Peering di rete VPC
Il peering di rete VPC di Google Cloud connette due Virtual Private Cloud (VPC) in modo che le risorse in ogni rete possano comunicare tra loro. Le reti VPC in peering possono trovarsi nello stesso progetto, progetti della stessa organizzazione o progetti diversi di diversi le tue organizzazioni.
Specifiche
Il peering di rete VPC consente di:
- Pubblicare Software as a Service (SaaS) le tue offerte tra le reti VPC.
- Il peering di rete VPC funziona con Compute Engine,
GKE e App Engine
in un ambiente flessibile.
- Il peering di rete VPC supporta Cluster GKE scambiando la subnet route.
- Il peering di rete VPC supporta i servizi GKE basati su route di cluster quando è configurato per scambiare messaggi statici route.
Connettività
- Il peering di rete VPC supporta la connessione VPC reti, non reti legacy.
- Il peering di rete VPC fornisce IPv4 e IPv6 interni
e la connettività tra coppie di reti VPC. Traffico in peering
(traffico tra reti in peering) ha lo stesso
latenza, velocità effettiva e disponibilità del traffico all'interno dello stesso
rete VPC.
- Il peering di rete VPC non fornisce il routing transitivo. Ad esempio:
se le reti VPC
net-a
enet-b
sono connesse tramite Peering di rete VPC, reti VPCnet-a
e Anchenet-c
sono connessi tramite peering di rete VPC, Il peering di rete VPC non fornisce connettività tranet-b
enet-c
. - Non puoi connettere due reti VPC in modalità automatica utilizzando
peering di rete VPC. Questo perché un VPC in peering
le reti scambiano sempre route di subnet che utilizzano IPv4 interno privato
e ogni subnet in una rete VPC in modalità automatica
utilizza un intervallo di indirizzi IP della subnet che rientra nel CIDR
10.128.0.0/9
bloccare. - Puoi connettere un VPC in modalità personalizzata
a una rete VPC in modalità automatica
purché la rete VPC in modalità personalizzata non abbia
a qualsiasi intervallo di indirizzi IP della subnet che rientra in
10.128.0.0/9
.
- Il peering di rete VPC non fornisce il routing transitivo. Ad esempio:
se le reti VPC
- Il peering di rete VPC fornisce anche una determinata connettività IPv6 esterna
agli intervalli di indirizzi IPv6 esterni di destinazione delle seguenti risorse
Quando le route verso questi indirizzi IPv6 esterni di destinazione vengono scambiate.
dal peering di rete VPC:
- .
- Interfacce di rete di istanze di macchine virtuali (VM) a doppio stack
- Regole di forwarding per il forwarding del protocollo esterno
- Regole di forwarding per bilanciatori del carico di rete passthrough esterni
- Il peering di rete VPC supporta la connettività sia IPv4 che IPv6. Puoi configurare Peering di rete VPC su una rete VPC che contiene subnet a doppio stack.
Amministrazione
- Le reti VPC in peering rimangono separate dal punto di vista amministrativo. Solo le route vengono scambiate, secondo la configurazione del peering.
- Per stabilire la connettività in peering, è necessario un amministratore di rete per La rete VPC deve creare una connessione in peering rete VPC. Un amministratore di rete per Una rete VPC può disconnettere una connessione in peering.
- Ogni lato di un'associazione di peering viene impostato in modo indipendente. Il peering sarà attiva solo quando corrisponde la configurazione di entrambi i lati. Entrambe le parti possono puoi scegliere di eliminare l'associazione di peering in qualsiasi momento.
- La creazione di una connessione in peering non concede Identity and Access Management (IAM) ruoli nell'altra rete VPC. Ad esempio, se hai il ruolo Amministratore rete Compute o Amministratore sicurezza Compute per una rete, non diventi un amministratore di rete o un amministratore della sicurezza per un'altra rete.
Autorizzazioni IAM
- Autorizzazioni IAM per la creazione e l'eliminazione
Il peering di rete VPC è incluso
Ruolo Amministratore rete Compute
(
roles/compute.networkAdmin
). - Puoi utilizzare un ruolo personalizzato se include le seguenti autorizzazioni:
compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes
Sicurezza della rete
Reti VPC connesse tramite peering di rete VPC di scambio route, basate sullo scambio di route opzioni configurate da una rete amministratore di ogni VPC in ogni rete.
Il peering di rete VPC non scambia firewall VPC regole o firewall criteri.
Per le regole firewall VPC:
Le regole firewall le cui destinazioni sono definite utilizzando tag di rete vengono risolte alle istanze nella rete VPC della regola firewall. Anche se amministratore della sicurezza di una rete VPC in peering può utilizzare tag di rete per definire le destinazioni delle regole firewall in un VPC in peering i target delle regole firewall nel VPC in peering non include istanze nella tua rete VPC. Analogamente, Le regole firewall in entrata le cui origini sono definite utilizzando tag di rete vengono risolte in istanze nella rete VPC della regola firewall.
Le regole firewall le cui destinazioni sono definite utilizzando account di servizio vengono risolte in istanze nella rete VPC della regola firewall. Soggetto alle autorizzazioni IAM, un amministratore della sicurezza di la rete VPC in peering potrebbe essere in grado di usare lo stesso servizio account per definire le destinazioni delle regole firewall in un VPC in peering ma i target delle regole firewall nell'ambiente La rete VPC non include istanze nel tuo VPC in ogni rete. Analogamente, le regole firewall in entrata le cui origini sono definite gli account di servizio vengono risolti solo nelle istanze nel rete VPC.
Le regole nei criteri firewall di rete possono utilizzare Tag, che sono diversi da tag di rete, per identificare target e origini:
Se utilizzato per specificare una destinazione per una regola in entrata o in uscita in una rete criterio firewall, un tag può identificare solo le destinazioni nel VPC rete a cui è limitato l'ambito del tag.
Quando utilizzato per specificare un'origine per una regola in entrata in un firewall di rete criterio, un tag può identificare le origini nella rete VPC con ambito a livello di tag e qualsiasi rete VPC in peering Sono connesse alla rete VPC a cui è limitato l'ambito del tag. Per ulteriori informazioni, consulta la sezione Tag per firewall.
Ogni rete VPC contiene regole firewall implicite. A causa dei firewall implicito per negare l'accesso , gli amministratori della sicurezza ciascuna rete VPC deve creare regole firewall di autorizzazione in entrata oppure nei criteri firewall. Le origini di queste regole possono includere l'indirizzo IP di una rete VPC in peering.
A causa del firewall consentito in uscita , non è necessario creare il traffico in uscita consente regole o regole firewall nei criteri firewall per consentire ai pacchetti di destinazioni nella rete VPC in peering, a meno che le tue reti e le regole di negazione per il traffico in uscita.
Supporto DNS
Le risorse in una rete VPC in peering non possono utilizzare Nomi DNS interni di Compute Engine creato da una rete VPC locale.
Una rete VPC in peering non può utilizzare gestiti da Cloud DNS zone private autorizzate solo per un rete VPC locale. per rendere i nomi DNS disponibili per le risorse. in una rete VPC in peering, utilizza una delle seguenti tecniche:
- Utilizza le funzionalità di Zone di peering Cloud DNS.
- Autorizzare (rendere visibile) la stessa zona privata gestita a tutte le reti VPC in peering.
Supporto del bilanciatore del carico interno
I client in una rete VPC locale possono accedere ai bilanciatori del carico interni in una rete VPC peer. Per ulteriori informazioni, consulta Utilizzare Sezioni sul peering di rete VPC della seguente documentazione sui bilanciatori del carico:
- Bilanciatori del carico di rete passthrough interni e connessione reti
- Bilanciatori del carico di rete proxy interni e connessi reti
- Application Load Balancer interni e connessi reti
Le reti in peering possono scambiare route statiche che utilizzano bilanciatori del carico di rete passthrough interni come hop successivi. Per ulteriori informazioni, consulta Scambio di route opzioni.
Gruppo di peering e quote
Le quote di peering VPC dipendono da un concetto chiamato peering
. Ogni rete VPC ha il proprio gruppo di peering composto da
e di tutte le altre reti VPC connesse tramite
peering di rete VPC. Nello scenario più semplice, se due VPC
reti, net-a
e net-b
, sono connesse in peering tra loro, esistono due reti
gruppi: uno dal punto di vista di net-a
e l'altro dal punto di vista
di net-b
.
Per ulteriori informazioni sulle quote di peering di rete VPC, vedi:
Limitazioni
Il peering di rete VPC presenta le seguenti limitazioni.
Gli intervalli IP di subnet non possono sovrapporsi tra reti VPC in peering
Nessun intervallo IP di subnet può corrispondere esattamente a, contenere o rientrare in un altro IP di subnet in una rete VPC in peering. Al momento del peering, Google Cloud controlla se esistono subnet con intervalli IP sovrapposti; se il peering non va a buon fine. Per le reti già in peering, se esegui un'azione che porta alla creazione di una nuova route di subnet, Google Cloud richiede che la nuova route subnet abbia un IP di destinazione univoco di indirizzi IP esterni.
Prima di creare nuove subnet, puoi elencare le route di peering per garantire che l'intervallo di indirizzi IPv4 della nuova subnet non è già utilizzato.
Questa limitazione e i controlli corrispondenti di Google Cloud si applicano anche scenari come il seguente:
- La tua rete VPC,
network-1
, è connessa in peering con un secondo VPC rete,network-2
. network-2
è inoltre connesso in peering con una terza rete VPC,network-3
.network-3
non è in peering connetwork-1
.
In questo scenario, è necessario coordinarsi con un amministratore di rete per
network-2
. Chiedi all'amministratore di rete di network-2
per elencare le route di peering
nella rete VPC.
Per ulteriori informazioni sui controlli di sovrapposizione, consulta Interazioni con route di subnet e subnet di peering.
I nomi DNS interni non si risolvono nelle reti in peering
Nomi del DNS interno di Compute Engine creati non sono accessibili alle reti in peering. a raggiungere le istanze VM la rete in peering, utilizza l'indirizzo IP della VM.
Tag e account di servizio non sono utilizzabili tra reti in peering
Non puoi fare riferimento a un tag o a un account di servizio relativo a una VM da un rete in peering in una regola firewall nell'altra rete in peering. Ad esempio, se se una regola in entrata in una rete in peering filtra la sua origine in base a un tag, si applicano solo al traffico delle VM proveniente dall'interno di quella rete, non alle sue anche se una VM in una rete in peering ha quel tag. Questa situazione vale allo stesso modo per gli account di servizio.
Opzioni di scambio percorso
Quando una rete VPC condivide route locali con una rete VPC rete VPC, esporta le route. Il peer La rete VPC può quindi importare le route. Route di subnet, ad eccezione di per le route di subnet IPv4 che utilizzano indirizzi IPv4 pubblici utilizzati privatamente, sono sempre scambiato.
La configurazione del peering di rete VPC consente di controllare quanto segue:
- Se vengono scambiate le route IPv6.
- Se le route per le subnet che utilizzano indirizzi IPv4 pubblici utilizzati privatamente esportate o importate.
- Se le route statiche e dinamiche vengono esportate o importate.
Puoi aggiornare la configurazione prima di stabilire il peering oppure mentre la connettività in peering è attiva.
Il peering di rete VPC non fornisce:
- un metodo granulare per controllare lo scambio di route di subnet specifiche, route e route dinamiche.
- Supporto per lo scambio di route basate su criteri.
Opzioni per lo scambio di route di subnet
La tabella seguente descrive le opzioni di scambio di route per route subnet:
Tipo di route | Condizioni di esportazione route | Condizioni di importazione delle route |
---|---|---|
Route di subnet IPv4 (intervalli di subnet IPv4 primari e secondari) che utilizzano intervalli di indirizzi IPv4 privati | Sempre esportato Non può essere disattivato |
Sempre importati Non può essere disattivato |
Route di subnet IPv4 (intervalli di subnet IPv4 primari e secondari) che utilizzano intervalli di indirizzi IPv4 pubblici utilizzati privatamente | Esportato per impostazione predefinita L'esportazione è controllata usando il flag --export-subnet-routes-with-public-ip
|
Non importato per impostazione predefinita L'importazione è controllata tramite il flag --import-subnet-routes-with-public-ip
|
Intervalli di subnet IPv6 interne ( ipv6-access-type=INTERNAL )
|
Non esportato per impostazione predefinita L'esportazione viene attivata con l'impostazione --stack-type=IPV4_IPV6
|
Non importato per impostazione predefinita L'importazione è attivata con l'impostazione --stack-type=IPV4_IPV6
|
Intervalli di subnet IPv6 esterne ( ipv6-access-type=EXTERNAL )
|
Non esportato per impostazione predefinita L'esportazione viene attivata con l'impostazione --stack-type=IPV4_IPV6
|
Non importato per impostazione predefinita L'importazione è attivata con l'impostazione --stack-type=IPV4_IPV6
|
Opzioni per lo scambio di route statiche
La seguente tabella descrive le opzioni di scambio di route per gli route.
Tipo di route | Condizioni di esportazione route | Condizioni di importazione delle route |
---|---|---|
Route statiche con tag di rete (tutti i tipi di hop successivo) | Impossibile esportare | Impossibile importare |
Route statiche che utilizzano l'hop successivo del gateway internet predefinito | Impossibile esportare | Impossibile importare |
Route statiche IPv4, senza tag di rete, che utilizzano un hop successivo diverso dal gateway internet predefinito | Non esportato per impostazione predefinita L'esportazione è controllata usando il flag --export-custom-routes
|
Non importato per impostazione predefinita L'importazione è controllata usando il flag --import-custom-routes
|
Route statiche IPv6, senza tag di rete, che utilizzano una VM istanza come hop successivo | Non esportato per impostazione predefinita L'esportazione è controllata mediante l'uso dell'elemento --export-custom-routes
flag quando il tipo di stack del peering è impostato su --stack-type=IPV4_IPV6
|
Non importato per impostazione predefinita L'importazione è controllata mediante l'uso dell'elemento --import-custom-routes
flag quando il tipo di stack del peering è impostato su --stack-type=IPV4_IPV6
|
Opzioni per lo scambio di route dinamiche
La tabella seguente descrive le opzioni di scambio di route per route dinamiche.
Tipo di route | Condizioni di esportazione route | Condizioni di importazione delle route |
---|---|---|
Route IPv4 dinamiche | Non esportato per impostazione predefinita L'esportazione è controllata usando il flag --export-custom-routes
|
Non importato per impostazione predefinita L'importazione è controllata usando il flag --import-custom-routes
|
Route IPv6 dinamiche | Non esportato per impostazione predefinita L'esportazione è controllata mediante l'uso dell'elemento --export-custom-routes
flag quando il tipo di stack del peering è impostato su --stack-type=IPV4_IPV6
|
Non importato per impostazione predefinita L'importazione è controllata mediante l'uso dell'elemento --import-custom-routes
flag quando il tipo di stack del peering è impostato su --stack-type=IPV4_IPV6
|
Vantaggi dello scambio di route statiche e dinamiche
Quando una rete VPC esporta route statiche e dinamiche un'altra rete VPC importa queste route, la rete di importazione può Invia pacchetti direttamente all'hop successivo per ogni route statica o dinamica importata il cui hop successivo si trova nella rete VPC peer.
Un amministratore di rete di una rete VPC locale controlla
delle route statiche e dinamiche di quella rete, insieme, utilizzando
il flag --export-custom-routes
. Un amministratore di rete
controlla l'importazione dei dati statici e
route dinamiche usando il flag --import-custom-routes
. Per ulteriori informazioni,
consulta Route ignorate, Route subnet e subnet di peering
per le interazioni e per le subnet e le route statiche
interazioni.
L'importazione di route statiche e dinamiche da una rete VPC in peering può utili nei seguenti scenari:
Se la rete VPC in peering contiene basate su route GKE di cluster e ti servono per inviare pacchetti ai pod nei cluster. Gli indirizzi IP dei pod implementato come intervalli di destinazione per le route statiche che si trovano nella rete rete VPC.
Se devi fornire connettività tra una rete on-premise e una rete VPC in peering. Supponiamo che un VPC locale contiene route dinamiche con un tunnel Cloud VPN dell'hop successivo, il collegamento Cloud Interconnect (VLAN) o l'appliance router che si connette a una rete on-premise. a fornire un percorso dal peer da una rete VPC alla rete on-premise, una rete l'amministratore della rete VPC locale abilita le route personalizzate e un amministratore di rete per il VPC in peering consente l'importazione di route personalizzate. a fornire un percorso dall'ambiente on-premise di rete alla rete VPC in peering, un amministratore di rete per la rete VPC locale deve configurare Annuncio personalizzato router Cloud sul router Cloud che gestisce la sessione BGP tunnel Cloud VPN, collegamento Cloud Interconnect (VLAN) o Appliance router che si connette alla rete on-premise. I contenuti di queste route annunciate personalizzate deve includere l'indirizzo IP della subnet della rete VPC in peering.
Percorsi ignorati
Anche quando una rete VPC importa una route, può ignorare la richiesta percorso importato in situazioni simili alle seguenti:
Quando la rete VPC locale ha una route con un più specifica (subnet mask più lunga), la rete VPC locale utilizza sempre il percorso locale.
Quando la rete VPC locale non contiene le informazioni per la destinazione di un pacchetto, ma due o più VPC in peering contengono la stessa destinazione più specifica per il pacchetto, Google Cloud utilizza un algoritmo interno per selezionare un hop successivo da uno solo dei le reti VPC in peering. Questa selezione avviene prima la priorità delle route viene considerata e non puoi configurare il comportamento. Come migliore evita questa configurazione perché l'aggiunta o la rimozione Le reti VPC possono portare a modifiche indesiderate all'ordine di routing.
Per ulteriori dettagli sulle situazioni precedenti, vedi Ordine di routing.
Per i peering a doppio stack, se una rete VPC locale importa IPv6
route non ha subnet a doppio stack e nessuna delle route IPv6 che riceve
dalle reti VPC in peering. Inoltre, se
constraints/compute.disableAllIpv6
un vincolo del criterio dell'organizzazione. Un amministratore di rete potrebbe non
creare subnet a doppio stack.
Interazioni con route di subnet e subnet di peering
Le route di subnet IPv4 nelle reti VPC in peering non possono sovrapporsi:
- Il peering vieta route di subnet IPv4 identiche. Ad esempio, due
Le reti VPC in peering non possono avere entrambe una route di subnet IPv4
la cui destinazione è
100.64.0.0/10
. - Il peering impedisce che una route di subnet sia contenuta all'interno di una
una route subnet di peering. Ad esempio, se la rete VPC locale
ha una route subnet la cui destinazione è
100.64.0.0/24
, nessuna delle Le reti VPC in peering possono avere una route subnet la cui destinazione è100.64.0.0/10
.
Google Cloud applica le condizioni precedenti per le route di subnet IPv4 nel i seguenti casi:
- Quando connetti le reti VPC per la prima volta utilizzando il peering di rete VPC.
- Mentre le reti sono in peering.
- Quando apporti una modifica alla configurazione del peering, ad esempio, abilitando importazione di route IPv4 di subnet con indirizzi IP pubblici utilizzati privatamente.
Mentre esegui le reti in peering, Google Cloud restituisce un errore se uno degli elementi seguenti delle operazioni comportano una sovrapposizione:
Aggiunta di un intervallo di indirizzi IPv4 secondari della subnet.
Espansione dell'intervallo di indirizzi IPv4 principali della subnet.
Le route di subnet IPv6 (interne ed esterne) sono univoche per
definizione. Non esistono due reti VPC
può usare gli stessi intervalli di subnet IPv6 interne o esterne. Ad esempio, se uno
La rete VPC utilizza fc:1000:1000:1000::/64
come intervallo di subnet IPv6,
nessun'altra rete VPC in Google Cloud può utilizzare
fc:1000:1000:1000::/64
, a prescindere dal fatto che le reti VPC
sono connesse tramite peering di rete VPC.
Interazioni con subnet e route statiche
Google Cloud richiede che le route di subnet e le route di subnet di peering abbiano il specifici per gli intervalli IPv4 o IPv6 di destinazione specifici. All'interno di qualsiasi rete VPC, una route statica locale non può avere una destinazione che corrisponde esattamente a o adatta all'interno di una route subnet locale. Per una discussione più dettagliata su questo scenario, consulta la sezione Interazioni route.
Questo concetto è esteso al peering di rete VPC dalle due regole seguenti:
Una route statica locale non può avere una destinazione che corrisponde esattamente a o rientra in una route subnet di peering. Se esiste una route statica locale, Google Cloud applica quanto segue:
Non puoi stabilire una nuova connessione in peering a una rete VPC che contiene già una route di subnet che corrisponde esattamente a o contiene della route statica locale, se la configurazione comporta l'importazione della route di subnet in conflitto. Ad esempio:
Se esiste una route statica locale con la destinazione
10.0.0.0/24
, non riesci a stabilire una nuova connessione in peering a un VPC che contiene una route di subnet IPv4 la cui destinazione corrisponde a10.0.0.0/24
o contiene10.0.0.0/24
(ad esempio,10.0.0.0/8
).Quando il tipo di stack di peering previsto è
IPV4_IPV6
, se una route statica locale con la destinazione2001:0db8:0a0b:0c0d::/96
esiste, non puoi stabilire una nuova connessione in peering a una rete VPC che contiene Route di subnet IPv6 la cui destinazione corrisponde esattamente a o contiene2001:0db8:0a0b:0c0d::/96
. In questo caso, l'unica subnet IPv6 possibile l'intervallo di indirizzi è2001:0db8:0a0b:0c0d::/64
perché gli intervalli di indirizzi IPv6 della subnet in Google Cloud devono utilizzare lunghezze della subnet mask a 64 bit.
Non puoi aggiornare una connessione in peering esistente se il peering aggiornato causa l'importazione della route di subnet in conflitto. Ad esempio:
Supponiamo che due reti VPC siano già connesse in peering, non esportare e importare route di subnet IPv4 utilizzando Intervalli di indirizzi IPv4. Una route statica locale con destinazione
11.0.0.0/24
nella prima rete VPC e una route subnet con la destinazione11.0.0.0/8
esiste nella rete VPC in peering. Tu impossibile configurare simultaneamente la rete VPC in peering per l'esportazione utilizzando indirizzi IPv4 pubblici utilizzati privatamente e configura la prima rete VPC a importare route di subnet indirizzi IPv4 pubblici.Supponiamo che due reti VPC siano già in peering e che è solo IPv4. Una route statica locale
2001:0db8:0a0b:0c0d::/96
destinazione esiste nel primo VPC e una route di subnet IPv6 con2001:0db8:0a0b:0c0d::/64
nella rete VPC in peering. Non puoi modificare tipo di stack di peering suIPV4_IPV6
.
Al contrario, se le reti VPC sono già connesse utilizzando Peering di rete VPC, non puoi eseguire le seguenti operazioni:
Crea una nuova route statica locale la cui destinazione corrisponderebbe esattamente a o rientrano in una route subnet di peering importata.
Crea un nuovo intervallo di indirizzi di subnet nella rete VPC in peering se quell'intervallo corrisponde esattamente a o contiene una route statica locale esistente.
Una route statica di peering non può avere una destinazione che corrisponde esattamente o rientra in una route subnet locale. Se esiste una route subnet locale, Google Cloud vieta quanto segue:
Non puoi stabilire una nuova connessione in peering a un VPC rete che contiene già una route statica che corrisponde esattamente a o rientra nella destinazione del traffico VPC di subnet, se la configurazione del peering determina l'importazione una route statica dal peer. Esempi:
Se esiste una route subnet locale per
10.0.0.0/8
, non puoi stabilire una connessione in peering a una rete VPC con una route statica la cui destinazione corrisponde esattamente a10.0.0.0/8
o rientra in10.0.0.0/8
(ad es.10.0.0.0/24
).Quando il tipo di stack di peering previsto è
IPV4_IPV6
, se una route di subnet locale per2001:0db8:0a0b:0c0d::/64
esiste, non puoi stabilire una connessione in peering verso una rete VPC con una route statica la cui destinazione corrisponde esattamente a2001:0db8:0a0b:0c0d::/64
o rientra in2001:0db8:0a0b:0c0d::/64
(ad es.2001:0db8:0a0b:0c0d::/96
).
Non puoi aggiornare una connessione in peering esistente se è stato aggiornato La configurazione del peering determina l'importazione della route statica in conflitto.
Al contrario, se le reti VPC sono già connesse utilizzando Peering di rete VPC, non puoi eseguire le seguenti operazioni:
- Crea una nuova route di subnet locale la cui destinazione corrisponderà esattamente o che contiene una route statica di peering importata.
- Crea una nuova route statica nella rete VPC in peering la cui corrisponde esattamente a una route locale esistente o viceversa.
Effetti della modalità di routing dinamico
La modalità di routing dinamico di una rete VPC determina le regioni in cui i prefissi appresi dai router Cloud in quella rete applicata come route dinamiche locali. Per maggiori dettagli su questo comportamento, consulta Effetti del routing dinamico .
Questo concetto è esteso al peering di rete VPC. La modalità di routing dinamico sulla rete VPC in esportazione, la rete che contiene Router Cloud che hanno appreso i prefissi per queste route dinamiche: determina le regioni in cui possono essere programmate le route dinamiche di peering reti peer:
Se la modalità di routing dinamico della rete VPC esportata è regionale, la rete esporta route dinamiche solo nella stessa regione dei router Cloud che apprendono i prefissi.
Se la modalità di routing dinamico della rete VPC esportata è globale, la rete esporta le route dinamiche in tutte le regioni.
In entrambi i casi, la modalità di routing dinamico del VPC in importazione non è pertinente.
Per un esempio che illustra questo comportamento, consulta Rete VPC locale e rete VPC peer con reti on-premise per la connettività.
Interazioni con subnet e route dinamiche
I conflitti tra route di subnet locali o di peering e route dinamiche sono risolto come descritto in Interazioni con route dinamiche.
Esempi di peering di rete VPC
I seguenti esempi mostrano due scenari comuni di peering di rete VPC.
Rete VPC locale e rete VPC peer con connettività on-premise
In questo esempio, viene impostato il seguente peering di rete:
network-a
è connesso in peering anetwork-b
enetwork-b
è connesso in peeringnetwork-a
.network-a
contiene due subnet, ognuna delle quali si trova in una regione separata.network-b
contiene una singola subnet.network-b
è connesso a una rete on-premise con tunnel Cloud VPN mediante il routing dinamico. (gli stessi principi valgono per i tunnel sostituiti con i collegamenti VLAN di Cloud Interconnect.)- La connessione in peering per
network-b
è configurata con--export-custom-routes
e la connessione in peering pernetwork-a
è configurato con il flag--import-custom-routes
.
fornire connettività da on-premise alle subnet
network-a
e network-b
, il router Cloud in network-b
deve essere
configurato per utilizzare
modalità pubblicitaria personalizzata.
Ad esempio, il router Cloud pubblicizza solo il prefisso personalizzato,
custom-prefix-1
, che include gli intervalli di subnet da network-b
e
intervalli di subnet da network-a
.
Il router Cloud in us-west1
apprende on-premises-prefix
da
un router on-premise. on-premises-prefix
non crea alcun conflitto perché
sia più ampio delle route di subnet e subnet di peering. In altre
parole, on-premises-prefix
non corrisponde esattamente e non si adatta in nessuna
o una route subnet di peering.
La tabella seguente riassume la configurazione di rete specificata nell'esempio precedente:
Nome rete | Componente di networking | Intervallo IPv4 | Intervallo IPv6 | Regione |
---|---|---|---|---|
rete-a |
subnet-a |
10.0.0.0/24 |
fc:1000:1000:1000::/64 |
us-west1 |
rete-a |
subnet-b |
10.0.1.0/24 |
fc:1000:1000:1001::/64 |
europe-north 1 |
rete-b |
subnet-c |
10.0.2.0/23 |
fc:1000:1000:1002::/64 |
us-west1 |
rete-b |
Router Cloud |
10.0.0.0/22 |
fc:1000:1000:1000::/64 |
us-west1 |
Rete on-premise |
Router on-premise |
10.0.0.0/8 |
fc:1000:1000:1000::/56 |
N/D |
Indipendentemente dalla modalità di routing dinamico di network-a
, il seguente routing
caratteristiche si applicano:
Quando la modalità di routing dinamico di
network-b
è globale,On-premises prefix
apprese dal router Cloud innetwork-b
vengono aggiunte come route dinamiche in tutte le regioni dinetwork-b
e come route dinamiche in tutte le regioni dinetwork-a
. Se le regole firewall vengono configurata correttamente,vm-a1
,vm-a2
evm-b
possono comunicare con risorsa on-premise con indirizzo IPv410.5.6.7
(o indirizzo IPv6fc:1000:1000:10a0:29b::
).Se la modalità di routing dinamico di
network-b
viene impostata su regionale,On-premises prefix
apprese dal router Cloud innetwork-b
vengono aggiunte solo come route dinamiche nella regioneus-west1
dinetwork-b
e come route dinamiche di peering nella regioneus-west1
dinetwork-a
. Se le regole firewall siano configurate correttamente, solovm-a1
evm-b
possono comunicare con una risorsa on-premise con l'indirizzo IPv410.5.6.7
(o indirizzofc:1000:1000:10a0:29b::
) perché è l'unica VM nello stesso regione Cloud come router Cloud.
Rete di trasporto pubblico con più peering
Considera uno scenario in cui network-b
è connesso a una rete on-premise
e funge da rete di transito per altre due reti, network-a
e network-c
. Per consentire alle VM in entrambe le reti
accede a network-b
e alla relativa rete on-premise connessa utilizzando solo
indirizzi IP, è richiesta la seguente configurazione:
network-a
è connesso in peering anetwork-b
enetwork-b
è connesso in peering connetwork-a
.network-c
è connesso in peering anetwork-b
enetwork-b
è connesso in peering connetwork-c
.network-b
è connesso a una rete on-premise con Cloud VPN tunnel che usano il routing dinamico. Gli stessi principi valgono per i tunnel sostituiti con collegamenti VLAN di Cloud Interconnect.- fornire connettività da on-premise alle subnet
network-a
,network-b
enetwork-c
, il router Cloud innetwork-b
è configurato per utilizzare modalità pubblicità personalizzata. Ad esempio, il router Cloud pubblicizza route di subnetnetwork-b
più prefissi personalizzati che coprono le route di subnet innetwork-a
enetwork-c
. - Soggetto a
interazioni con subnet e route dinamiche,
il router Cloud in
network-b
apprende i prefissi on-premise e crea route dinamiche innetwork-b
.
- fornire connettività da on-premise alle subnet
- Le connessioni in peering da
network-b
anetwork-a
e danetwork-b
anetwork-c
sono configurate con il flag--export-custom-routes
. Le connessioni in peering danetwork-a
anetwork-b
e danetwork-c
anetwork-b
sono configurati con il flag--import-custom-routes
.- Soggetto a
interazioni con subnet e route dinamiche,
il router Cloud in
network-b
crea anche percorsi innetwork-a
enetwork-c
.
- Soggetto a
interazioni con subnet e route dinamiche,
il router Cloud in
Se i firewall sono configurati correttamente, si possono verificare i seguenti scenari di connettività:
- Le istanze VM in
network-a
possono raggiungere altre VM innetwork-b
e sistemi on-premise. - Le istanze VM in
network-c
possono raggiungere altre VM innetwork-b
e sistemi on-premise. - Le istanze VM in
network-b
possono raggiungere altre VM sia innetwork-a
chenetwork-c
, oltre ai sistemi nella rete on-premise.
Poiché il peering di rete VPC non è transitivo, le istanze VM in network-a
e
network-c
non può comunicare tra loro a meno che non colleghi anche le reti
network-a
e network-c
utilizzando il peering di rete VPC.
Prezzi
Al peering di rete VPC si applicano i prezzi di rete standard.
Passaggi successivi
- Per configurare e risolvere i problemi del peering di rete VPC, vedi Configurare e gestire il peering di rete VPC.