d'appairage pour votre réseau n'existe dans l'autre réseau. Si vous ne gérez pas l'autre réseau, vous devez contacter un administrateur réseau qui s'en occupe.

Ensuite, répertoriez les routes provenant de connexions d'appairage. Vous ne pouvez importer que le nombre de routes autorisé par les limites relatives à l'appairage de réseaux VPC.

Q : Pourquoi le trafic est-il envoyé vers un saut suivant inattendu ?

Examinez l'ordre de routage pour voir si une autre route a été choisie à la place de celle attendue.

Q : Pourquoi mon réseau VPC n'est-il pas compatible avec un réseau VPC particulier ?

Si vous ne pouvez pas créer de configuration d'appairage avec certains réseaux VPC, il est possible qu'une règle d'administration contraigne les réseaux VPC avec lesquels votre réseau peut être appairé. Dans la règle d'administration, ajoutez le réseau à la liste des pairs autorisés ou contactez l'administrateur de votre organisation. Pour plus d'informations, reportez-vous à la documentation sur la contrainte constraints/compute.restrictVpcPeering.

Q : Mon réseau VPC est appairé à un autre réseau VPC. J'ai remplacé la valeur de stack_type pour mon appairage par IPV4_IPV6. Malgré cela, je ne vois pas l'échange de routes de sous-réseau IPv6 sur l'appairage.

Assurez-vous que la valeur de stack_type pour la connexion d'appairage correspondante est également définie sur IPV4_IPV6. Pour les deux côtés d'une connexion d'appairage, stack_type doit être défini sur IPV4_IPV6 pour que les routes IPv6 et le trafic puissent être échangés.

Q : Mon réseau VPC est appairé à un autre réseau VPC. J'ai remplacé la valeur de stack_type pour mon appairage par IPV4_IPV6. Malgré cela, les routes IPv6 dynamiques ne sont pas exportées.

Pour exporter des routes IPv6 dynamiques et statiques, vous devez activer les options –export-custom-route et –import-custom-route sur les connexions d'appairage correspondantes.

Q : J'ai activé l'importation et l'exportation de routes personnalisées. Malgré cela, les routes IPv6 statiques et dynamiques ne sont pas échangées.

Assurez-vous que stack_type est défini sur IPV4_IPV6 pour les deux appairages.

Q : Mon opération de mise à jour de l'appairage pour faire passer stack_type à IPV4_IPV6 échoue en raison des limites de quota.

Si IPv6 est activé sur l'appairage, le nombre de routes importées par l'un des réseaux peut entraîner le dépassement du quota par groupe d'appairage pour ce réseau. Envoyez une demande pour augmenter ce quota par groupe d'appairage ou supprimez certaines routes de l'un des réseaux afin de respecter le quota. Pour en savoir plus sur les limites, consultez la section Limites relatives à l'appairage de réseaux VPC.

Q : Certaines routes dynamiques sont importées, mais toutes ne s'affichent pas.

Réfléchissez aux éléments suivants :

• Il est possible que vous ne voyiez pas le même nombre de routes pour chaque région. Si plusieurs routes avec les mêmes plages d'adresses IP sont échangées entre les régions, seules les routes ayant la priorité la plus élevée sont importées. Si ces routes sont échangées dans la même région, toutes les routes sont importées.

• Lorsqu'un réseau atteint la limite par groupe d'appairage de routes dynamiques, aucune autre route n'est importée. Toutefois, il n'est pas possible de déterminer quelles routes sont omises.

Q : Les options –import-subnet-routes-with-public-ip et –export-subnet-routes-with-public-ip affectent-elles l'échange de routes de sous-réseau IPv6 ?

Non. Ces options ne concernent que l'échange de routes de sous-réseau IPv4.

Étapes suivantes

• Pour plus d'informations sur le routage VPC, consultez la page Routes.
• Pour les limites liées à l'appairage de réseaux VPC, consultez la page Limites de l'appairage de réseaux VPC.
• Pour plus d'informations sur l'utilisation d'un équilibreur de charge réseau interne à stratégie directe comme saut suivant pour une route statique personnalisée, consultez la page Utiliser un équilibreur de charge réseau interne à stratégie directe comme saut suivant.