Utilizzo del peering di rete VPC

Il peering di rete VPC di Google Cloud consente la connettività con indirizzi IP interni tra due reti Virtual Private Cloud (VPC), a prescindere dal fatto che appartengano allo stesso progetto o alla stessa organizzazione. Il peering supporta la connettività tra reti con subnet a doppio stack.

Per ulteriori informazioni, consulta Peering di rete VPC.

Crea una configurazione di peering

Prima di iniziare, devi avere il nome della rete VPC con cui eseguire il peering. Se la rete si trova in un altro progetto, devi disporre anche dell'ID di quel progetto.

Una configurazione di peering stabilisce l'intent per la connessione a un'altra rete VPC. La tua rete e l'altra rete non sono connesse finché ciascuna non ha una configurazione di peering per l'altra. Quando l'altra rete dispone di una configurazione corrispondente per il peering con la tua rete, lo stato di peering cambia in ACTIVE in entrambe le reti e le reti sono connesse. Se non esiste una configurazione di peering corrispondente nell'altra rete, lo stato di peering rimane INACTIVE, a indicare che la rete non è connessa all'altra.

Una volta connesse, le due reti si scambiano sempre route delle subnet. Facoltativamente, puoi importare route personalizzate IPv4 statiche e dinamiche e route personalizzate IPv6 dinamiche da una rete in peering se è stata configurata per esportarle. Per maggiori informazioni, consulta Importazione ed esportazione di route personalizzate.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 9.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Aggiorna una connessione in peering

Quando aggiorni una connessione di peering di rete VPC esistente, puoi:

• Modifica se la rete VPC esporta o importa route personalizzate o route di subnet IPv4 pubbliche utilizzate privatamente da o verso la rete VPC peer.
• Aggiorna una connessione in peering esistente per abilitare o disabilitare lo scambio di route IPv6 tra le reti di peering.

La rete importa le route solo se anche la rete peer esporta le route e la rete peer riceve le route solo se le importa.

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Elenca connessioni in peering

Elenca le connessioni in peering esistenti per visualizzarne lo stato e se stanno importando o esportando route personalizzate.

gcloud compute networks peerings list

Elenca route da connessioni in peering

Puoi elencare le route dinamiche da cui la rete VPC importa o esporta in una rete VPC in peering. Per le route esportate, puoi verificare se una rete peer accetta o rifiuta le tue route personalizzate. Per le route importate, puoi verificare se la tua rete accetta o rifiuta route personalizzate da una rete peer.

Potresti non vedere lo stesso numero di route per ogni regione. Per scoprire di più, consulta la sezione Risoluzione dei problemi.

gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Elimina una connessione di peering di rete VPC

Tu o un amministratore di rete della rete VPC peer potete eliminare una configurazione di peering. Quando una configurazione di peering è stata eliminata, la connessione di peering passa a INACTIVE nell'altra rete e tutte le route condivise tra le reti vengono rimosse.

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Esempio di configurazione del peering di rete VPC

Considera un'organizzazione organization-a che necessita di stabilire il peering di rete VPC tra network-a in project-a e network-b in project-b. Affinché il peering di rete VPC venga stabilito correttamente, gli amministratori di network-a e network-b devono configurare separatamente l'associazione di peering.

Passaggio 1: peer-a con network-b

Un utente con le autorizzazioni IAM appropriate in project-a configura network-a to peer con network-b. Ad esempio, gli utenti con il ruolo roles/editor o roles/compute.networkAdmin possono configurare il peering.

Prima di iniziare, ti servono gli ID progetto e i nomi di rete delle reti da usare in peering.

gcloud compute networks peerings create peer-ab \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --import-custom-routes \
    --export-custom-routes

A questo punto, lo stato di peering rimane INACTIVE a causa dell'assenza di una configurazione corrispondente in network-b in project-b.

Quando lo stato di peering diventa ACTIVE, il peering di rete VPC scambia automaticamente le route di subnet. Google Cloud scambia inoltre route personalizzate (route statiche e route dinamiche) importandole o esportandole tramite la connessione di peering. Entrambe le reti devono essere configurate per lo scambio di route personalizzate prima di essere condivise. Per maggiori informazioni, consulta Importazione ed esportazione di route personalizzate.

Per conoscere lo stato attuale del peering, visualizza la connessione in peering:

gcloud compute networks peerings list --network network-a

Passaggio 2: rete peer-b con network-a

Un NetworkAdmin o un utente con le autorizzazioni IAM appropriate in project-b deve configurare la configurazione corrispondente da network-b a network-a affinché il peering diventi ACTIVE su entrambe le estremità.

gcloud compute networks peerings create peer-ba \
     --network=network-b \
     --peer-project=project-a \
     --peer-network=network-a \
     --import-custom-routes \
     --export-custom-routes

Passaggio 3: il peering di rete VPC diventa ACTIVE

Non appena il peering passa allo stato ACTIVE, vengono scambiate route di subnet e route personalizzate. Sono configurati i seguenti flussi di traffico:

• Tra istanze VM nelle reti in peering: connettività mesh completa.
• Dalle istanze VM in una rete agli endpoint del bilanciatore del carico di rete passthrough interno nella rete in peering

gcloud compute networks peerings list --network network-a

Le route ai prefissi CIDR della rete in peering sono ora visibili nei peer di rete VPC. Queste sono route implicite generate per connessioni in peering attive. Non hanno risorse di route corrispondenti. La procedura seguente mostra le route per tutte le reti VPC per project-a.

gcloud compute routes list --project project-a

Creazione di più connessioni in peering

Considera lo scenario in cui le istanze VM in network-a devono accedere a servizi di due organizzazioni esterne diverse: SaaS1 e SaaS2. Per accedere a entrambi utilizzando solo indirizzi IP interni, sono necessarie due connessioni di peering:

• network-a peer con network-b, che è in SaaS1
• network-a peer con network-c, che è in SaaS2

Con il peering di rete VPC, non importa se network-b e network-c si trovano in progetti diversi e organizzazioni diverse.

Per creare questa configurazione, crea due diverse sessioni di peering.

Limitazioni

Nessuna sovrapposizione di intervalli IP di subnet nelle reti VPC in peering

Nessun intervallo IP di subnet può sovrapporsi a un altro intervallo IP di subnet in una rete VPC in peering. Al momento del peering, Google Cloud controlla se esistono subnet con intervalli IP sovrapposti. In caso affermativo, il peering non riesce. Nel caso di una rete in peering, se provi a creare una subnet VPC o a espandere un intervallo IP di subnet, Google Cloud esegue un controllo per garantire che i nuovi intervalli di subnet non si sovrappongano a quelli esistenti.

Per ulteriori informazioni sui controlli di sovrapposizione, consulta le seguenti risorse:

• Subnet sovrapposte al momento del peering
• Subnet sovrapposte durante la creazione o l'espansione delle subnet

Le reti legacy non sono supportate nel peering di rete VPC

Le reti legacy sono reti che non hanno subnet. Le reti legacy non possono essere connesse in peering con altre reti e non sono supportate nel peering di rete VPC.

Nessun DNS di Compute Engine nei progetti

I nomi DNS interni di Compute Engine creati in una rete non sono accessibili alle reti in peering. Devi usare l'indirizzo IP della VM per raggiungere le istanze VM nella rete in peering.

I tag e gli account di servizio non sono utilizzabili nelle reti in peering

Non puoi fare riferimento a un tag o a un account di servizio appartenente a una VM da una rete in peering in una regola firewall nell'altra rete in peering. Ad esempio, se una regola in entrata in una rete in peering filtra la propria origine in base a un tag, consentirà l'applicazione solo al traffico delle VM proveniente dall'interno di quella rete, non dai suoi peer, anche se una VM in una rete in peering dispone di quel tag. La situazione è simile per gli account di servizio.

GKE con peering di rete VPC

Il peering di rete VPC con GKE è supportato quando viene utilizzato con alias IP o route personalizzate. I servizi Kubernetes, se esposti tramite un bilanciatore del carico di rete passthrough interno, e gli IP dei pod sono raggiungibili attraverso le reti VPC.

Cloud Load Balancing con peering di rete VPC

Cloud Load Balancing non supporta la presenza di frontend e backend del bilanciatore del carico in reti VPC diverse, anche se sono in peering con il peering di rete VPC.

I bilanciatori del carico di rete passthrough interni e le Application Load Balancer interni supportano il peering di rete VPC solo per l'accesso client dalla rete VPC in peering.

Limiti

Vedi Limiti di peering di rete VPC.

Risoluzione dei problemi

D: la mia connessione in peering è configurata, ma non riesco a raggiungere le VM peer o i bilanciatori del carico interni.

Quando la connessione in peering è ATTIVA, potrebbe essere necessario fino a un minuto per la configurazione di tutti i flussi di traffico tra le reti in peering. Il tempo necessario dipende dalle dimensioni delle reti che eseguono il peering. Se hai configurato la connessione in peering di recente, attendi fino a un minuto e riprova. Assicurati inoltre che non siano presenti regole firewall che bloccano l'accesso ai CIDR delle subnet di rete VPC peer.

D: Quando provo a configurare la connessione in peering, viene visualizzato un errore che indica che è in corso un'altra operazione di peering.

Per evitare conflitti con gli aggiornamenti di routing e simili, Google Cloud consente una sola attività relativa al peering alla volta sulle reti in peering. Ad esempio, se configuri il peering con una rete e subito provi a configurarne un'altra, tutte le attività del primo peering potrebbero non essere state completate. Il completamento di tutte le attività potrebbe richiedere fino a un minuto. In alternativa, il peer di rete esistente potrebbe aggiungere un bilanciatore del carico interno o una VM, che influiscono su ciò che è raggiungibile tra le reti. Nella maggior parte dei casi, è necessario attendere un paio di minuti e riprovare l'operazione di peering.

D: Quando provo a eliminare una rete VPC con peering ACTIVE, viene visualizzato un errore.

Prima di poter eliminare una rete VPC, devi eliminare tutte le configurazioni di peering nella rete. Consulta l'articolo sull'eliminazione di una connessione in peering di rete VPC.

D: Puoi eseguire la connessione in peering di reti VPC con subnet con intervalli IP primari o secondari sovrapposti?

No. Puoi solo reti VPC in peering le cui subnet hanno intervalli IP di subnet principali e secondari univoci.

D: Come posso assicurarmi che le nuove subnet che creo nella mia rete VPC non abbiano intervalli IP di subnet in conflitto con subnet o route nelle reti peer?

Prima di creare nuove subnet, puoi elencare le route dalle connessioni di peering. Assicurati di non utilizzare alcuna destinazione come intervallo IP primario o secondario quando crei nuove subnet nella rete VPC.

D: Ho una rete VPC in peering con un'altra rete VPC. Voglio creare una subnet nella mia rete. Come posso creare questa subnet in modo che non si sovrapponga a quelle peer del mio peer?

Al momento non esiste un comando che consenta di individuarlo. Chiedi all'amministratore della rete in peering di scoprire quali route di subnet sono già presenti in quella rete.

D: Ci sono problemi di sicurezza o privacy con il peering di rete VPC?

Dopo aver configurato il peering, ogni rete VPC conosce gli intervalli di subnet dell'altra rete. Inoltre, ogni rete VPC peer è in grado di inviare e ricevere traffico da tutte le VM nell'altra rete, a meno che non siano in vigore regole firewall per impedirlo. A parte questo, le reti in peering non hanno visibilità l'una sull'altra.

D: Come faccio a verificare che il traffico venga trasferito tra reti VPC in peering?

Puoi utilizzare i log di flusso VPC per visualizzare i flussi di rete inviati e ricevuti dalle istanze VM. Puoi anche utilizzare il logging delle regole firewall per verificare il passaggio del traffico tra le reti. Crea regole firewall VPC che consentono (o negano) il traffico tra le reti in peering e attiva il logging delle regole firewall per queste regole. Puoi quindi visualizzare le regole firewall che sono state interessate utilizzando Cloud Logging.

D: Come faccio a determinare se ci sono richieste da altre reti VPC per connettersi alla mia rete VPC utilizzando il peering di rete VPC?

Non puoi elencare alcuna richiesta di peering per la tua rete VPC. Puoi visualizzare solo le configurazioni di peering che hai creato.

Il peering di rete VPC richiede che sia la tua rete che un'altra rete creino una configurazione di peering l'uno all'altro prima che sia possibile stabilire una connessione. Anche se un amministratore di rete di un'altra rete VPC crea una configurazione di peering nella tua rete, non viene creata alcuna connessione di peering a meno che non crei una configurazione di peering per quella rete.

D: Come faccio a rendere disponibili le route in una rete peer a una rete on-premise connessa alla mia rete VPC tramite Cloud VPN o Cloud Interconnect?

Il peering di rete VPC non supporta il routing transitivo, ovvero le route importate da altre reti non vengono pubblicizzate automaticamente dai router Cloud nella tua rete VPC. Tuttavia, puoi utilizzare pubblicità con intervalli IP personalizzati dai router Cloud nella tua rete VPC per condividere le route verso le destinazioni nella rete peer.

Per i tunnel VPN classici che utilizzano il routing statico, devi configurare route statiche verso gli intervalli di destinazione della rete peer nella rete on-premise. Tieni presente che alcuni casi d'uso dei tunnel VPN classica sono deprecati.

D: Perché le route personalizzate non vengono scambiate tra reti in peering?

Innanzitutto, elenca le route dalle connessioni in peering. Se non vedi le route per le destinazioni previste, controlla quanto segue:

• Elenca connessioni in peering. Trova la rete con gli intervalli di destinazione desiderati e assicurati che il suo stato di peering sia ACTIVE. Se la connessione in peering è INACTIVE, non esiste una configurazione di peering per la tua rete nell'altra rete. Se non gestisci l'altra rete, dovrai coordinarti con un amministratore di rete che lo faccia.

• Aggiorna la configurazione del peering nella tua rete in modo che sia configurata per importare route personalizzate dall'altra rete. Assicurati che l'altra rete sia stata configurata per esportare le relative route personalizzate.

D: Perché il traffico destinato a una rete peer viene perso?

Innanzitutto, elenca le connessioni in peering per assicurarti che la tua rete sia ancora connessa all'altra. Se lo stato di peering è INACTIVE, una configurazione di peering per la tua rete non esiste nell'altra rete. Se non gestisci l'altra rete, devi contattare un amministratore di rete che lo faccia.

Quindi, elenca le route da connessioni peer. Puoi importare solo il numero di route consentito dai limiti di peering di rete VPC.

D: Perché il traffico viene inviato a un hop successivo imprevisto?

Controlla l'ordine di percorso per verificare se è stato scelto un altro percorso.

D: Perché il peer di rete VPC non è disponibile con una determinata rete VPC?

Se non riesci a creare una configurazione di peering con determinate reti VPC, un criterio dell'organizzazione potrebbe limitare le reti VPC con cui la tua rete può collegarsi in peering. Nel criterio dell'organizzazione, aggiungi la rete all'elenco dei peer consentiti o contatta l'amministratore dell'organizzazione. Per ulteriori informazioni, consulta il vincolo constraints/compute.restrictVpcPeering.

D: Ho una rete VPC in peering con un'altra rete VPC. Ho modificato il valore di stack_type per il peering impostandolo su IPV4_IPV6. Tuttavia, non vedo lo scambio di route di subnet IPv6 tramite peering.

Assicurati che anche il valore di stack_type per la connessione in peering corrispondente sia impostato su IPV4_IPV6. Entrambi i lati di una connessione in peering devono avere stack_type impostato su IPV4_IPV6 prima che sia possibile scambiare route e traffico IPv6.

D: Ho una rete VPC in peering con un'altra rete VPC. Ho modificato il valore di stack_type per il peering impostandolo su IPV4_IPV6. Tuttavia, le route IPv6 dinamiche non vengono esportate.

Per esportare route IPv6 dinamiche e statiche, devi abilitare i flag –export-custom-route e –import-custom-route sulle connessioni in peering corrispondenti.

D. Ho attivato l'importazione e l'esportazione di route personalizzate. Tuttavia, le route statiche e dinamiche IPv6 non vengono scambiate.

Assicurati che per entrambi i peering stack_type sia impostato su IPV4_IPV6.

D: La mia operazione di aggiornamento del peering per passare da stack_type a IPV4_IPV6 non è riuscita a causa di limiti di quota.

Se IPv6 è abilitato nel peering, il numero di route importate da una delle reti può comportare il superamento della quota per gruppo di peering per quella rete. Invia una richiesta per aumentare la quota per gruppo di peering o rimuovi alcune route da una delle reti per rimanere entro la quota. Per ulteriori informazioni sui limiti, consulta Limiti di peering di rete VPC.

D: Alcune route dinamiche vengono importate, ma non le visualizzo tutte.

Considera quanto segue:

• Potresti non vedere lo stesso numero di route per ogni regione. Se più route con gli stessi intervalli di indirizzi IP vengono scambiate tra regioni, vengono importate solo quelle con la priorità più alta. Se queste route vengono scambiate nella stessa regione, vengono importate.

• Quando una rete raggiunge il limite di route dinamiche per gruppo di peering, non vengono importate altre route. Tuttavia, non è possibile determinare quali route sono omesse.

D: I flag –import-subnet-routes-with-public-ip e –export-subnet-routes-with-public-ip influiscono sullo scambio delle route di subnet IPv6?

No. Questi flag interessano solo lo scambio di route di subnet IPv4.

Passaggi successivi

• Per maggiori informazioni sul routing VPC, consulta Route.
• Per i limiti relativi al peering di rete VPC, consulta Limiti di peering di rete VPC.
• Per informazioni su come utilizzare un bilanciatore del carico di rete passthrough interno come hop successivo per una route statica personalizzata, consulta Utilizzare un bilanciatore del carico di rete passthrough interno come hop successivo.