Configurer et gérer l'appairage de réseaux VPC

L'appairage de réseaux VPC Google Cloud permet une connectivité via des adresses IP internes sur deux réseaux cloud privé virtuel (VPC), qu'ils appartiennent ou non au même projet ou à la même organisation. L'appairage est compatible avec la connectivité entre des réseaux comportant des sous-réseaux à double pile.

Pour en savoir plus, consultez la section Appairage de réseaux VPC.

Créer une configuration d'appairage

Avant de commencer, vous devez disposer du nom du réseau VPC avec lequel vous souhaitez effectuer l'appairage. Si ce réseau est situé dans un autre projet, vous devez également disposer de l'ID de ce projet. Vous ne pouvez pas répertorier les demandes d'appairage pour votre réseau VPC. Si nécessaire, demandez à l'administrateur du réseau que vous souhaitez appairer, les noms de réseau et de projet.

Une configuration d'appairage établit l'intention de se connecter à un autre réseau VPC. Votre réseau et l'autre réseau ne sont pas connectés tant qu'ils ne disposent pas tous les deux d'une configuration d'appairage l'un avec l'autre. Une fois que l'autre réseau possède une configuration d'appairage avec votre réseau, l'état de l'appairage devient ACTIVE dans les deux réseaux, qui sont alors connectés. Si aucune configuration d'appairage correspondante n'existe sur l'autre réseau, l'état reste sur INACTIVE, et votre réseau n'est pas connecté à l'autre.

Google Cloud n'autorise qu'une seule activité d'appairage à la fois sur les réseaux appairés. Par exemple, si vous configurez un appairage à un réseau et que vous tentez tout de suite après d'en configurer un autre, l'opération échoue avec le message suivant : Error: There is a peering operation in progress on the local or peer network. Try again later.

Une fois connectés, les deux réseaux VPC échangent toujours des routes de sous-réseau IPv4 (plages de sous-réseaux IPv4 principales et secondaires) qui utilisent des plages d'adresses IPv4 privées. Pour en savoir plus sur les options d'échange des routes de sous-réseau, consultez la section Options d'échange des routes de sous-réseau. Pour en savoir plus sur l'échange de routes statiques ou dynamiques, consultez les sections Options d'échange de routes statiques et Options d'échange de routes dynamiques.

Console

  1. Dans la console Google Cloud, accédez à la page Appairage de réseaux VPC .
    Accéder à la page "Appairage de réseaux VPC"
  2. Cliquez sur Create connection (Créer une connexion).
  3. Cliquez sur Continuer.
  4. Dans le champ Nom, saisissez un nom pour votre configuration d'appairage.
  5. Sous Votre réseau VPC, sélectionnez le réseau que vous souhaitez appairer.

  6. Sélectionnez le réseau à appairer.

    • Si le réseau que vous souhaitez appairer se trouve dans le même projet, sélectionnez Dans le projet [NOM DE VOTRE PROJET], puis sélectionnez le réseau à appairer.
    • Si le réseau que vous souhaitez appairer se trouve dans un autre projet, sélectionnez Dans un autre projet. Spécifiez l'ID de projet, qui inclut le réseau que vous souhaitez appairer, et le nom du réseau VPC.

  7. Sous Type de pile IP, spécifiez les routes de sous-réseau à échanger entre les réseaux appairés :

    • IPv4 (pile unique) : échangez les routes IPv4 uniquement.
    • IPv4 et IPv6 (double pile) : échangez des routes IPv4 et IPv6.

  8. Pour importer ou exporter les routes personnalisées IPv4 et IPv6, choisissez l'une des options suivantes, ou les deux :

    • Importer des routes personnalisées : importez des routes personnalisées à partir du réseau appairé. Le réseau appairé doit activer l'exportation de routes personnalisées pour que les routes soient importées.
    • Exporter les routes personnalisées : exportez les routes personnalisées vers le réseau appairé. Le réseau appairé doit activer l'exportation de routes personnalisées pour que les routes soient exportées.

  9. Si votre réseau ou l'autre réseau utilise des plages d'adresses IPv4 publiques utilisées en mode privé dans leurs sous-réseaux, ces routes sont exportées par défaut, mais elles ne sont pas importées par défaut. Pour importer ces routes, sélectionnez l'option suivante :

    • Importer des routes de sous-réseau avec une adresse IP publique pour importer les routes de sous-réseau avec une adresse IPv4 publique utilisée en mode privé exportées par l'autre réseau

  10. Cliquez sur Créer.

gcloud

Créez une connexion d'appairage de réseaux VPC.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

Remplacez les éléments suivants :

  • PEERING_NAME : nom de la configuration d'appairage.
  • NETWORK : nom du réseau de votre projet que vous souhaitez appairer.
  • PEER_PROJECT_ID : ID du projet contenant l'autre réseau à appairer.
  • PEER_NETWORK_NAME : nom de l'autre réseau à appairer.
  • STACK_TYPE : type de pile pour la connexion d'appairage. Spécifiez IPV4_ONLY pour échanger uniquement des routes IPv4. Vous pouvez également spécifier IPV4_IPV6 pour échanger des routes IPv4 et IPv6. IPV4_ONLY est la valeur par défaut.
  • --import-custom-routes : indique au réseau d'accepter les routes personnalisées du réseau appairé. Le réseau appairé doit au préalable exporter ces routes.
  • --export-custom-routes : indique au réseau d'exporter les routes personnalisées vers le réseau appairé. Le réseau appairé doit être configuré pour importer ces routes.
  • --import-subnet-routes-with-public-ip : indique au réseau d'accepter les routes de sous-réseau du réseau appairé pour les sous-réseaux qui utilisent des adresses IPv4 publiques utilisées en mode privé. Le réseau appairé doit au préalable exporter ces routes.
  • --export-subnet-routes-with-public-ip : indique au réseau d'exporter les routes de sous-réseau contenant des adresses IPv4 publiques utilisées en mode privé. Le réseau appairé doit être configuré pour importer ces routes.

Terraform

Vous pouvez utiliser un module Terraform pour créer une configuration d'appairage.

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 9.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Pour les deux réseaux VPC appairés, chaque lien auto inclut un ID de projet et le nom du réseau VPC. Pour obtenir le lien auto d'un réseau VPC, vous pouvez utiliser la commande gcloud compute networks describe ou networks.get dans le projet de chaque réseau VPC.

Lorsque vous créez un appairage du réseau local_network au réseau peer_network, la relation d'appairage est bidirectionnelle. L'appairage du réseau peer_network vers local_network est créé automatiquement.

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.

Vérifier que le trafic passe entre des réseaux VPC appairés

Vous pouvez utiliser les journaux de flux VPC pour afficher les flux de réseau envoyés et reçus par les instances de VM. Vous pouvez également utiliser la journalisation des règles de pare-feu pour vérifier la transmission du trafic entre les réseaux. Créez des règles de pare-feu VPC qui autorisent (ou refusent) le trafic entre les réseaux appairés, et activez la journalisation des règles de pare-feu pour ces règles. Vous pouvez ensuite afficher les règles de pare-feu qui ont été appelées à l'aide de Cloud Logging.

Mettre à jour une connexion d'appairage

Lorsque vous mettez à jour une connexion d'appairage de réseaux VPC existante, vous pouvez effectuer les opérations suivantes :

  • Indiquez si votre réseau VPC exporte ou importe les routes personnalisées ou les routes de sous-réseau IPv4 publiques utilisées en mode privé, vers ou depuis le réseau VPC appairé.
  • Mettez à jour une connexion d'appairage existante pour activer ou désactiver l'échange de routes IPv6 entre les réseaux d'appairage.

Votre réseau n'importe effectivement les routes que si le réseau appairé les exporte, et le réseau appairé ne reçoit vos routes que s'il les importe.

Console

  1. Dans la console Google Cloud, accédez à la page Appairage de réseaux VPC.
    Accéder à la page "Appairage de réseaux VPC"
  2. Sélectionnez la connexion d'appairage à mettre à jour.
  3. Cliquez sur Modifier.
  4. Mettez à jour la sélection Type de pile IP pour spécifier les routes de sous-réseau à échanger entre les réseaux appairés :
    • IPv4 (pile unique) : arrêtez l'échange existant de routes IPv6 sur l'appairage et continuez à échanger uniquement des routes IPv4.
    • IPv4 et IPv6 (double pile): commencez à échanger des routes IPv4 et IPv6, à condition que le type de pile IP de la connexion d'appairage correspondante soit défini sur IPv4 et IPv6 (double pile).
  5. Pour importer ou exporter les routes personnalisées IPv4 et IPv6, choisissez l'une des options suivantes, ou les deux :
    • Importer les routes personnalisées, pour importer les routes personnalisées exportées par l'autre réseau.
    • Exporter les routes personnalisées, pour exporter les routes personnalisées vers l'autre réseau. L'autre réseau doit importer ces routes pour les voir.
  6. Si votre réseau ou l'autre réseau utilise des plages d'adresses IPv4 publiques utilisées en mode privé dans leurs sous-réseaux, ces routes sont exportées par défaut, mais elles ne sont pas importées par défaut. Pour importer ces routes, sélectionnez l'option suivante :
    • Importer des routes de sous-réseau avec une adresse IP publique pour importer les routes de sous-réseau avec une adresse IPv4 publique utilisée en mode privé exportées par l'autre réseau
    • Cliquez sur Enregistrer.

gcloud

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Remplacez les éléments suivants :

  • PEERING_NAME : nom de la connexion d'appairage existante.
  • NETWORK : nom du réseau appairé dans votre projet.
  • STACK_TYPE : type de pile pour la connexion d'appairage.
    • Spécifiez IPV4_ONLY pour arrêter l'échange existant de routes IPv6 sur l'appairage et continuer à échanger uniquement des routes IPv4.
    • Spécifiez IPV4_IPV6 pour commencer à échanger des routes IPv4 et IPv6, à condition que la valeur stack_type de la connexion d'appairage correspondante soit également définie sur IPV4_IPV6.
  • --import-custom-routes : indique au réseau d'accepter les routes personnalisées du réseau appairé. Le réseau appairé doit au préalable exporter ces routes.
  • --export-custom-routes : indique au réseau d'exporter les routes personnalisées vers le réseau appairé. Le réseau appairé doit être configuré pour importer ces routes.
  • --import-subnet-routes-with-public-ip : indique au réseau d'accepter les routes de sous-réseau du réseau appairé pour les sous-réseaux qui utilisent des adresses IPv4 publiques utilisées en mode privé. Le réseau appairé doit au préalable exporter ces routes.
  • --export-subnet-routes-with-public-ip : indique au réseau d'exporter les routes de sous-réseau contenant des adresses IPv4 publiques utilisées en mode privé. Le réseau appairé doit être configuré pour importer ces routes.

Répertorier les connexions d'appairage

Répertoriez les connexions d'appairage existantes pour afficher leur statut et indiquer si elles importent ou exportent des routes personnalisées.

Console

  1. Dans la console Google Cloud, accédez à la page Appairage de réseaux VPC.
    Accéder à la page "Appairage de réseaux VPC"
  2. Sélectionnez la connexion d'appairage pour afficher ses détails.

gcloud

gcloud compute networks peerings list

Répertorier les routes d'appairage

Console

Utilisez l'onglet Routes effectives pour afficher tous les types de routes applicables dans un réseau VPC, y compris les routes de sous-réseau d'appairage importées, les routes d'appairage statiques et les routes d'appairage dynamiques.

  1. Dans la console Google Cloud, accédez à la page Routes.

    Accéder à la page Routes

  2. Dans l'onglet Routes effectives, procédez comme suit :

    • Sélectionnez un réseau VPC.
    • Sélectionnez une Région.

  3. Cliquez sur Afficher.

  4. Cliquez sur le champ de texte Filtrer, puis procédez comme suit:

    • Sélectionnez Type dans le menu Propriétés.
    • Dans le menu Valeurs, sélectionnez l'une des options suivantes.
      • Sous-réseau d'appairage: pour afficher les routes de sous-réseau à partir de réseaux VPC appairés.
      • Appairage statique: pour afficher les routes statiques importées à partir de réseaux VPC appairés.
      • Appairage dynamique: pour afficher les routes dynamiques importées à partir de réseaux VPC appairés.

  5. Vous pouvez également cliquer sur Afficher les routes supprimées pour afficher les routes supprimées. Pointez sur l'icône de la colonne État pour afficher la raison pour laquelle un itinéraire a été supprimé. La raison inclut un lien vers la documentation sur l'ordre de routage avec une explication.

gcloud

Utilisez la commande Google Cloud CLI suivante pour:

  • Répertoriez les exportations de routes envoyées depuis votre réseau VPC vers des réseaux VPC appairés.
  • Répertoriez les candidats à l'importation de routes pour votre réseau VPC.
gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Remplacez les éléments suivants :

  • PEERING_NAME : nom d'une connexion d'appairage existante.
  • NETWORK : nom du réseau appairé dans votre projet.
  • REGION : région dans laquelle vous souhaitez répertorier toutes les routes dynamiques. Les routes de sous-réseau et les routes statiques sont internationales et sont indiquées pour toutes les régions.
  • DIRECTION : indique s'il faut ou non répertorier les routes importées (incoming) ou exportées (outgoing)

Supprimer une connexion d'appairage de réseaux VPC

Vous-même ou un administrateur du réseau VPC appairé pouvez supprimer une configuration d'appairage. Lorsqu'une configuration d'appairage est supprimée, la connexion d'appairage passe à l'état INACTIVE sur l'autre réseau et toutes les routes partagées entre les réseaux sont supprimées.

Console

  1. Accédez à la page "Appairage de réseaux VPC" dans la console Google Cloud.
    Accéder à la page "Appairage de réseaux VPC"
  2. Cochez la case en regard de l'appairage à supprimer.
  3. Cliquez sur Supprimer.

gcloud

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Remplacez les éléments suivants :

  • PEERING_NAME : nom de la connexion d'appairage à supprimer.
  • NETWORK : nom du réseau appairé dans votre projet.

Dépannage

Les sections suivantes expliquent comment résoudre les problèmes liés à l'appairage de réseaux VPC.

Les VM homologues sont inaccessibles

Une fois que la connexion d'appairage est ACTIVE, la mise en place de tous les flux de trafic entre les réseaux appairés peut prendre jusqu'à une minute. Ce temps dépend de la taille des réseaux à appairer. Si vous avez récemment configuré la connexion d'appairage, patientez une minute, puis réessayez. Assurez-vous également qu'aucune règle de pare-feu ne bloque l'accès depuis ou vers des préfixes CIDR de sous-réseau du réseau VPC appairé.

Routes personnalisées manquantes

Cette section explique comment résoudre les problèmes liés aux routes personnalisées manquantes.

Vérifier l'état de la connexion d'appairage

Pour vérifier l'état de votre connexion d'appairage, procédez comme suit:

  1. Répertoriez les connexions d'appairage.
  2. Identifiez la connexion d'appairage à résoudre et examinez son état.
    1. Si l'état est ACTIVE, suivez la procédure décrite dans la section suivante.
    2. Si l'état d'appairage est INACTIVE, un administrateur réseau de l'autre réseau doit créer une configuration d'appairage avec votre réseau VPC.

Résoudre les problèmes de connexion ACTIVE

Pour résoudre les problèmes liés aux routes personnalisées manquantes dans une connexion d'appairage ACTIVE:

  1. Listez les routes d'appairage dans votre réseau VPC. Dans l'onglet Routes effectives, procédez comme suit:

    1. Notez que les régions dans lesquelles les routes dynamiques sont programmées dépendent du mode de routage dynamique du réseau VPC qui exporte les routes personnalisées. Pour en savoir plus, consultez la section Effets du mode de routage dynamique. En mode de routage dynamique global, seule la route dynamique la mieux classée est programmée dans les régions qui ne correspondent pas à la région du saut suivant.

    2. Cliquez sur le bouton Afficher les routes supprimées pour l'activer, puis recherchez votre itinéraire. Pour afficher le motif de suppression d'un itinéraire, pointez sur l'icône de la colonne État. Google Cloud résout les conflits de routage par région dans le réseau VPC qui importe des routes à l'aide de l'appairage de réseaux VPC.

    3. Recherchez un avertissement indiquant que votre réseau VPC a atteint la limite du quota de routes dynamiques par région et par groupe d'appairage. Si votre réseau VPC a atteint la limite de ce quota, une ou plusieurs routes dynamiques d'appairage ne sont pas programmées. Étant donné qu'il n'est pas possible d'indiquer exactement quelles routes dynamiques d'appairage ne sont pas programmées, demandez une augmentation de la limite de quota pour les routes dynamiques par région et par groupe d'appairage.

  2. Si vous ne voyez toujours pas le trajet attendu, procédez comme suit:

    1. Passez en revue votre configuration d'appairage et mettez-la à jour si nécessaire pour qu'elle importe des routes personnalisées.

    2. Assurez-vous que la route ne correspond pas à l'un des types de routes suivants qui ne peuvent pas être échangés à l'aide de l'appairage de réseaux VPC:

      • Les sous-réseaux d'appairage, les routes statiques d'appairage et les routes dynamiques d'appairage d'un réseau VPC appairé reçues de ses autres réseaux d'appairage ne peuvent pas être échangées avec votre réseau VPC à l'aide de l'appairage de réseaux VPC.

      • Les routes statiques qui utilisent le saut suivant de la passerelle Internet par défaut et les routes statiques avec des tags réseau ne peuvent pas être échangées à l'aide de l'appairage de réseaux VPC.

      Pour en savoir plus, consultez la section Options d'échange de routes.

    3. Demandez à un administrateur réseau du réseau VPC appairé de:

      1. Listez les routes de son réseau VPC pour rechercher la route attendue.

      2. Passez en revue la configuration d'appairage et mettez-la à jour si nécessaire pour qu'elle exporte des routes personnalisées.

Le trafic destiné à un réseau appairé est interrompu

Vous pouvez utiliser les tests de connectivité pour déterminer pourquoi le trafic destiné à un réseau appairé est supprimé. Si le trafic doit être envoyé à l'aide de routes personnalisées, consultez la section Routes personnalisées manquantes.

Le trafic est envoyé vers un saut suivant inattendu

Vous pouvez utiliser les tests de connectivité pour déterminer pourquoi le trafic est envoyé vers un saut suivant inattendu. Si le trafic doit être envoyé à l'aide de routes personnalisées, consultez la section Routes personnalisées manquantes.

Impossible d'appairer avec un réseau VPC particulier

Si vous ne pouvez pas créer de configuration d'appairage avec certains réseaux VPC, il est possible qu'une règle d'administration contraigne les réseaux VPC avec lesquels votre réseau peut être appairé. Dans la règle d'administration, ajoutez le réseau à la liste des pairs autorisés ou contactez l'administrateur de votre organisation. Pour plus d'informations, reportez-vous à la documentation sur la contrainte constraints/compute.restrictVpcPeering.

Les routes IPv6 ne sont pas échangées

Tout d'abord, vérifiez que les types de pile de votre connexion d'appairage et de celle du réseau VPC appairé sont définis sur IPV4_IPV6. Si nécessaire:

  • Mettez à jour votre connexion d'appairage pour définir son type de pile sur IPV4_IPV6.
  • Demandez à un administrateur réseau du réseau VPC associé de mettre à jour sa connexion d'appairage en définissant son type de pile sur IPV4_IPV6.

Une fois que les types de pile des deux connexions d'appairage sont définis sur IPV4_IPV6, les routes de sous-réseau IPv6 (internes et externes) sont échangées. Les routes de sous-réseau IPv6 sont uniques parmi tous les réseaux VPC Google Cloud.

Pour échanger des routes personnalisées IPv6:

  • Mettez à jour votre connexion d'appairage pour importer et exporter des routes personnalisées.
  • Demandez à un administrateur réseau du réseau VPC appairé de mettre à jour sa connexion d'appairage pour importer et exporter des routes personnalisées.

Étape suivante