Usar o peering de rede VPC

O peering de rede VPC do Google Cloud permite conectividade de endereço IP interno em duas redes de nuvem privada virtual (VPC), pertencentes ou não ao mesmo projeto ou à mesma organização. O peering permite a conectividade entre redes com sub-redes de pilha dupla.

Para mais informações, consulte Peering de rede VPC.

Criar uma configuração de peering

Antes de começar, você precisa ter o nome da rede VPC com qual fará o peering. Se essa rede estiver localizada em outro projeto, você também precisará ter o respectivo ID do projeto.

Uma configuração de peering estabelece a intensão de se conectar a outra rede VPC. A sua e a outra rede só estarão conectadas depois que cada uma tiver uma configuração de peering para a outra. Quando a outra rede tiver uma configuração correspondente para fazer peering com a sua, o estado de peering será alterado para ACTIVE nas duas redes, que serão conectadas. Se não houver uma configuração de peering correspondente na outra rede, o estado de peering permanecerá INACTIVE, indicando que sua rede não está conectada à outra.

Uma vez conectadas, as duas redes sempre trocarão rotas de sub-rede. Uma alternativa é importar rotas personalizadas estáticas e dinâmicas IPv4 e rotas dinâmicas IPv6 dinâmicas de uma rede com peering se ela tiver sido configurada para exportá-las. Para mais informações, consulte Importar e exportar rotas personalizadas.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 9.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Atualizar conexão de peering

Ao atualizar uma conexão de peering de rede VPC, é possível fazer o seguinte:

• Defina se a rede VPC exporta ou importa rotas personalizadas ou rotas de sub-rede IPv4 públicas de uso privado para ou da rede VPC com peering.
• Atualize uma conexão de peering para ativar ou desativar a troca de rotas IPv6 entre as redes de peering.

Sua rede apenas importará rotas se a rede com peering também exportar, e a rede com peering apenas receberá rotas se importar.

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Listar conexões de peering

Liste as conexões de peering atuais para visualizar o status delas e verificar se estão importando ou exportando rotas personalizadas.

gcloud compute networks peerings list

Listar rotas de conexões de peering

Você pode listar as rotas dinâmicas que sua rede VPC está importando ou exportando para uma rede VPC com peering. Para rotas exportadas, é possível verificar se uma rede com peering está aceitando ou rejeitando suas rotas personalizadas. Para rotas importadas, é possível verificar se sua rede está aceitando ou rejeitando rotas personalizadas de uma rede com peering.

É possível que você não veja o mesmo número de rotas para cada região. Para mais informações, consulte Solução de problemas.

gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Excluir uma conexão de peering de rede VPC

Você ou um administrador de rede VPC com peering podem excluir uma configuração de peering. Quando uma configuração de peering é excluída, a conexão de peering alterna para INACTIVE na outra rede, e todas as rotas compartilhadas entre as redes são removidas.

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Exemplo de configuração de Peering de redes VPC

Considere uma organização organization-a que precisa que o peering de rede VPC seja estabelecido entre a network-a em project-a e entre a network-b em project-b. Para que o peering seja estabelecido com sucesso, é necessário que os administradores da network-a e da network-b configurem a associação de peering separadamente.

Etapa 1: fazer peering entre rede-a e rede-b

Um usuário com as devidas permissões de IAM em project-a configura a network-a para fazer peering com a network-b. Por exemplo, usuários com o papel roles/editor ou roles/compute.networkAdmin podem configurar o peering.

Antes de começar, são necessários os IDs dos projetos e os nomes das redes com que você quer fazer peering.

gcloud compute networks peerings create peer-ab \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --import-custom-routes \
    --export-custom-routes

Neste ponto, o estado de peering permanece INACTIVE devido à ausência de uma configuração correspondente em network-b no project-b.

Quando o estado de peering se torna ACTIVE, o Peering de redes VPC troca automaticamente as rotas de sub-rede. O Google Cloud também troca rotas personalizadas (rotas estáticas e rotas dinâmicas), importando-as ou exportando-as pela conexão de peering. É necessário configurar as duas redes para trocar rotas personalizadas antes de serem compartilhadas. Para ver mais informações, consulte Como importar e exportar rotas personalizadas.

Para ver o estado atual, visualize a conexão de peering:

gcloud compute networks peerings list --network network-a

Etapa 2: fazer o peering entre network-b e network-a

É necessário que um NetworkAdmin ou um usuário com as devidas permissões de IAM defina, em project-b, a configuração correspondente da network-b para a network-a para que o peering se torne ACTIVE em nas duas extremidades.

gcloud compute networks peerings create peer-ba \
     --network=network-b \
     --peer-project=project-a \
     --peer-network=network-a \
     --import-custom-routes \
     --export-custom-routes

Etapa 3: o peering de redes VPC se torna ACTIVE

Assim que o peering passa para o estado ACTIVE, as rotas de sub-rede e as rotas personalizadas são trocadas. Os seguintes fluxos de tráfego são configurados:

• entre instâncias de VM nas redes com peering: conectividade de malha total;
• De instâncias de VM em uma rede para endpoints de balanceador de carga de rede de passagem interna na rede com peering

gcloud compute networks peerings list --network network-a

As rotas para prefixos CIDR de rede com peering agora estão visíveis em todos os pares da rede VPC. Elas são rotas implícitas geradas para conexões de peering ativas e não dispõem de recursos de rota correspondentes. O procedimento a seguir mostra rotas para todas as redes VPC para project-a.

gcloud compute routes list --project project-a

Criar várias conexões de peering

Considere o cenário em que as instâncias de VM na network-a precisam acessar serviços de duas organizações externas diferentes: SaaS1 e SaaS2. Para acessá-los usando apenas endereços IP internos, é preciso ter duas conexões de peering:

• A network-a faz peering com a network-b, que está em SaaS1.
• A network-a faz peering com a network-c, que está em SaaS2.

Com o peering de rede VPC, não importa se a network-b e a network-c estão em projetos e organizações diferentes.

Para criar essa configuração, basta criar duas sessões de peering diferentes.

Restrições

Nenhuma sobreposição de intervalos de IP de sub-rede em redes VPC com peering

Nenhum intervalo de IP de sub-rede pode se sobrepor a outro em uma rede VPC com peering. No momento do peering, o Google Cloud verifica se existem sub-redes com intervalos de IP sobrepostos. Em caso afirmativo, o peering falhará. No caso de uma rede com peering, se você tentar criar uma sub-rede VPC ou expandir um intervalo de IP de sub-rede, o Google Cloud vai realizar uma verificação para garantir que os novos intervalos de sub-rede não se sobreponham aos atuais.

Para mais informações sobre verificações de sobreposição, consulte os seguintes artigos:

• Sub-redes sobrepostas no momento do peering
• Sub-redes sobrepostas ao criar ou expandir sub-redes

Redes legadas não são compatíveis no Peering de redes VPC

Redes legadas são redes que não dispõem de sub-redes. As redes legadas não podem fazer peering com outras redes e não são compatíveis com o Peering de redes VPC.

Sem DNS do Compute Engine entre projetos

Os nomes de DNS internos do Compute Engine criados em uma rede não podem ser acessados em redes com peering. O endereço IP da VM precisa ser usado para acessar as instâncias dela na rede.

Tags e contas de serviço não são utilizáveis em redes pares

Não é possível referenciar uma tag ou uma conta de serviço pertencente a uma VM de uma rede com peering em uma regra de firewall em outra rede com peering. Por exemplo, se uma regra de entrada em uma rede com peering filtrar a origem com base em uma tag, ela só permitirá a aplicação de tráfego de VM proveniente dessa rede, não dos pares dela, mesmo que uma VM de uma rede com peering tiver essa tag. Essa situação é semelhante para contas de serviço.

GKE com peering de rede VPC

O peering de rede VPC com GKE é compatível quando usado com aliases de IP ou rotas personalizadas. Os serviços do Kubernetes, se expostos usando um balanceador de carga de rede de passagem interno, e IPs de pod são acessíveis em redes VPC.

Cloud Load Balancing com peering de rede VPC

O Cloud Load Balancing não é compatível com front-ends e back-ends do balanceador de carga em diferentes redes VPC, mesmo que eles tenham peering com o peering de rede VPC.

Os balanceadores de carga de rede e de aplicativo internos são compatíveis com o peering de rede VPC somente para acesso do cliente a partir da rede VPC com peering.

Limites

Consulte Limites do Peering de redes VPC.

Solução de problemas

P: Minha conexão de peering está configurada, mas não consigo alcançar VMs com peering ou balanceadores de carga internos.

Depois que a conexão de peering se torna ACTIVE, pode demorar até um minuto para que todos os fluxos de tráfego sejam configurados entre as redes VPC com peering. Esse tempo varia de acordo com o tamanho das redes VPC que estão com peering. Se você configurou a conexão de peering recentemente, aguarde um minuto e tente novamente. Além disso, verifique se não há regras de firewall bloqueando o acesso entre os CIDRs de sub-rede da rede VPC com peering.

P: Quando eu tento configurar a conexão de peering, recebo um erro informando que outra operação de peering está em andamento.

Para evitar a contenção com atualizações de roteamento e similares, o Google Cloud permite apenas uma atividade relacionada a peering de cada vez nas redes com peering. Por exemplo, se você configurar o peering com uma rede e logo depois tentar configurar outro, as tarefas do primeiro peering provavelmente ainda não estarão concluídas. Pode demorar até um minuto para que isso ocorra. Pode ser que sua rede com peering atual esteja adicionando um balanceador de carga interno ou uma VM, e ambos afetam o que pode ser acessado entre as redes. Na maioria dos casos, é preciso aguardar um ou dois minutos e repetir a operação de peering.

P: Quando tento excluir uma rede VPC com peerings ACTIVE, recebo uma mensagem de erro.

Para poder excluir uma rede VPC, é necessário excluir primeiro todas as configurações de peering na rede. Consulte Como excluir uma conexão de peering de redes VPC.

P: É possível fazer peering de redes VPC que tenham sub-redes com intervalos de IP primários ou secundários sobrepostos?

Não, só é possível fazer peering de redes VPC que tenham sub-redes com intervalos de IP de sub-rede primários ou secundários exclusivos.

P: Como posso ter certeza de que as novas sub-redes que eu criar na minha rede VPC não terão intervalos de IP em conflito com sub-redes ou rotas em redes com peering?

Antes de criar novas sub-redes, liste as rotas a partir de conexões de peering. Não utilize nenhum dos destinos delas como intervalos de IP primários ou secundários ao criar novas sub-redes na sua rede VPC.

P: Tenho uma rede VPC que faz peering com outra rede VPC. Quero criar uma sub-rede. O que preciso fazer para que a nova sub-rede não sobreponha o peering das sub-redes com peering?

Não existe um comando que ajude você a descobrir isso no momento. Peça ao administrador da rede com peering que descubra quais rotas de sub-rede já estão nessa rede.

P: Existem questões de segurança ou privacidade com o uso do peering de redes VPC?

Depois que o peering é configurado, as redes VPC conhecem os intervalos de sub-rede uma da outra. Além disso, cada rede VPC com peering é capaz de enviar e receber o tráfego de todas as VMs da outra rede, a menos que haja regras de firewall para evitar isso. Outro aspecto a considerar é que as redes com peering não têm visibilidade entre si.

P: Como posso verificar se o tráfego está passando entre redes VPC com peering?

Use os registros de fluxo de VPC para ver os fluxos de rede enviados e recebidos por instâncias de VM. Também é possível usar a geração de registros de regras de firewall para verificar se o tráfego está passando entre as redes. Crie regras de firewall de VPC que permitam (ou neguem) o tráfego entre as redes com peering e ative a geração de registros de regras de firewall para essas regras. Em seguida, é possível ver quais regras de firewall foram atingidas usando o Cloud Logging.

P: Como posso identificar se há alguma solicitação de outras redes VPC para se conectarem à minha rede VPC usando peering?

Não é possível listar nenhuma solicitação de peering para sua rede VPC. Só é possível ver as configurações de peering que você criou.

O Peering de redes VPC exige que tanto sua rede como a outra criem uma configuração de peering entre si antes de estabelecer uma conexão. Mesmo que o administrador da outra rede VPC crie uma configuração de peering para sua rede, você precisará criar uma configuração de peering para a rede dele para que a conexão seja criada.

P: Como disponibilizo rotas em uma rede com peering para uma rede local conectada à minha rede VPC usando o Cloud VPN ou o Cloud Interconnect?

O peering de redes VPC não aceita roteamento transitivo. Ou seja, as rotas importadas de outras redes não são anunciadas automaticamente pelos roteadores do Cloud Router na sua rede VPC. No entanto, é possível usar divulgações de intervalo de IP personalizadas desses roteadores na sua rede VPC para compartilhar rotas para destinos na rede com peering.

Para túneis de VPN clássica que usam roteamento estático, configure rotas estáticas para os intervalos de destino da rede em peering na rede local. Observe que alguns casos de uso de túneis de VPN clássica estão obsoletos.

P: Por que as rotas personalizadas não são trocadas entre redes com peering?

Primeiro, liste as rotas nas suas conexões de peering. Se não forem exibidas rotas para os destinos esperados, faça o seguinte:

• Liste conexões de peering. Encontre a rede com os intervalos de destino desejados e certifique-se de que o estado de peering esteja ACTIVE. Se a conexão de peering estiver INACTIVE, não haverá na outra rede uma configuração de peering para sua rede. Se não for você quem gerencia a outra rede, precisará coordenar com um administrador responsável por ela.

• Atualize a configuração de peering na sua rede a fim de que ela seja configurada para importar rotas personalizadas da outra rede. Verifique se a outra rede foi configurada para exportar rotas personalizadas.

P: Por que o tráfego destinado a uma rede com peering está sendo descartado?

Primeiro, liste as conexões de peering para conferir se sua rede ainda está conectada à outra. Se o estado de peering estiver INACTIVE, não haverá na outra rede uma configuração de peering para sua rede. Se não for você quem gerencia a outra rede, precisará entrar em contato com um administrador responsável por ela.

Em seguida, liste as rotas de conexões de peering. Só é possível importar a quantidade de rotas permitida pelos limites do peering de redes VPC.

P: Por que o tráfego está sendo enviado para um próximo salto inesperado?

Analise a ordem de roteamento para ver se outra rota foi escolhida.

P: Por que minha rede VPC não faz peering com uma determinada rede VPC?

Se não for possível criar uma configuração de peering com determinadas redes VPC, uma política da organização pode estar restringindo as redes VPC com as quais sua rede pode fazer peering. Na política da organização, adicione a rede à lista de peerings permitidos ou entre em contato com o administrador da organização. Para ver mais informações, consulte a restrição constraints/compute.restrictVpcPeering.

P: Tenho uma rede VPC que faz peering com outra rede VPC. Mudei o valor de stack_type do meu peering para IPV4_IPV6. No entanto, não vejo a troca de rotas de sub-rede IPv6 no peering.

Verifique se o valor de stack_type para a conexão de peering correspondente também está definido como IPV4_IPV6. Os dois lados de uma conexão de peering precisam ter stack_type definido como IPV4_IPV6 antes que as rotas IPv6 e o tráfego possam ser trocados.

P: Tenho uma rede VPC que faz peering com outra rede VPC. Mudei o valor de stack_type do meu peering para IPV4_IPV6. No entanto, as rotas IPv6 dinâmicas não estão sendo exportadas.

Para exportar rotas IPv6 dinâmicas e estáticas, ative as sinalizações –export-custom-route e –import-custom-route nas conexões de peering correspondentes.

P: Ativei a importação e a exportação de rotas personalizadas. No entanto, as rotas dinâmicas e estáticas IPv6 não estão sendo trocadas.

Os dois peerings precisam ter stack_type definido como IPV4_IPV6.

P: Minha operação de atualização de peering para alternar stack_type para IPV4_IPV6 está falhando devido a limites de cota.

Se o IPv6 estiver ativado no peering, o número de rotas importadas por uma das redes poderá exceder a cota do grupo por peering. Envie uma solicitação para aumentar a cota por grupo de peering ou remover algumas rotas de uma das redes para permanecer dentro da cota. Para mais informações sobre limites, consulte Limites de peering de rede VPC.

P: Algumas rotas dinâmicas são importadas, mas não consigo ver todas.

Considere o seguinte:

• É possível que você não veja o mesmo número de rotas para cada região. Se várias rotas com os mesmos intervalos de endereços IP forem trocadas entre regiões, somente as rotas com a prioridade mais alta serão importadas. Se essas rotas forem trocadas na mesma região, todas as rotas serão importadas.

• Quando uma rede atinge o limite de rotas dinâmicas por grupo de peering, nenhuma outra rota é importada. No entanto, não é possível determinar quais rotas foram omitidas.

P: As sinalizações –import-subnet-routes-with-public-ip e –export-subnet-routes-with-public-ip afetam a troca de rotas de sub-rede IPv6?

Não. Essas sinalizações afetam apenas a troca de rotas de sub-rede IPv4.

A seguir

• Para mais informações sobre o roteamento de VPC, consulte Rotas.
• Para limites relacionados ao peering de redes VPC, consulte Limites de peering de redes VPC.
• Para informações sobre como usar um balanceador de carga de rede de passagem interna como o próximo salto de uma rota estática personalizada, consulte Usar um balanceador de carga de rede de passagem interna como um próximo salto.