Peering di rete VPC

Google Cloud Il peering di rete VPC connette due reti Virtual Private Cloud (VPC) in modo che le risorse di ogni rete possano comunicare tra loro. Le reti VPC con peering possono trovarsi nello stesso progetto, in progetti diversi della stessa organizzazione o in progetti diversi di organizzazioni diverse.

Specifiche

Il peering di rete VPC ti consente di:

• Pubblica offerte Software as a Service (SaaS) tra reti VPC.
• Il peering di rete VPC funziona con Compute Engine, GKE e l'ambiente flessibile di App Engine.
  • Il peering di rete VPC supporta i cluster GKE VPC nativi tramite lo scambio di route di subnet.
  • Il peering di rete VPC supporta i cluster GKE basati su route se configurati per scambiare route statiche.

Connettività

• Il peering di rete VPC supporta la connessione di reti VPC, non di reti legacy.
• Il peering di rete VPC fornisce connettività IPv4 e IPv6 interna tra coppie di reti VPC. Il traffico di peering (traffico che scorre tra reti in peering) ha la stessa latenza, velocità effettiva e disponibilità del traffico all'interno della stessa rete VPC.
  • Il peering di rete VPC non fornisce il routing transitivo. Ad esempio, se le reti VPC net-a e net-b sono connesse tramite peering di rete VPC e le reti VPC net-a e net-c sono connesse anche tramite peering di rete VPC, il peering di rete VPC non fornisce connettività tra net-b e net-c.
  • Non puoi connettere due reti VPC in modalità automatica utilizzando il peering di rete VPC. Questo perché le reti VPC con peering scambiano sempre route di subnet che utilizzano indirizzi IPv4 interni privati e ogni subnet in una rete VPC in modalità automatica utilizza un intervallo di indirizzi IP di subnet che rientra nel blocco CIDR 10.128.0.0/9.
  • Puoi connettere una rete VPC in modalità personalizzata a una rete VPC in modalità automatica, a condizione che la rete VPC in modalità personalizzata non abbia intervalli di indirizzi IP della subnet che rientrano in 10.128.0.0/9.
• Il peering di rete VPC fornisce anche una determinata connettività IPv6 esterna agli intervalli di indirizzi IPv6 esterni di destinazione delle seguenti risorse quando le route a questi indirizzi IPv6 esterni di destinazione vengono scambiate dal peering di rete VPC:
  • Interfacce di rete dell'istanza di macchina virtuale (VM) a doppio stack e solo IPv6 (anteprima)
  • Regole di forwarding per il forwarding del protocollo esterno
  • Regole di forwarding per i bilanciatori del carico di rete passthrough esterni
• Il peering di rete VPC supporta la connettività IPv4 e IPv6. Puoi configurare il peering di rete VPC su una rete VPC che contiene subnet con intervalli di indirizzi IPv6.

Amministrazione

• Le reti VPC in peering rimangono separate a livello amministrativo. Vengono scambiate solo le route, in base alla configurazione del peering.
• Per stabilire la connettività di peering, un amministratore di rete per ogni rete VPC deve creare una connessione di peering all'altra rete VPC. Per impostazione predefinita, un amministratore di rete per una rete VPC può disconnettere una connessione di peering. Puoi modificare questo comportamento quando crei o aggiorni la connessione.
• Ogni lato di un'associazione di peering viene configurato in modo indipendente. Il peering è attivo solo se la configurazione di entrambi i lati corrisponde. Entrambe le parti possono scegliere di eliminare l'associazione di peering in qualsiasi momento; puoi modificare questo comportamento durante la creazione o l'aggiornamento della connessione.
• La creazione di una connessione di peering non ti concede ruoli Identity and Access Management (IAM) sull'altra rete VPC. Ad esempio, se disponi del ruolo Amministratore rete Compute o Amministratore sicurezza Compute per una rete, non diventi amministratore di rete o amministratore della sicurezza per l'altra rete.

Autorizzazioni IAM

• Le autorizzazioni IAM per la creazione ed eliminazione del peering di rete VPC sono incluse nel ruolo Amministratore di rete Compute (roles/compute.networkAdmin).
• Puoi utilizzare un ruolo personalizzato se include le seguenti autorizzazioni:
  • compute.networks.addPeering
  • compute.networks.updatePeering
  • compute.networks.removePeering
  • compute.networks.listPeeringRoutes

Sicurezza della rete

Le reti VPC connesse tramite peering di rete VPC scambiano solo le route in base alle opzioni di scambio di route configurate da un amministratore di rete di ciascuna rete VPC.

Il peering di rete VPC non scambia regole firewall VPC o policy firewall.

Per le regole firewall VPC:

• Le regole firewall le cui destinazioni sono definite utilizzando i tag di rete vengono risolte solo per le istanze nella rete VPC della regola firewall. Anche se un amministratore della sicurezza di una rete VPC con peering può utilizzare lo stesso tag di rete per definire le destinazioni delle regole firewall in una rete VPC con peering, le destinazioni delle regole firewall nella rete VPC con peering non includono le istanze nella tua rete VPC. Analogamente, le regole firewall in entrata le cui origini sono definite utilizzando i tag di rete vengono risolte solo per le istanze nella rete VPC della regola firewall.

• Le regole firewall le cui destinazioni sono definite utilizzando gli account di servizio vengono risolte solo per le istanze nella rete VPC della regola firewall. In base alle autorizzazioni IAM, un amministratore della sicurezza di una rete VPC con peering potrebbe essere in grado di utilizzare lo stesso service account per definire le destinazioni delle regole firewall in una rete VPC con peering, ma le destinazioni delle regole firewall nella rete VPC con peering non includono le istanze nella tua rete VPC. Analogamente, le regole firewall in entrata le cui origini sono definite utilizzando account di servizio vengono risolte solo per le istanze nella rete VPC della regola firewall.

Le regole nelle policy del firewall di rete possono utilizzare i tag sicuri, diversi dai tag di rete, per identificare destinazioni e origini:

• Se utilizzato per specificare una destinazione per una regola in entrata o in uscita in una policy firewall di rete, un tag può identificare solo le destinazioni nella rete VPC a cui è limitato l'ambito del tag.

• Se utilizzato per specificare un'origine per una regola di ingresso in una policy firewall di rete, un tag può identificare le origini sia nella rete VPC a cui è associato l'ambito del tag sia in qualsiasi rete VPC in peering connessa alla rete VPC a cui è associato l'ambito del tag. Per maggiori informazioni, consulta Tag per firewall.

Ogni rete VPC contiene regole firewall implicite. A causa delle regole firewall di negazione implicita in entrata, gli amministratori della sicurezza per ogni rete VPC devono creare regole firewall di autorizzazione in entrata o regole nelle policy firewall. Le origini di queste regole possono includere intervalli di indirizzi IP di una rete VPC con peering.

A causa delle regole firewall implicite per il traffico in uscita, non è necessario creare regole firewall per il traffico in uscita o regole nelle policy firewall per consentire ai pacchetti di raggiungere le destinazioni nella rete VPC in peering, a meno che le reti non includano regole per il traffico in uscita.

Supporto DNS

Le risorse in una rete VPC con peering non possono utilizzare nomi DNS interni di Compute Engine creati da una rete VPC locale.

Una rete VPC con peering non può utilizzare le zone private gestite da Cloud DNS autorizzate solo per una rete VPC locale. Per rendere disponibili i nomi DNS alle risorse in una rete VPC in peering, utilizza una delle seguenti tecniche:

• Utilizza zone di peering Cloud DNS.
• Autorizza (rendi visibile) la stessa zona privata gestita a tutte le reti VPC in peering.

Supporto del bilanciatore del carico interno

I client in una rete VPC locale possono accedere ai bilanciatori del carico interni in una rete VPC peer. Per ulteriori informazioni, consulta le sezioni Utilizzare il peering di rete VPC della seguente documentazione sul bilanciatore del carico:

• Bilanciatori del carico di rete passthrough interni e reti connesse
• Bilanciatori del carico di rete proxy interni e reti connesse
• Bilanciatori del carico delle applicazioni interni e reti connesse

Le reti in peering possono scambiare route statiche che utilizzano i bilanciatori del carico di rete passthrough interni come hop successivi. Per ulteriori informazioni, vedi Opzioni di scambio del percorso.

Gruppo di peering e quote

Le quote di peering VPC dipendono da un concetto chiamato gruppo di peering. Ogni rete VPC ha il proprio gruppo di peering composto da se stessa e da tutte le altre reti VPC a essa connesse tramite il peering di rete VPC. Nello scenario più semplice, se due reti VPC, net-a e net-b, sono in peering tra loro, esistono due gruppi di peering: uno dal punto di vista di net-a e l'altro dal punto di vista di net-b.

Per ulteriori informazioni sulle quote di peering di rete VPC, consulta:

• Quote per rete
• Limiti effettivi per le quote per gruppo di peering

Limitazioni

Il peering di rete VPC presenta le seguenti limitazioni.

Gli intervalli IP delle subnet non possono sovrapporsi nelle reti VPC in peering

Nessun intervallo IP di subnet può corrispondere esattamente, contenere o rientrare in un altro intervallo IP di subnet in una rete VPC con peering. Al momento del peering, Google Cloud controlla se esistono subnet con intervalli IP sovrapposti; in caso affermativo, il peering non va a buon fine. Per le reti già in peering, se esegui un'azione che comporta la creazione di una nuova route di subnet, Google Cloud richiede che la nuova route di subnet abbia un intervallo di indirizzi IP di destinazione univoco.

Prima di creare nuove subnet, puoi elencare le route dalle connessioni di peering per assicurarti che l'intervallo di indirizzi IPv4 della nuova subnet non sia già utilizzato.

Questa limitazione e i controlli corrispondenti di Google Cloudsi applicano anche a scenari come i seguenti:

• La tua rete VPC, network-1, è in peering con una seconda rete VPC, network-2.
• network-2 è anche in peering con una terza rete VPC, network-3.
• network-3 non è connessa in peering con network-1.

In questo scenario, devi coordinarti con un amministratore di rete per network-2. Chiedi all'amministratore di rete di network-2 per elencare le route di peering nella sua rete VPC.

Per saperne di più sui controlli di sovrapposizione, consulta la sezione Interazioni tra route di subnet e subnet di peering.

I nomi DNS interni non vengono risolti nelle reti in peering

I nomi DNS interno di Compute Engine creati in una rete non sono accessibili alle reti con peering. Per raggiungere le istanze VM nella rete in peering, utilizza l'indirizzo IP della VM.

I tag e i service account non sono utilizzabili nelle reti in peering

Non puoi fare riferimento a un tag o a un account di servizio relativo a una VM di una rete in peering in una regola firewall nell'altra rete in peering. Ad esempio, se una regola di ingresso in una rete in peering filtra l'origine in base a un tag, si applicherà solo al traffico VM proveniente dall'interno di quella rete, non ai relativi peer, anche se una VM in una rete in peering ha quel tag. Questa situazione vale anche per i service account.

Opzioni di scambio di route

Quando una rete VPC condivide le route locali con una rete VPC in peering, esporta le route. La rete VPC in peering può quindi importare le route. Le route di subnet, ad eccezione delle route di subnet IPv4 che utilizzano indirizzi IPv4 pubblici utilizzati privatamente, vengono sempre scambiate.

La configurazione del peering di rete VPC ti consente di controllare quanto segue:

• Se vengono scambiate route IPv6. La configurazione di una connessione in peering a doppio stack consente di scambiare route IPv6 da subnet a doppio stack e solo IPv6 (anteprima).
• Se le route per le subnet che utilizzano indirizzi IPv4 pubblici utilizzati privatamente vengono esportate o importate.
• Se le route statiche e dinamiche vengono esportate o importate.

Puoi aggiornare la configurazione prima che il peering sia stato stabilito o mentre la connettività di peering è attiva.

Il peering di rete VPC non fornisce:

• Un metodo granulare per controllare lo scambio di route di subnet specifiche, route statiche e route dinamiche.
• Supporto per lo scambio di route basate su policy.

Opzioni per lo scambio di route di subnet

La tabella seguente descrive le opzioni di scambio delle route per le route di subnet:

Tipo di route	Condizioni di esportazione delle route	Condizioni di importazione delle route
Route di subnet IPv4 (intervalli di subnet IPv4 principali e secondari) che utilizzano intervalli di indirizzi IPv4 privati	Sempre esportato Non può essere disattivato	Importato sempre Non può essere disattivato
Route di subnet IPv4 (intervalli di subnet IPv4 primari e secondari) che utilizzano intervalli di indirizzi IPv4 pubblici utilizzati privatamente	Esportato per impostazione predefinita L'esportazione è controllata utilizzando il flag --export-subnet-routes-with-public-ip	Non importato per impostazione predefinita L'importazione è controllata utilizzando il flag --import-subnet-routes-with-public-ip
Intervalli di subnet IPv6 interni (ipv6-access-type=INTERNAL)	Non esportato per impostazione predefinita L'esportazione è abilitata impostando --stack-type=IPV4_IPV6	Non importato per impostazione predefinita L'importazione è abilitata impostando --stack-type=IPV4_IPV6
Intervalli di subnet IPv6 esterni (ipv6-access-type=EXTERNAL)	Non esportato per impostazione predefinita L'esportazione è abilitata impostando --stack-type=IPV4_IPV6	Non importato per impostazione predefinita L'importazione è abilitata impostando --stack-type=IPV4_IPV6

Opzioni per lo scambio di route statiche

La tabella seguente descrive le opzioni di scambio di route per le route statiche.

Tipo di route	Condizioni di esportazione delle route	Condizioni di importazione delle route
Route statiche con tag di rete (tutti i tipi di hop successivo)	Impossibile esportare	Impossibile importare
Route statiche che utilizzano l'hop successivo del gateway internet predefinito	Impossibile esportare	Impossibile importare
Route statiche IPv4, senza tag di rete, che utilizzano un hop successivo diverso dal gateway internet predefinito	Non esportato per impostazione predefinita L'esportazione è controllata utilizzando il flag --export-custom-routes	Non importato per impostazione predefinita L'importazione è controllata utilizzando il flag --import-custom-routes
Route statiche IPv6, senza tag di rete, che utilizzano un'istanza VM come hop successivo	Non esportato per impostazione predefinita L'esportazione è controllata utilizzando il flag --export-custom-routes quando il tipo di stack del peering è impostato su --stack-type=IPV4_IPV6	Non importato per impostazione predefinita L'importazione è controllata utilizzando il flag --import-custom-routes quando il tipo di stack del peering è impostato su --stack-type=IPV4_IPV6

Opzioni per lo scambio di itinerari dinamici

La tabella seguente descrive le opzioni di scambio delle route per le route dinamiche.

Tipo di route	Condizioni di esportazione delle route	Condizioni di importazione delle route
Route IPv4 dinamiche	Non esportato per impostazione predefinita L'esportazione è controllata utilizzando il flag --export-custom-routes	Non importato per impostazione predefinita L'importazione è controllata utilizzando il flag --import-custom-routes
Route IPv6 dinamiche	Non esportato per impostazione predefinita L'esportazione è controllata utilizzando il flag --export-custom-routes quando il tipo di stack del peering è impostato su --stack-type=IPV4_IPV6	Non importato per impostazione predefinita L'importazione è controllata utilizzando il flag --import-custom-routes quando il tipo di stack del peering è impostato su --stack-type=IPV4_IPV6

Vantaggi dello scambio di route statiche e dinamiche

Quando una rete VPC esporta route statiche e dinamiche e l'altra rete VPC importa queste route, la rete di importazione può inviare pacchetti direttamente all'hop successivo per ogni route statica o dinamica importata il cui hop successivo si trova nella rete VPC peer.

Un amministratore di rete di una rete VPC locale controlla l'esportazione delle route statiche e dinamiche di quella rete, insieme, utilizzando il flag --export-custom-routes. Un amministratore di rete della rete VPC con peering corrispondente controlla l'importazione di queste route statiche e dinamiche utilizzando il flag --import-custom-routes. Per saperne di più, vedi Route ignorate, Interazioni tra route di subnet e subnet di peering e Interazioni tra route di subnet e route statiche.

L'importazione di route statiche e dinamiche da una rete VPC in peering può essere utile nei seguenti scenari:

• Se la rete VPC con peering contiene cluster GKE basati su route e devi inviare pacchetti ai pod in questi cluster. Gli indirizzi IP dei pod vengono implementati come intervalli di destinazione per le route statiche che si trovano nella rete VPC in peering.

• Se devi fornire connettività tra una rete on-premise e una rete VPC in peering. Supponiamo che una rete VPC locale contenga route dinamiche con un tunnel Cloud VPN, un collegamento Cloud Interconnect (VLAN) o un'appliance router che si connette a una rete on-premise. Per fornire un percorso dalla rete VPC in peering alla rete on-premise, un amministratore di rete per la rete VPC locale abilita l'esportazione di route personalizzate e un amministratore di rete per la rete VPC in peering abilita l'importazione di route personalizzate. Per fornire un percorso dalla rete on-premise alla rete VPC con peering, un amministratore di rete per la rete VPC locale deve configurare la modalità di annuncio personalizzato del router Cloud sul router Cloud che gestisce la sessione BGP per il tunnel Cloud VPN, il collegamento Cloud Interconnect (VLAN) o l'appliance router che si connette alla rete on-premise. Il contenuto di queste route pubblicizzate personalizzate deve includere gli intervalli di indirizzi IP della subnet della rete VPC in peering.

Route ignorate

Anche quando una rete VPC importa una route, può ignorarla in situazioni come le seguenti:

• Quando la rete VPC locale ha una route con una destinazione identica o più specifica (maschera di subnet più lunga), la rete VPC locale utilizza sempre la propria route locale.

• Quando la rete VPC locale non contiene la route più specifica per la destinazione di un pacchetto, ma due o più reti VPC in peering contengono la stessa destinazione più specifica per il pacchetto,Google Cloud utilizza un algoritmo interno per selezionare un hop successivo da una sola delle reti VPC in peering. Questa selezione avviene prima che venga presa in considerazione la priorità del percorso e non puoi configurare il comportamento. Come best practice, evita questa configurazione perché l'aggiunta o la rimozione di reti VPC con peering può comportare modifiche indesiderate all'ordine di routing.

Per maggiori dettagli sulle situazioni precedenti, vedi Ordine di routing.

Per i peering a doppio stack, se una rete VPC locale che importa route IPv6 non ha subnet a doppio stack o solo IPv6 (anteprima), non è possibile utilizzare nessuna delle route IPv6 che riceve dalle reti VPC in peering. Inoltre, se è stato impostato il vincolo dei criteri dell'organizzazione constraints/compute.disableAllIpv6, un amministratore di rete potrebbe non essere in grado di creare subnet con intervalli di indirizzi IPv6.

Interazioni tra route di subnet e route di subnet di peering

Le route di subnet IPv4 nelle reti VPC in peering non possono sovrapporsi:

• Il peering vieta le route di subnet IPv4 identiche. Ad esempio, due reti VPC in peering non possono avere entrambe una route di subnet IPv4 la cui destinazione è 100.64.0.0/10.
• Il peering impedisce che una route di subnet sia contenuta in una route di subnet di peering. Ad esempio, se la rete VPC locale ha una route subnet la cui destinazione è 100.64.0.0/24, nessuna delle reti VPC in peering può avere una route subnet la cui destinazione è 100.64.0.0/10.

Google Cloud applica le condizioni precedenti per le route di subnet IPv4 nei seguenti casi:

• Quando connetti le reti VPC per la prima volta utilizzando il peering di rete VPC.
• Mentre le reti sono in peering.
• Quando apporti una modifica alla configurazione del peering, ad esempio l'attivazione dell'importazione di route IPv4 di subnet con indirizzi IP pubblici utilizzati privatamente.

Durante il peering delle reti, Google Cloud restituisce un errore se una delle seguenti operazioni comporta una sovrapposizione:

• Aggiunta di una nuova subnet.

• Aggiunta di un intervallo di indirizzi IPv4 secondari della subnet.

• Espansione dell'intervallo di indirizzi IPv4 principale della subnet.

Le route di subnet IPv6 (sia interne che esterne) sono univoche per definizione. Due reti VPC non possono utilizzare gli stessi intervalli di subnet IPv6 interni o esterni. Ad esempio, se una rete VPC utilizza fc:1000:1000:1000::/64 come intervallo di subnet IPv6, nessun'altra rete VPC in Google Cloud può utilizzare fc:1000:1000:1000::/64, indipendentemente dal fatto che le reti VPC siano connesse tramite il peering di rete VPC.

Interazioni tra subnet e route statiche

Google Cloud richiede che le route subnet e le route subnet di peering abbiano gli intervalli IPv4 o IPv6 di destinazione più specifici. All'interno di qualsiasi rete VPC, una route statica locale non può avere una destinazione che corrisponda esattamente o rientri in una route di subnet locale. Per una discussione più dettagliata su questo scenario, vedi Interazioni con le route statiche.

Questo concetto viene esteso al peering di rete VPC dalle due regole seguenti:

• Una route statica locale non può avere una destinazione che corrisponda esattamente a una route della subnet di peering o che rientri in una route della subnet di peering. Se esiste una route statica locale, Google Cloud applica quanto segue:

  • Non puoi stabilire una nuova connessione di peering a una rete VPC che contiene già una route di subnet che corrisponde esattamente o contiene la destinazione della route statica locale se la configurazione del peering comporta l'importazione della route di subnet in conflitto. Ad esempio:

    • Se esiste una route statica locale con la destinazione 10.0.0.0/24, non puoi stabilire una nuova connessione di peering a una rete VPC che contiene una route di subnet IPv4 la cui destinazione corrisponde esattamente a 10.0.0.0/24 o contiene 10.0.0.0/24 (ad esempio, 10.0.0.0/8).

    • Quando il tipo di stack di peering previsto è IPV4_IPV6, se esiste una route statica locale con la destinazione 2001:0db8:0a0b:0c0d::/96, non puoi stabilire una nuova connessione di peering a una rete VPC che contiene una route di subnet IPv6 la cui destinazione corrisponde esattamente a 2001:0db8:0a0b:0c0d::/96 o la contiene. In questa situazione, l'unico intervallo di indirizzi IPv6 della subnet possibile è 2001:0db8:0a0b:0c0d::/64 perché gli intervalli di indirizzi IPv6 della subnet in Google Cloud devono utilizzare lunghezze di subnet mask a 64 bit.

  • Non puoi aggiornare una connessione di peering esistente se la configurazione di peering aggiornata comporta l'importazione della route di subnet in conflitto. Ad esempio:

    • Supponiamo che due reti VPC siano già in peering, ma non esportino e importino route di subnet IPv4 utilizzando intervalli di indirizzi IPv4 pubblici utilizzati privatamente. Nella prima rete VPC esiste una route statica locale con la destinazione 11.0.0.0/24 e nella rete VPC in peering esiste una route di subnet con la destinazione 11.0.0.0/8. Non puoi configurare contemporaneamente la rete VPC in peering per esportare route di subnet utilizzando indirizzi IPv4 pubblici utilizzati privatamente e configurare la prima rete VPC per importare route di subnet utilizzando indirizzi IPv4 pubblici utilizzati privatamente.

    • Supponiamo che due reti VPC siano già in peering e che il tipo di stack di peering sia solo IPv4. Nella prima rete VPC esiste una route statica locale con la destinazione 2001:0db8:0a0b:0c0d::/96 e nella rete VPC in peering esiste una route di subnet IPv6 con la destinazione 2001:0db8:0a0b:0c0d::/64. Non puoi modificare il tipo di stack di peering in IPV4_IPV6.

  • Al contrario, se le reti VPC sono già connesse tramite il peering di rete VPC, non puoi eseguire le seguenti operazioni:

    • Crea una nuova route statica locale la cui destinazione corrisponda esattamente o rientri in una route di subnet di peering importata.

    • Crea un nuovo intervallo di indirizzi di subnet nella rete VPC in peering se questo intervallo corrisponde esattamente a una route statica locale esistente o la contiene.

• Una route statica di peering non può avere una destinazione che corrisponda esattamente o rientri in una route della subnet locale. Se esiste una route di subnet locale, Google Cloud proibisce quanto segue:

  • Non puoi stabilire una nuova connessione di peering a una rete VPC che contiene già una route statica che corrisponde esattamente o rientra nella destinazione della route subnet della rete VPC locale, se la configurazione di peering comporta l'importazione della route statica dal peer. Ad esempio:

    • Se esiste una route di subnet locale per 10.0.0.0/8, non puoi stabilire una connessione di peering a una rete VPC con una route statica la cui destinazione corrisponde esattamente a 10.0.0.0/8 o rientra in 10.0.0.0/8 (ad esempio, 10.0.0.0/24).

    • Quando il tipo di stack di peering previsto è IPV4_IPV6, se esiste una route di subnet locale per 2001:0db8:0a0b:0c0d::/64, non puoi stabilire una connessione di peering a una rete VPC con una route statica la cui destinazione corrisponde esattamente a 2001:0db8:0a0b:0c0d::/64 o rientra in 2001:0db8:0a0b:0c0d::/64 (ad esempio, 2001:0db8:0a0b:0c0d::/96).

  • Non puoi aggiornare una connessione di peering esistente se la configurazione di peering aggiornata comporta l'importazione della route statica in conflitto.

  • Al contrario, se le reti VPC sono già connesse tramite il peering di rete VPC, non puoi eseguire le seguenti operazioni:

    • Crea una nuova route di subnet locale la cui destinazione corrisponda esattamente a una route statica di peering importata o la contenga.
    • Crea una nuova route statica nella rete VPC in peering la cui destinazione corrisponda esattamente o rientri in una route di subnet locale esistente.

Effetti della modalità di routing dinamico

La modalità di routing dinamico di una rete VPC determina le regioni in cui i prefissi appresi dai router Cloud in quella rete vengono applicati come route dinamiche locali. Per maggiori dettagli su questo comportamento, vedi Effetti della modalità di routing dinamico.

Questo concetto viene esteso al peering di rete VPC. La modalità di routing dinamico della rete VPC di esportazione, ovvero la rete che contiene i router cloud che hanno appreso i prefissi per queste route dinamiche, determina le regioni in cui le route dinamiche di peering possono essere programmate nelle reti peer:

• Se la modalità di routing dinamico della rete VPC di esportazione è regionale, questa rete esporta le route dinamiche solo nella stessa regione dei router Cloud che hanno appreso i prefissi.

• Se la modalità di routing dinamico della rete VPC di esportazione è globale, la rete esporta le route dinamiche in tutte le regioni.

In entrambi i casi, la modalità di routing dinamico della rete VPC di importazione non è pertinente.

Per un esempio che illustra questo comportamento, consulta Rete VPC locale e rete VPC in peering con connettività on-premise.

Interazioni tra subnet e route dinamiche

I conflitti tra route di subnet locali o di peering e route dinamiche vengono risolti come descritto in Interazioni con le route dinamiche.

Esempi di peering di rete VPC

Gli esempi seguenti mostrano due scenari comuni di peering di rete VPC.

Rete VPC locale e rete VPC in peering con connettività on-premise

In questo esempio, è configurato il seguente peering di rete:

• network-a è connessa in peering a network-b e network-b è connessa in peering a network-a.
• network-a contiene due subnet, ciascuna in una regione separata. network-b contiene una singola subnet.
• network-b è connesso a una rete on-premise con tunnel Cloud VPN utilizzando il routing dinamico. Gli stessi principi valgono se i tunnel vengono sostituiti con collegamenti VLAN Cloud Interconnect.
• La connessione di peering per network-b è configurata con il flag --export-custom-routes e la connessione di peering per network-a è configurata con il flag --import-custom-routes.

Per fornire la connettività on-premise alle subnet in network-a e network-b, il router Cloud in network-b deve essere configurato per utilizzare la modalità di annuncio personalizzata. Ad esempio, router Cloud pubblicizza solo il prefisso personalizzato, custom-prefix-1, che include gli intervalli di subnet da network-b e gli intervalli di subnet da network-a.

Il router Cloud in us-west1 apprende on-premises-prefix da un router on-premise. on-premises-prefix non crea alcun conflitto perché è più ampio delle route di subnet e di peering subnet. In altre parole, on-premises-prefix non corrisponde esattamente e non rientra in alcuna route di subnet o subnet di peering.

La tabella seguente riepiloga la configurazione di rete specificata nell'esempio precedente:

Nome rete	Componente Networking	Intervallo IPv4	Intervallo IPv6	Regione
network-a	subnet-a	10.0.0.0/24	fc:1000:1000:1000::/64	us-west1
network-a	subnet-b	10.0.1.0/24	fc:1000:1000:1001::/64	europe-north 1
network-b	subnet-c	10.0.2.0/23	fc:1000:1000:1002::/64	us-west1
network-b	Router Cloud	10.0.0.0/22	fc:1000:1000:1000::/64	us-west1
Rete on-premise	Router on-premise	10.0.0.0/8	fc:1000:1000:1000::/56	N/D

Indipendentemente dalla modalità di routing dinamico di network-a, si applicano le seguenti caratteristiche di routing:

• Quando la modalità di routing dinamico di network-b è globale, On-premises prefix apprese dal router Cloud in network-b vengono aggiunte come route dinamiche in tutte le regioni di network-b e come route dinamiche di peering in tutte le regioni di network-a. Se le regole firewall sono configurate correttamente, vm-a1, vm-a2 e vm-b possono comunicare con una risorsa on-premise con indirizzo IPv4 10.5.6.7 (o indirizzo IPv6 fc:1000:1000:10a0:29b::).

• Se la modalità di routing dinamico di network-b viene modificata in regionale, le route On-premises prefix apprese dal router Cloud in network-b vengono aggiunte solo come route dinamiche nella regione us-west1 di network-b e come route dinamiche di peering nella regione us-west1 di network-a. Se le regole firewall sono configurate correttamente, solo vm-a1 e vm-b possono comunicare con una risorsa on-premise con indirizzo IPv4 10.5.6.7 (o indirizzo IPv6 fc:1000:1000:10a0:29b::) perché è l'unica VM nella stessa regione di router Cloud.

Rete di transito con più peering

Considera uno scenario in cui network-b è connesso a una rete on-premise e funge da rete di transito per altre due reti, network-a e network-c. Per consentire alle VM in entrambe queste reti di accedere a network-b e alla rete on-premise connessa utilizzando solo indirizzi IP interni, è necessaria la seguente configurazione:

• network-a è connessa in peering a network-b e network-b è connessa in peering a network-a.
• network-c è connessa in peering a network-b e network-b è connessa in peering a network-c.
• network-b è connesso a una rete on-premise con tunnel Cloud VPN che utilizzano il routing dinamico. Gli stessi principi valgono se i tunnel sono stati sostituiti con collegamenti VLAN Cloud Interconnect.
  • Per fornire la connettività dall'ambiente on-premise alle subnet in network-a, network-b e network-c, il router Cloud in network-b è configurato per utilizzare la modalità di annuncio personalizzata. Ad esempio, router Cloud annuncia le route di subnet da network-b più i prefissi personalizzati che coprono le route di subnet in network-a e network-c.
  • Soggette alle interazioni tra subnet e route dinamiche, il router Cloud in network-b apprende i prefissi on-premise e crea route dinamiche in network-b.
• Le connessioni di peering da network-b a network-a e da network-b a network-c sono configurate con il flag --export-custom-routes. Le connessioni di peering da network-a a network-b e da network-c a network-b sono configurate con il flag --import-custom-routes.
  • Soggetto alle interazioni tra subnet e route dinamiche, il router Cloud in network-b crea anche route dinamiche di peering in network-a e network-c.

Se i firewall sono configurati correttamente, sono possibili i seguenti scenari di connettività:

• Le istanze VM in network-a possono raggiungere altre VM in network-b e sistemi on-premise.
• Le istanze VM in network-c possono raggiungere altre VM in network-b e sistemi on-premise.
• Le istanze VM in network-b possono raggiungere altre VM sia in network-a che in network-c, nonché i sistemi nella rete on-premise.

Poiché il peering di rete VPC non è transitivo, le istanze VM in network-a e network-c non possono comunicare tra loro a meno che tu non connetta anche le reti network-a e network-c utilizzando il peering di rete VPC.

Prezzi

Al peering di rete VPC si applicano i prezzi di rete standard.

Passaggi successivi

• Per configurare e risolvere i problemi relativi al peering di rete VPC, consulta Configurazione e gestione del peering di rete VPC.