Utilizzo del peering di rete VPC

Il peering di rete VPC di Google Cloud consente la connettività di indirizzi IP interni su due reti Virtual Private Cloud (VPC) indipendentemente dal fatto che appartengano allo stesso progetto o alla stessa organizzazione.

Per maggiori dettagli sul peering di rete VPC, consulta la Panoramica.

Creazione di una configurazione di peering

Prima di iniziare, devi avere il nome della rete VPC con cui eseguirai il peering. Se la rete si trova in un altro progetto, devi avere anche l'ID progetto.

Una configurazione di peering stabilisce l'intent per la connessione a un'altra rete VPC. La tua rete e l'altra rete non sono collegate finché ciascuna non ha una configurazione di peering per l'altra. Quando l'altra rete ha una configurazione corrispondente in peering con la rete, lo stato di peering passa a ACTIVE in entrambe le reti e saranno collegate. Se nell'altra rete non è presente una configurazione di peering corrispondente, lo stato di peering rimane INACTIVE, a indicare che la tua rete non è collegata all'altra rete.

Dopo la connessione, le due reti scambiano sempre route subnet. Se vuoi, puoi importare route personalizzate sia statiche che dinamiche da una rete in peering se è stata configurata per esportarle. Per ulteriori informazioni, consulta la pagina Importare ed esportare i percorsi personalizzati.

Il peering di rete VPC supporta solo la connettività IPv4. Puoi configurare il peering di rete VPC su una rete VPC contenente subnet a doppio stack. Tuttavia, non esiste una connettività IPv6 tra le reti.

console

  1. In Google Cloud Console, vai alla pagina Peering di rete VPC .
    Vai al peering di rete VPC
  2. Fai clic su Crea connessione.
  3. Fai clic su Continua.
  4. Inserisci un nome per la connessione in peering.
  5. In La tua rete VPC, seleziona una rete a cui vuoi assegnare una connessione in peering.
  6. Seleziona la rete con cui stabilire una connessione peer.

    • Se la rete con cui vuoi stabilire il peering si trova nello stesso progetto, seleziona Nel progetto [NAME-OF-YOUR-PROJECT], quindi la rete con cui stabilire il peering.
    • Se la rete con cui vuoi connetterti in peering si trova in un progetto diverso, seleziona In un altro progetto. Specifica l'ID progetto che include la rete con cui vuoi eseguire il peering e il nome della rete VPC.
  7. Per importare o esportare route personalizzate, scegli una delle seguenti opzioni o entrambe:

    • Importa route personalizzate per importare le route personalizzate esportate dall'altra rete
    • Esporta route personalizzate per esportare le route personalizzate nell'altra rete. L'altra rete deve importare le route per visualizzarle.
  8. Se la tua rete o la rete in peering utilizza intervalli IP pubblici utilizzati privatamente nelle sue subnet, queste route vengono esportate per impostazione predefinita, ma non importate per impostazione predefinita. Per importare le route delle subnet IP pubbliche utilizzate privatamente, seleziona:

    • Importa route di subnet con IP pubblico per importare le route di subnet IP pubbliche utilizzate privatamente esportate dall'altra rete
  9. Fai clic su Crea.

gcloud

Crea una connessione in peering di rete VPC.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project PEER_PROJECT_ID \
    --peer-network PEER_NETWORK_NAME \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

Aggiorna quanto segue:

  • PEERING_NAME: nome da assegnare alla connessione in peering
  • NETWORK: il nome della rete nel progetto che vuoi usare per il peering
  • PEER_PROJECT_ID: l'ID del progetto contenente la rete con cui desideri stabilire un peer
  • PEER_NETWORK_NAME: il nome della rete con cui vuoi stabilire il peering
  • --import-custom-routes indica alla rete di accettare route personalizzate dalla rete in peering. La rete in peering deve prima esportare le route.
  • --export-custom-routes indica alla rete di esportare route personalizzate nella rete in peering. Per importare le route, è necessario che la rete in peering sia impostata.
  • --import-subnet-routes-with-public-ip indica alla rete di accettare route della subnet dalla rete in peering se la rete utilizza indirizzi IP pubblici utilizzati privatamente nelle sue subnet. La rete in peering deve prima esportare le route.
  • --export-subnet-routes-with-public-ip indica alla rete di esportare route della subnet che contengono indirizzi IP pubblici utilizzati privatamente. Per importare le route, è necessario che la rete in peering sia impostata.

Terraform

Puoi utilizzare un modulo Terraform per creare una configurazione di peering.

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 3.2.1"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Per le due reti VPC in peering, ogni link automatico include un ID progetto e il nome della rete VPC. Per ottenere il link personale per una rete VPC, puoi utilizzare il comando gcloud compute networks describe o il metodo networks.get in ogni progetto della rete VPC.

Quando crei un peering da local_network a peer_network, la relazione di peering è bidirezionale. Il peering da peer_network a local_network viene creato automaticamente.

Aggiornamento di una connessione in peering

Aggiorna una connessione peering di rete VPC esistente per modificare l'esportazione o l'importazione di route personalizzate da parte della rete VPC o per le route di subnet IP pubbliche utilizzate privatamente da o verso la rete VPC peer.

La tua rete importa le route solo se la rete peer le esporta anche e la rete riceve solo se le importa.

console

  1. In Google Cloud Console, vai alla pagina Peering di rete VPC.
    Vai al peering di rete VPC
  2. Seleziona la connessione in peering da aggiornare.
  3. Fai clic su Modifica.
  4. Per importare o esportare route personalizzate, scegli una delle seguenti opzioni o entrambe:
    • Importa route personalizzate per importare le route personalizzate esportate dall'altra rete
    • Esporta route personalizzate per esportare le route personalizzate nell'altra rete. L'altra rete deve importare le route per visualizzarle.
  5. Se la tua rete o la rete in peering utilizza intervalli IP pubblici utilizzati privatamente nelle sue subnet, queste route vengono esportate per impostazione predefinita, ma non importate per impostazione predefinita. Per importare le route di subnet IP pubbliche utilizzate privatamente, seleziona:
    • Importa route di subnet con IP pubblico per importare le route di subnet IP pubbliche utilizzate privatamente esportate dall'altra rete
    • Fai clic su Salva.

gcloud

Aggiorna la connessione in peering per modificare le impostazioni di importazione o esportazione per le route personalizzate.

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Aggiorna quanto segue:

  • PEERING_NAME: nome della connessione di peering esistente
  • NETWORK: nome della rete nel progetto creato in peering
  • --import-custom-routes indica alla rete di accettare route personalizzate dalla rete in peering. La rete in peering deve prima esportare le route.
  • --export-custom-routes indica alla rete di esportare route personalizzate nella rete in peering. Per importare le route, è necessario che la rete in peering sia impostata.
  • --import-subnet-routes-with-public-ip indica alla rete di accettare route della subnet dalla rete in peering se la rete utilizza indirizzi IP pubblici utilizzati privatamente nelle sue subnet. La rete in peering deve prima esportare le route.
  • --export-subnet-routes-with-public-ip indica alla rete di esportare route della subnet che contengono indirizzi IP pubblici utilizzati privatamente. Per importare le route, è necessario che la rete in peering sia impostata.

Elenco delle connessioni di peering

Elenca le connessioni di peering esistenti per visualizzare il loro stato e se importano o esportano route personalizzate.

console

  1. In Google Cloud Console, vai alla pagina Peering di rete VPC.
    Vai al peering di rete VPC
  2. Seleziona la connessione in peering per visualizzarne i dettagli.

gcloud

gcloud compute networks peerings list

Elenco delle route dalle connessioni di peering

Elenca le route da cui la tua rete VPC sta importando o esportando in una rete VPC in peering. Per le route esportate, puoi controllare se una rete peer accetta o rifiuta le tue route personalizzate. Per le route importate, puoi controllare se la tua rete accetta o rifiuta le route personalizzate da una rete peer.

console

  1. In Google Cloud Console, vai alla pagina Peering di rete VPC.
    Vai al peering di rete VPC
  2. Seleziona la connessione in peering per visualizzarne i dettagli.
  3. Visualizzare le route personalizzate che la tua rete sta importando o esportando. Utilizza il selettore di area geografica per visualizzare le route dinamiche in una determinata area geografica. Le route statiche e di subnet sono globali e vengono mostrate per tutte le aree geografiche.

    • Per visualizzare le route personalizzate importate, seleziona la scheda Route importate.
    • Per visualizzare le route personalizzate esportate, seleziona la scheda Route esportate.

gcloud

gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK
    --region=REGION \
    --direction=DIRECTION

Aggiorna quanto segue:

  • PEERING_NAME: nome di una connessione in peering esistente
  • NETWORK: nome della rete nel progetto creato in peering
  • REGION: area geografica in cui vuoi elencare tutti i percorsi dinamici. Le route statiche e di subnet sono globali e vengono mostrate per tutte le aree geografiche.
  • DIRECTION: specifica se elencare le route importate (incoming) o esportate (outgoing)

Eliminazione di una connessione in peering di rete VPC

Tu o un amministratore di rete per la rete VPC peer potete eliminare una configurazione di peering. Quando viene eliminata una configurazione di peering, la connessione di peering passa a INACTIVE nell'altra rete e tutti i percorsi condivisi tra le reti vengono rimossi.

console

  1. Vai alla pagina Peering di rete VPC in Google Cloud Console.
    Vai al peering di rete VPC
  2. Seleziona la casella di controllo accanto al peering da rimuovere.
  3. Fai clic su Elimina.

gcloud

gcloud compute networks peerings delete PEERING_NAME \
    --network NETWORK

Aggiorna quanto segue:

  • PEERING_NAME: nome della connessione in peering da eliminare
  • NETWORK: nome della rete nel progetto creato in peering

Esempio di configurazione del peering di rete VPC

Prendi in considerazione un'organizzazione organization-a che richiede il peering di rete VPC per essere stabilito tra network-a in project-a e network-b in project-b. Per stabilire correttamente il peering di rete VPC, gli amministratori di network-a e network-b devono configurare separatamente l'associazione di peering.

Passaggio 1: usa peer-network con network-b

Un utente con le autorizzazioni IAM appropriate in project-a configura network-a per il peering con network-b. Ad esempio, gli utenti con il ruolo roles/editor o roles/compute.networkAdmin possono configurare il peering.

Peering da rete-a a rete-b
Peering da network-a a network-b (fai clic per ingrandire)

Prima di iniziare, servono gli ID progetto e i nomi delle reti delle reti che vuoi sottoporre a peering.

console

  1. Vai alla pagina Peering di rete VPC in Google Cloud Console.
    Vai al peering di rete VPC
  2. Fai clic su Crea connessione.
  3. Fai clic su Continua.
  4. Inserisci un Nome di peer-ab per questo lato della connessione.
  5. In La tua rete VPC, seleziona la rete in cui vuoi eseguire il peering.
  6. Imposta i pulsanti di opzione Rete VPC in peering su In another project, a meno che tu non voglia eseguire il peering all'interno dello stesso progetto.
  7. Specifica l'ID progetto dell'altro progetto.
  8. Specifica il nome della rete VPC dell'altra rete.
  9. Seleziona Importa percorsi personalizzati ed Esporta percorsi personalizzati.
  10. Fai clic su Crea.

gcloud

gcloud compute networks peerings create peer-ab \
    --network network-a \
    --peer-project project-b \
    --peer-network network-b \
    --import-custom-routes \
    --export-custom-routes

A questo punto, lo stato di peering rimane INACTIVE perché non è presente una configurazione corrispondente in network-b in project-b.

Quando lo stato di peering diventa ACTIVE, il peering di rete VPC scambia automaticamente le route di subnet. Google Cloud scambia anche route personalizzate (route statiche e route dinamiche) importandole o esportandole tramite la connessione in peering. Entrambe le reti devono essere configurate per scambiare le route personalizzate prima di essere condivise. Per ulteriori informazioni, consulta la sezione Importare ed esportare percorsi personalizzati.

Per visualizzare lo stato di peering corrente, visualizza la connessione di peering:

console

  1. Vai alla pagina Peering di rete VPC in Google Cloud Console.
    Vai al peering di rete VPC
  2. Lo stato è "In attesa della connessione della rete peer".

gcloud

gcloud compute networks peerings list --network network-a
NAME      NETWORK   PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES   IMPORT_CUSTOM_ROUTES EXPORT_CUSTOM_ROUTES STATE    STATE_DETAILS
peer-ab   network-a project-b    network-b    True                 True                 True                 INACTIVE The peering network has not been configured.

Passaggio 2: connetti la rete b con la rete-a

Un NetworkAdmin o un utente con le autorizzazioni IAM appropriate in project-b deve configurare la configurazione corrispondente da network-b a network-a per fare in modo che il peering diventi ACTIVE su entrambe le estremità.

Peering da network-b a network-a (fai clic per ingrandire)
Peering da network-a a network-b (fai clic per ingrandire)

console

  1. Vai alla pagina Peering di rete VPC in Google Cloud Console.
    Vai al peering di rete VPC
  2. Fai clic su Crea connessione.
  3. Fai clic su Continua.
  4. Inserisci un Nome di peer-ba per questo lato della connessione.
  5. In La tua rete VPC, seleziona la rete in cui vuoi eseguire il peering.
  6. Imposta i pulsanti di opzione Rete VPC in peering su In another project, a meno che tu non voglia eseguire il peering all'interno dello stesso progetto.
  7. Specifica l'ID progetto dell'altro progetto.
  8. Specifica il nome della rete VPC dell'altra rete.
  9. Seleziona Importa percorsi personalizzati ed Esporta percorsi personalizzati.
  10. Fai clic su Crea.

gcloud

gcloud compute networks peerings create peer-ba \
     --network network-b \
     --peer-project project-a \
     --peer-network network-a \
     --import-custom-routes \
     --export-custom-routes

Passaggio 3: il peering di rete VPC diventa ACTIVE

Non appena il peering passa a uno stato ACTIVE, vengono scambiate le route di subnet e quelle personalizzate. Sono configurati i seguenti flussi di traffico:

  • Tra le istanze VM nelle reti in peering: connettività completa mesh.
  • Da istanze VM in una rete a endpoint di bilanciamento del carico TCP/UDP interno nella rete in peering
Peering ATTIVO (fai clic per ingrandire)
Peering ATTIVO (fai clic per ingrandire)

console

  1. Vai alla pagina Peering di rete VPC in Google Cloud Console.
    Vai al peering di rete VPC
  2. Lo stato indica "Connesso".
  3. Vai alla pagina Peering di rete VPC nell'altro progetto per verificare che sia indicato anche " &Connettit".

gcloud

gcloud compute networks peerings list --network network-a
NAME      NETWORK   PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES   IMPORT_CUSTOM_ROUTES EXPORT_CUSTOM_ROUTES STATE    STATE_DETAILS
peer-ab  network-a   project-b    network-b   True                 True                 True                 ACTIVE   The peering became ACTIVE at 2016-06-08T15:10:14.111-07:00.
gcloud compute networks peerings list --network network-b
NAME      NETWORK   PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES   IMPORT_CUSTOM_ROUTES EXPORT_CUSTOM_ROUTES STATE    STATE_DETAILS
peer-ba  network-b   project-a    network-a   True                 True                 True                 ACTIVE   The peering became ACTIVE at 2016-06-08T15:10:14.111-07:00.

Le route ai prefissi CIDR della rete in peering sono ora visibili tra i peer di rete VPC. Queste route sono implicite, generate per le connessioni in peering attive. Non hanno risorse di route corrispondenti. La procedura seguente mostra le route per tutte le reti VPC per project-a.

console

  1. Vai alla pagina Route in Google Cloud Console.
    Vai a Route

gcloud

gcloud compute routes list --project project-a
NAME                              NETWORK    DEST_RANGE     NEXT_HOP                  PRIORITY
default-route-2a865a00fa31d5df    network-a  0.0.0.0/0      default-internet-gateway  1000
default-route-8af4732e693eae27    network-a  10.0.0.0/16                              1000
peering-route-4732ee69e3ecab41    network-a  10.8.0.0/16    peer-ab                   1000
peering-static-route              network-a  10.138.0.0/20  peer-ab                   1000

Creazione di più connessioni in peering

Considera lo scenario in cui le istanze VM in network-a devono accedere ai servizi di due diverse organizzazioni esterne: SaaS1 e SaaS2. Per accedere a entrambi gli indirizzi utilizzando solo indirizzi IP interni, sono necessarie due connessioni in peering:

  • network-a peer con network-b, che è in SaaS1
  • network-a peer con network-c, che è in SaaS2

Con il peering di rete VPC non è importante che network-b e network-c si trovino in progetti e organizzazioni diversi.

Peering tra organizzazioni (fai clic per ingrandire)
Peering tra organizzazioni (fai clic per ingrandire)

Per creare questa configurazione, è sufficiente creare due diverse sessioni di peering.

Limitazioni

Nessuna sovrapposizione intervalli IP di subnet su reti VPC in peering

Nessun intervallo IP di subnet può sovrapporsi a un altro intervallo IP della subnet in una rete VPC in peering.

Controlli eseguiti nella configurazione del peering di rete VPC

Al momento del peering, Google Cloud verifica se esistono subnet con intervalli IP sovrapposti tra le due reti VPC o una qualsiasi delle loro reti in peering. Se c'è una sovrapposizione, il peering non viene stabilito. Poiché viene creata una connettività mesh completa tra le istanze VM, le subnet delle reti VPC in peering non possono avere intervalli IP sovrapposti, perché questo causa problemi di routing.

Intervalli IP subnet sovrapposti tra due peer (fai clic per ingrandire)
Intervalli IP di subnet sovrapposti tra due peer (fai clic per ingrandire)

L'eventuale presenza di subnet con intervalli IP sovrapposti tra peer di una determinata rete VPC potrebbe causare un conflitto di routing. Ad esempio, supponiamo che la rete N1 abbia già eseguito il peering con la rete N2 e che la rete N3 provi a eseguire il peering con N2. Questo è un peering non valido perché N3 ha una subnet Subnet_5 il cui intervallo IP si sovrappone a Subnet_1 nella rete N1.

Intervalli IP di subnet sovrapposti con tre peer (fai clic per ingrandire)
Intervalli IP di subnet sovrapposti con tre peer (fai clic per ingrandire)

Controlli eseguiti alla creazione della subnet in scenari di peering di rete VPC

Quando viene creata una subnet o viene espanso un intervallo IP di subnet, Google Cloud esegue un controllo per assicurarsi che il nuovo intervallo di subnet non si sovrapponga a intervalli IP di subnet nella stessa rete VPC o in reti VPC in peering diretto. In caso contrario, l'azione di creazione o espansione non riesce. Ad esempio, quando viene creata una nuova subnet_3 nella rete N2 nella figura seguente, gli intervalli IP non devono sovrapporsi agli intervalli IP definiti nella rete N1 direttamente in peering.

Controllo creazione subnet (fai clic per ingrandire)
Controllo creazione subnet (fai clic per ingrandire)

Google Cloud garantisce inoltre che non siano consentiti intervalli IP di subnet che si sovrappongono sulle reti VPC con una rete in peering. In caso affermativo, l'azione di creazione o espansione non andrà a buon fine. Ad esempio, quando nella nuova figura viene creata una nuova subnet subnet 5 nella figura N3, gli intervalli IP non devono sovrapporsi agli intervalli IP definiti nella rete N2 direttamente in peering, o con la rete N1, poiché N1 è già in peering con N2.

Controllo creazione subnet con tre peer (fai clic per ingrandire)
Controllo della creazione di subnet con tre peer (fai clic per ingrandire)

Le reti legacy non sono supportate nel peering di rete VPC

Le reti legacy sono reti che non hanno subnet. Le reti legacy non possono essere in peering con altre reti e non sono supportate nel peering di rete VPC.

Nessun DNS di Compute Engine tra i progetti

I nomi DNS interni di Compute Engine creati in una rete non sono accessibili alle reti in peering. L'indirizzo IP della VM deve essere utilizzato per raggiungere le istanze VM nella rete in peering.

I tag e gli account di servizio non sono utilizzabili su reti in peering

Non puoi fare riferimento a un tag o account di servizio relativo a una VM da una rete in peering in una regola firewall nell'altra rete in peering. Ad esempio, se una regola in entrata in una rete in peering filtra l'origine in base a un tag, consentirà l'applicazione solo al traffico VM proveniente da tale rete, non ai relativi peer, anche se una VM in una rete in peering ha quel tag. La situazione è simile per gli account di servizio.

GKE con peering di rete VPC

Il peering di rete VPC con GKE è supportato se utilizzato con alias IP o con le route personalizzate. I servizi Kubernetes, se esposti utilizzando il bilanciamento del carico TCP/UDP interno e gli IP dei pod, sono raggiungibili nelle reti VPC.

Cloud Load Balancing con peering di rete VPC

Cloud Load Balancing non supporta l'utilizzo di frontend e backend di bilanciatore del carico in diverse reti VPC, anche se sono in peering con il peering di rete VPC.

Il bilanciamento del carico TCP/UDP interno e il bilanciamento del carico HTTP(S) interno supportano il peering di rete VPC solo per l'accesso client dalla rete VPC in peering.

Limiti

Vedi Limiti di peering di rete VPC.

Risolvere i problemi

D: La mia connessione in peering è configurata, ma non posso raggiungere VM peer o bilanciatori del carico interni.

Una volta che la connessione in peering è ATTIVA, potrebbe essere necessario fino a un minuto per la configurazione di tutti i flussi di traffico tra le reti in peering. Il tempo dipende dalle dimensioni delle reti in peering. Se di recente hai configurato la connessione in peering, attendi fino a un minuto e riprova. Assicurati inoltre che non esistano regole firewall che bloccano l'accesso ai CIDR delle subnet di rete VPC della peer.

D: Quando cerco di configurare la connessione in peering, ricevo un errore che indica che è in corso un'altra operazione di peering.

Per evitare conflitti con aggiornamenti di routing e simili, Google Cloud consente una sola attività correlata di peering alla volta su reti in peering. Ad esempio, se configuri il peering con una rete e provi immediatamente a configurarne un'altra, tutte le attività del primo peering potrebbero non essere state completate. Il completamento di tutte le attività potrebbe richiedere fino a un minuto. In alternativa, il peer di rete esistente potrebbe aggiungere un bilanciatore del carico interno o VM, entrambi fattori che influiscono su ciò che è raggiungibile tra le reti. Nella maggior parte dei casi, devi attendere un paio di minuti e riprovare l'operazione di peering.

D: Quando cerco di eliminare una rete VPC con peering ACTIVE, ricevo un errore.

Prima di poter eliminare una rete VPC, devi prima eliminare tutte le configurazioni di peering nella rete. Consulta la pagina relativa all'eliminazione di una connessione in peering di rete.

D: Puoi peering con reti VPC che hanno subnet con intervalli IP principali o secondari sovrapposti?

No. Puoi eseguire il peering solo delle reti VPC le cui subnet hanno intervalli IP di subnet principali e secondari univoci.

D: Come posso assicurarmi che le nuove subnet che creo nella mia rete VPC non abbiano intervalli IP di subnet in conflitto con subnet o route nelle reti peer?

Prima di creare nuove subnet, puoi elencare le route delle connessioni di peering. Assicurati di non utilizzare nessuna delle destinazioni come intervalli IP principali o secondari quando crei nuove subnet nella tua rete VPC.

D: ho una rete VPC in peering con un'altra rete VPC. Voglio creare una subnet nella mia rete. Come faccio a creare questa subnet in modo che non si sovrapponga alle subnet peer del mio peer?

Al momento non esiste un comando che ti aiuti a trovarlo. Chiedi all'amministratore della rete in peering di determinare quali route di subnet sono già presenti nella rete.

D: Ci sono problemi di sicurezza o di privacy relativi al peering di rete VPC?

Dopo aver configurato il peering, ogni rete VPC conosce gli intervalli di subnet dell'altra rete. Inoltre, ogni rete VPC peer è in grado di inviare e ricevere traffico da tutte le VM nell'altra rete a meno che non siano attive regole firewall per evitarla. A parte questo, le reti in peering non hanno visibilità l'una sull'altra.

D: Come faccio a verificare che il traffico passi tra le reti VPC in peering?

Puoi utilizzare i log di flusso VPC per visualizzare i flussi di rete inviati e ricevuti dalle istanze VM. Puoi anche utilizzare il logging regole di firewall per verificare che il traffico passi tra le reti. Creare regole firewall che consentano (o neghino) il traffico tra le reti in peering e attiva il logging delle regole firewall per tali regole. Potrai quindi vedere quali regole firewall sono state interessate utilizzando Cloud Logging.

D: Come faccio a determinare se ci sono richieste da altre reti VPC per la connessione alla mia rete VPC tramite il peering di rete VPC?

Non è possibile elencare alcuna richiesta di peering per la tua rete VPC. Puoi visualizzare solo le configurazioni di peering che hai creato.

Il peering di rete VPC richiede che sia la rete che un'altra rete creino una configurazione di peering prima di poter stabilire una connessione. Anche se un amministratore di rete di un'altra rete VPC crea una configurazione di peering alla tua rete, non viene creata alcuna connessione di peering a meno che non crei una configurazione di peering a quella rete.

D: Come faccio a rendere disponibili le route in una rete peer a una rete on-premise connessa alla mia rete VPC tramite Cloud VPN o Cloud Interconnect?

Il peering di rete VPC non supporta il routing transitorio, ovvero le route importate da altre reti non sono pubblicizzate automaticamente dai router Cloud nella tua rete VPC. Tuttavia, puoi utilizzare pubblicità basata su intervallo IP personalizzato dai router Cloud nella tua rete VPC per condividere route verso destinazioni nella rete peer.

Per i tunnel VPN classici che utilizzano il routing statico, devi configurare le route statiche agli intervalli di destinazione della rete peer nella tua rete on-premise. Tieni presente che alcuni casi d'uso dei tunnel VPN classici sono ritirati.

D: perché le route personalizzate non vengono scambiate tra reti in peering?

Innanzitutto, elenca le route dalle connessioni di peering. Se non vedi i percorsi verso le destinazioni che ti aspetti, verifica quanto segue:

  • Elenca le connessioni in peering. Trova la rete con gli intervalli di destinazione desiderati e assicurati che lo stato di peering sia ACTIVE. Se la connessione in peering è INACTIVE, una configurazione di peering per la tua rete non esiste nell'altra rete. Se non gestisci l'altra rete, dovrai coordinarti con un amministratore di rete che se ne occupa.

  • Aggiorna la configurazione di peering nella tua rete in modo che sia configurata per importare le route personalizzate dall'altra rete. Assicurati che l'altra rete sia stata configurata per esportare le relative route personalizzate.

D: perché il traffico è destinato a un calo delle reti peer?

Innanzitutto, elenca le connessioni in peering per assicurarti che la tua rete sia ancora connessa all'altra. Se lo stato di peering è INACTIVE, la configurazione di peering per la tua rete non esiste nell'altra rete. Se non gestisci l'altra rete, devi contattare un amministratore di rete che lo faccia.

Successivamente, elenca i percorsi dalle connessioni peer. Puoi importare solo tutte le route consentite dai limiti di peering di rete VPC.

D: perché il traffico viene inviato a un hop successivo imprevisto?

Controlla l'ordine di routing per verificare se è stato scelto un altro percorso.

D: Perché il mio peer di rete VPC con una determinata rete VPC non è in grado di farlo?

Se non riesci a creare una configurazione di peering con determinate reti VPC, un criterio dell'organizzazione potrebbe limitare le reti VPC con cui la rete può eseguire un peering. Nel criterio dell'organizzazione, aggiungi la rete all'elenco dei peer consentiti o contatta l'amministratore dell'organizzazione. Per ulteriori informazioni, consulta il vincolo constraints/compute.restrictVpcPeering.

Passaggi successivi