הגדרה וניהול של קישור בין רשתות VPC שכנות (peering)

Cloud de Confiance by S3NS קישור בין רשתות VPC מאפשר קישוריות של כתובות IP פנימיות בין שתי רשתות של ענן וירטואלי פרטי (VPC), בלי קשר לשאלה אם הן שייכות לאותו פרויקט או לאותו ארגון. Cloud de Confiance קישור בין רשתות שכנות תומך בקישוריות בין רשתות עם כל שילוב של רשתות משנה מסוג IPv4 בלבד, סטאק כפול ו-IPv6 בלבד.

לפני שמתחילים

הרשאות IAM

צריך לוודא שיש לכם את אחד מהתפקידים הבאים בפרויקט:

  • התפקיד Compute Network Admin (roles/compute.networkAdmin)
  • תפקיד בהתאמה אישית שכולל את ההרשאות הבאות:
    • compute.networks.addPeering
    • compute.networks.updatePeering
    • compute.networks.removePeering
    • compute.networks.listPeeringRoutes

יצירת הגדרת קישור בין רשתות שכנות (peering)

לפני שמתחילים, צריך לדעת את השם של רשת ה-VPC שאליה רוצים ליצור שותפות. אם הרשת הזו נמצאת בפרויקט אחר, צריך גם את מזהה הפרויקט שלה. אי אפשר לפרט בקשות ליצירת peering ברשת VPC. במקרה הצורך, אפשר לבקש מהאדמין של הרשת שאיתה רוצים ליצור שותפות את שם הרשת ואת מזהה הפרויקט.

הרשת שלכם והרשת השנייה מחוברות אחרי שלכל אחת מהן יש הגדרת שותפות שמפנה לרשת השנייה. מידע נוסף זמין במאמר מידע על חיבורי Peering.

Cloud de Confiance מאפשרת לבצע רק פעולת פירינג אחת בכל פעם ברשתות שכנות. לדוגמה, אם מגדירים שירותי Peering עם רשת אחת ומנסים להגדיר שירותי Peering עם רשת אחרת מיד לאחר מכן, הפעולה תיכשל ותוצג השגיאה הבאה: Error: There is a peering operation in progress on the local or peer network. Try again later.

המסוף

מבצעים את השלבים הבאים בכל צד של חיבור ה-Peering.

  1. נכנסים לדף VPC Network Peering במסוף Cloud de Confiance .

    מעבר ל-VPC Network Peering

  2. לוחצים על יצירת קישור.

  3. לוחצים על Continue.

  4. בשדה Peering connection name (שם חיבור ה-Peering), מזינים שם להגדרת ה-Peering.

  5. בשדה Your VPC network (רשת ה-VPC שלכם), בוחרים את הרשת שרוצים ליצור איתה שותפות.

  6. בקטע Peered VPC network (רשת VPC עם קישור), בוחרים את הרשת שאליה רוצים ליצור קישור:

    • אם הרשת שרוצים ליצור איתה שותפות נמצאת באותו פרויקט, בוחרים באפשרות In project [name-of-your-project] (בפרויקט [שם הפרויקט]) ואז בוחרים את הרשת שרוצים ליצור איתה שותפות.
    • אם הרשת שרוצים ליצור איתה שותפות נמצאת בפרויקט אחר, בוחרים באפשרות בפרויקט אחר. מציינים את מזהה הפרויקט שכולל את הרשת שרוצים ליצור איתה שותפות ואת השם של רשת ה-VPC.

  7. בוחרים את גרסת ה-IP של המסלולים שרוצים להחליף בין הרשתות המקושרות:

    • IPv4 (single-stack): החלפת מסלולי IPv4 בלבד. גם ברשת העמיתים צריך להפעיל את האפשרות הזו.
    • IPv4 ו-IPv6 (dual-stack): החלפת נתיבים של IPv4 ו-IPv6. גם ברשת העמיתים צריך להפעיל את האפשרות הזו.

  8. כדי להחליף מסלולים מותאמים אישית של IPv4, בקטע Exchange IPv4 custom routes (החלפת מסלולים מותאמים אישית של IPv4), בוחרים אחת מהאפשרויות הבאות או את שתיהן:

    • ייבוא של נתיבים מותאמים אישית: ייבוא של נתיבים מותאמים אישית מהרשת של עמיתים. כדי לייבא נתיבים, הרשת העמיתית צריכה לאפשר ייצוא של נתיבים מותאמים אישית.
    • ייצוא של נתיבים מותאמים אישית: ייצוא של נתיבים מותאמים אישית לרשת העמיתים. כדי לייצא נתיבים, צריך להפעיל ברשת העמיתים ייבוא של נתיבים מותאמים אישית.

  9. אם ברשת שלכם או ברשת העמיתה יש טווחי IPv4 ציבוריים שנעשה בהם שימוש פרטי בתת-הרשתות, המסלולים האלה מיוצאים כברירת מחדל, אבל לא מיובאים כברירת מחדל.

    כדי לייבא נתיבי תת-רשת IPv4 ציבוריים שמשמשים לשימוש פרטי, בקטע Exchange subnet routes with privately used public IPv4 addresses (החלפת נתיבי תת-רשת עם כתובות IPv4 ציבוריות שמשמשות לשימוש פרטי), בוחרים באפשרות Import subnet routes with public IP (ייבוא נתיבי תת-רשת עם IP גלוי).

  10. בקטע Advanced options (אפשרויות מתקדמות), בוחרים את אסטרטגיית העדכון של חיבור ה-Peering:

    • עצמאי (ברירת מחדל): כשבוחרים באפשרות הזו, כל אחד מהצדדים של החיבור יכול לעדכן או למחוק את החיבור בכל שלב. מידע נוסף זמין במאמר בנושא מצב חיבור.
    • קונצנזוס: כשבוחרים באפשרות הזו, כדי לעדכן או למחוק את החיבור נדרש אישור מרשת ה-Peering. מידע נוסף זמין במאמר בנושא מצב חיבור.

  11. לוחצים על יצירה.

gcloud

משתמשים בפקודה gcloud compute networks peerings create.

אפשר ליצור הגדרת Peering באמצעות הגדרת ברירת המחדל, או להתאים אישית את ההגדרה.

יצירת הגדרת שיוך כברירת מחדל

כדי ליצור הגדרת ברירת מחדל של קישור, מריצים את הפקודה הבאה:

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • PEERING_NAME: השם של הגדרות הפירינג
  • NETWORK: השם של הרשת בפרויקט שרוצים ליצור איתה שותפות.

  • PEER_PROJECT_ID: מזהה הפרויקט שמכיל את הרשת שרוצים ליצור איתה שותפות.

    אם רשת ה-peer נמצאת באותו פרויקט כמו הרשת שלכם, הדגל הזה הוא אופציונלי.

  • PEER_NETWORK_NAME: השם של הרשת שרוצים ליצור איתה שותפות

לדוגמה, כדי ליצור קשר בין network-a ב-project-a לבין network-b ב-project-b, מבצעים את הפעולות הבאות:

  1. יוצרים הגדרת peering עבור network-a.

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b

  2. יוצרים את הגדרת הקישור בין רשתות שכנות (peering) המתאימה ל-network-b. בדרך כלל אדמין הרשת מבצע את השלב הזה עבור network-b.

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a

מצב ה-peering משתנה ל-ACTIVE בשתי הרשתות.

התאמה אישית של הגדרת שיתוף פעולה

כדי להתאים אישית את הגדרות הפירינג, אפשר להשתמש בפרמטרים האופציונליים הבאים:

  • --stack-type מגדיר את סוג ה-stack לחיבור ה-peering. כברירת מחדל, מוחלפות רק נתיבי IPv4, וסוג הערימה מוגדר ל-IPV4_ONLY. כדי להחליף מסלולים של IPv4 ו-IPv6, צריך לציין IPV4_IPV6 בשני הצדדים של החיבור.
  • --import-custom-routes אומר לרשת לקבל מסלולים מותאמים אישית מהרשת המקושרת. קודם צריך לייצא את המסלולים מהרשת המקבילה.
  • --export-custom-routes אומר לרשת לייצא נתיבים מותאמים אישית לרשת שעוברת איתה פירינג. צריך להגדיר את הרשת המקבילה כך שהיא תייבא את המסלולים.
  • --import-subnet-routes-with-public-ip אומר לרשת לקבל מסלולי רשת משנה מהרשת המקבילה אם לרשת הזו יש כתובות IPv4 ציבוריות לשימוש פרטי ברשתות המשנה שלה. קודם צריך לייצא את המסלולים מהרשת המקבילה.
  • --export-subnet-routes-with-public-ip אומר לרשת לייצא מסלולי תת-רשת שמכילים כתובות IPv4 ציבוריות לשימוש פרטי. צריך להגדיר את הרשת המקבילה כך שהיא תייבא את המסלולים.
  • --update-strategy מגדיר את אסטרטגיית העדכון לחיבור ה-Peering. כברירת מחדל, אסטרטגיית העדכון היא INDEPENDENT. כדי להגדיר את החיבור לשימוש במצב קונצנזוס, מציינים CONSENSUS בשני הצדדים של החיבור. מידע נוסף זמין במאמר בנושא מצב חיבור.
דוגמה: החלפת נתיבים מותאמים אישית בחיבור פירינג

כדי להפעיל את network-a ב-project-a ואת network-b ב-project-b כדי להחליף מסלולים בהתאמה אישית, צריך לבצע את הפעולות הבאות כשיוצרים את חיבור ה-Peering:

  1. יוצרים הגדרת peering עבור network-a.

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --import-custom-routes \
    --export-custom-routes

  2. יוצרים את הגדרת הקישור בין רשתות שכנות (peering) המתאימה ל-network-b. בדרך כלל האדמין של הרשת מבצע את השלב הזה עבור network-b.

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a \
    --import-custom-routes \
    --export-custom-routes

מצב ה-peering משתנה ל-ACTIVE בשתי הרשתות. מידע נוסף על הדוגמה הזו זמין במאמר מדריך למתחילים: יצירת רשתות VPC מקבילות.

דוגמה: יצירת חיבור פירינג במצב קונצנזוס

כדי ליצור חיבור פירינג במצב קונצנזוס, מגדירים את אסטרטגיית העדכון ל-CONSENSUS. בדוגמה הזו, מגדירים את network-a ב-project-a כרשת עמיתים ל-network-b ב-project-b.

  1. יוצרים הגדרת peering עבור network-a.

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --update-strategy=CONSENSUS

  2. יוצרים את הגדרת הקישור בין רשתות שכנות (peering) המתאימה ל-network-b. בדרך כלל האדמין של הרשת מבצע את השלב הזה עבור network-b.

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a \
    --update-strategy=CONSENSUS

מצב ה-peering משתנה ל-ACTIVE בשתי הרשתות.

Terraform

אתם יכולים להשתמש במודול של Terraform כדי ליצור הגדרת Peering.

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 16.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

לשתי רשתות ה-VPC המקושרות, כל קישור עצמי כולל מזהה פרויקט ואת השם של רשת ה-VPC. כדי לקבל את הקישור העצמי של רשת VPC, אפשר להשתמש בפקודה gcloud compute networks describe או בשיטה networks.get בכל פרויקט של רשת VPC.

כשיוצרים peering מ-local_network אל peer_network, יחסי ה-peering הם דו-כיווניים. הקישור בין peer_network ל-local_network נוצר באופן אוטומטי.

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.

בדיקה שהתעבורה עוברת בין רשתות VPC שכנות (peering)

אפשר להשתמש בVPC Flow Logs כדי לראות את תעבורת הרשת שנשלחת ממכונות וירטואליות ומתקבלת בהן. אפשר גם להשתמש בניהול כללי חומת אש כדי לוודא שתעבורת הנתונים עוברת בין הרשתות. יוצרים כללי חומת אש של VPC שמאפשרים (או מונעים) תעבורת נתונים בין הרשתות המקושרות, ומפעילים את ניהול כללי חומת אש עבור הכללים האלה. אחר כך תוכלו לראות אילו כללים בחומת האש הופעלו באמצעות Cloud Logging.

עדכון של חיבור peering

כשמעדכנים חיבור פירינג קיים, אפשר לבצע את הפעולות הבאות:

  • שינוי ההגדרה של ייצוא או ייבוא של מסלולים מותאמים אישית או של מסלולי רשת משנה של IPv4 ציבורי לשימוש פרטי, אל או מהרשת הווירטואלית הפרטית (VPC) המקבילה.
  • משנים את ההגדרה של החלפת מסלולי IPv6 בין הרשתות המקושרות ב-peering.
  • כדי לעדכן את מצב חיבור ה-peering מחיבור עצמאי (ברירת מחדל) לחיבור בהסכמה, צריך לשנות את אסטרטגיית העדכון של החיבור. לפני שמשנים את אסטרטגיית העדכון, חשוב לעיין בדרישות של מצב הסכמה.

הרשת שלכם מייבאת נתיבים רק אם רשת ה-Peering מייצאת גם את הנתיבים, ורשת ה-Peering מקבלת נתיבים רק אם היא מייבאת אותם.

עדכון חיבור (מצב עצמאי)

המסוף

  1. נכנסים לדף VPC Network Peering במסוף Cloud de Confiance .

    מעבר ל-VPC Network Peering

  2. בוחרים את חיבור ה-Peering שרוצים לעדכן.

  3. לוחצים על Edit.

  4. כדי לעדכן את גרסת ה-IP של המסלולים שרוצים להחליף בין הרשתות המקושרות, בוחרים באחת מהאפשרויות הבאות:

    • IPv4 (single-stack): החלפת מסלולי IPv4 בלבד. גם ברשת העמיתים צריך להפעיל את האפשרות הזו.
    • IPv4 ו-IPv6 (dual-stack): החלפת נתיבים של IPv4 ו-IPv6 גם ברשת העמיתים צריך להפעיל את האפשרות הזו.

  5. כדי להחליף מסלולים מותאמים אישית של IPv4, בקטע Exchange IPv4 custom routes (החלפת מסלולים מותאמים אישית של IPv4), בוחרים אחת מהאפשרויות הבאות או את שתיהן:

    • ייבוא של נתיבים מותאמים אישית: ייבוא של נתיבים מותאמים אישית מהרשת של עמיתים. כדי לייבא נתיבים, הרשת העמיתית צריכה לאפשר ייצוא של נתיבים מותאמים אישית.
    • ייצוא של נתיבים מותאמים אישית: ייצוא של נתיבים מותאמים אישית לרשת העמיתים. כדי לייצא נתיבים, צריך להפעיל ברשת העמיתים ייבוא של נתיבים מותאמים אישית.

  6. אם ברשת שלכם או ברשת העמיתה יש טווחי IPv4 ציבוריים שנעשה בהם שימוש פרטי בתתי-הרשתות, המסלולים האלה מיוצאים כברירת מחדל, אבל לא מיובאים כברירת מחדל.

    כדי לייבא נתיבי תת-רשת IPv4 ציבוריים שמשמשים לשימוש פרטי, בקטע Exchange subnet routes with privately used public IPv4 addresses (החלפת נתיבי תת-רשת עם כתובות IPv4 ציבוריות שמשמשות לשימוש פרטי), בוחרים באפשרות Import subnet routes with public IP (ייבוא נתיבי תת-רשת עם IP גלוי).

  7. כדי לעדכן את חיבור ה-Peering ממצב עצמאי (ברירת מחדל) למצב הסכמה, בקטע אפשרויות מתקדמות, באפשרות עדכון אסטרטגיה, בוחרים באפשרות הסכמה. אחרי שלוחצים על שמירה, אסטרטגיית העדכון משתנה לקונצנזוס בהגדרה המקומית.

    כדי להשלים את בקשת העדכון, אדמין ברשת העמיתים צריך לאשר את הבקשה על ידי שינוי אסטרטגיית העדכון להסכמה בתצורת העמיתים.

  8. לוחצים על Save.

gcloud

משתמשים בפקודה gcloud compute networks peerings update.

אפשר להשתמש בפרמטרים האופציונליים הבאים:

  • --stack-type מגדיר את סוג ה-stack לחיבור ה-peering. כברירת מחדל, מתבצע חילוף רק של נתיבי IPv4.
    • כדי להחליף מסלולים של IPv4 ו-IPv6, מציינים IPV4_IPV6 בשתי הרשתות.
    • כדי להשבית את החלפת מסלולי IPv6, מציינים IPV4_ONLY בשתי הרשתות.

  • --import-custom-routes אומר לרשת לקבל מסלולים מותאמים אישית מהרשת המקבילה. קודם צריך לייצא את המסלולים מהרשת המקבילה.

    כדי להשבית את האפשרות הזו, משתמשים באפשרות --no-import-custom-routes.

  • --export-custom-routes אומר לרשת לייצא נתיבים מותאמים אישית לרשת שעוברת תהליך של שיתוף פעולה. צריך להגדיר את הרשת המקבילה כך שהיא תייבא את המסלולים.

    כדי להשבית את האפשרות הזו, משתמשים באפשרות --no-export-custom-routes.

  • --import-subnet-routes-with-public-ip אומר לרשת לקבל מסלולי רשת משנה מהרשת המקבילה אם הרשת הזו משתמשת בכתובות IPv4 ציבוריות לשימוש פרטי ברשתות המשנה שלה. קודם צריך לייצא את המסלולים מהרשת המקבילה.

    כדי להשבית את האפשרות הזו, משתמשים ב---no-import-subnet-routes-with-public-ip.

  • --export-subnet-routes-with-public-ip אומר לרשת לייצא נתיבי תת-רשת שמכילים כתובות IPv4 ציבוריות לשימוש פרטי. צריך להגדיר את הרשתות המקבילות כך שיובאו המסלולים.

    כדי להשבית את האפשרות הזו, משתמשים באפשרות --no-export-subnet-routes-with-public-ip.

  • --update-strategy מגדיר את אסטרטגיית העדכון של חיבור הפירינג. כברירת מחדל, אסטרטגיית העדכון היא INDEPENDENT. כדי להגדיר את החיבור לשימוש במצב קונצנזוס, צריך לציין CONSENSUS בשני הצדדים של החיבור.

    כדי לבטל בקשת עדכון בהמתנה להגדרת מצב ההסכמה, צריך לאפס את אסטרטגיית העדכון ל-INDEPENDENT. מידע נוסף זמין במאמר בנושא מצב חיבור.

בדוגמה הבאה אפשר לראות איך לעדכן חיבור פירינג כדי להחליף מסלולים של IPv4 ו-IPv6.

  1. מעדכנים את סוג המערך של הרשת המקומית:

    gcloud compute networks peerings update PEERING_NAME_1 \
    --network=NETWORK_1 \
    --stack-type=IPV4_IPV6

  2. מעדכנים את סוג ה-stack עבור רשת ה-peer. בדרך כלל האדמין של הרשת מבצע את השלב הזה.

    gcloud compute networks peerings update PEERING_NAME_2 \
    --network=NETWORK_2 \
    --stack-type=IPV4_IPV6

מחליפים את מה שכתוב בשדות הבאים:

  • PEERING_NAME_1: השם של הגדרות ה-peering המקומי
  • NETWORK_1: השם של הרשת המקומית
  • PEERING_NAME_2: השם של ההגדרה התואמת לרשת העמיתה
  • NETWORK_2: השם של רשת הפירינג

עדכון חיבור למצב קונצנזוס

כדי לעדכן חיבור peering ממצב עצמאי (ברירת מחדל) למצב קונצנזוס, צריך לשנות את אסטרטגיית העדכון של החיבור. לפני שמשנים את אסטרטגיית העדכון, חשוב לעיין בדרישות של מצב הסכמה.

  1. מעדכנים את הגדרת ה-peering המקומי:

    gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    --update-strategy=CONSENSUS

    מחליפים את מה שכתוב בשדות הבאים:

    • PEERING_NAME: השם של הגדרת הפירינג הקיימת
    • NETWORK: השם של הרשת בפרויקט שלכם שמקושרת

  2. כדי לראות את הסטטוס של בקשת העדכון:

    gcloud compute networks describe NETWORK

    מחליפים את NETWORK בשם הרשת בפרויקט שלכם שמקושרת לרשת אחרת.

    בפלט, השדה updateStatus צריך להציג את הסטטוס הבא:

    • בהגדרות של הרשת המקומית, PENDING_PEER_ACKNOWLEDGMENT
    • בהגדרה המתאימה של רשת העמיתים, PENDING_LOCAL_ACKNOWLEDGMENT

  3. מאשרים את בקשת העדכון על ידי הפעלת הפקודה משלב 1 בצד העמית של החיבור.

    בדרך כלל, מנהל הרשת מבצע את השלב הזה עבור רשת ה-Peering.

אחרי שהבקשה תושלם, השדה updateStatus ישתנה ל-IN_SYNC בשני ההגדרות, והסטטוס של החיבור יתעדכן.

עדכון חיבור (מצב קונצנזוס)

כשמגדירים חיבור פירינג עם מצב קונצנזוס, כדי לעדכן את הסטטוס האפקטיבי של החיבור צריך לקבל אישור מרשת הפירינג. מידע נוסף זמין במאמר עדכון חיבור במצב קונצנזוס.

המסוף

  1. נכנסים לדף VPC Network Peering במסוף Cloud de Confiance .

    מעבר ל-VPC Network Peering

  2. בוחרים את חיבור ה-Peering שרוצים לעדכן.

  3. לוחצים על Edit.

  4. מעדכנים את אפשרויות החלפת המסלול:

    • אם מעדכנים את סוג מחסנית ה-IP, גם ברשת העמיתים צריך להפעיל את אותו סוג מחסנית.
    • אם אתם מעדכנים את המסלולים המותאמים אישית של Exchange IPv4 או את המסלולים של רשת המשנה של Exchange עם כתובות IPv4 ציבוריות שמשמשות לשימוש פרטי, ברשת העמיתים צריך להפעיל את ההגדרה המשלימה לכל הגדרה שמשנים. לדוגמה, אם הרשת שלכם מייבאת נתיבים מותאמים אישית, הרשת העמיתה חייבת לייצא נתיבים מותאמים אישית.

  5. לוחצים על שמירה ואז על בקשת עדכון.

  6. מעדכנים את ההגדרה של נקודות ההשוואה. בדרך כלל אדמין רשת מבצע את השלב הזה עבור רשת העמיתים.

כדי לבטל בקשת עדכון בהמתנה, בדף עריכה של הרשת ששלחה את הבקשה, לוחצים על החזרת העדכון.

gcloud

משתמשים בפקודה gcloud compute networks peerings update.

אפשר להשתמש בפרמטרים האופציונליים הבאים:

  • --stack-type מגדיר את סוג ה-stack לחיבור ה-peering. כברירת מחדל, מתבצע חילוף רק של נתיבי IPv4.
    • כדי להחליף מסלולים של IPv4 ו-IPv6, מציינים IPV4_IPV6 בשתי הרשתות.
    • כדי להשבית את החלפת מסלולי IPv6, מציינים IPV4_ONLY בשתי הרשתות.

  • --import-custom-routes אומר לרשת לקבל מסלולים מותאמים אישית מהרשת המקבילה. קודם צריך לייצא את המסלולים מהרשת המקבילה.

    כדי להשבית את האפשרות הזו, משתמשים באפשרות --no-import-custom-routes.

  • --export-custom-routes אומר לרשת לייצא נתיבים מותאמים אישית לרשת שעוברת תהליך של שיתוף פעולה. צריך להגדיר את הרשת המקבילה כך שהיא תייבא את המסלולים.

    כדי להשבית את האפשרות הזו, משתמשים באפשרות --no-export-custom-routes.

  • --import-subnet-routes-with-public-ip אומר לרשת לקבל מסלולי רשת משנה מהרשת המקבילה אם הרשת הזו משתמשת בכתובות IPv4 ציבוריות לשימוש פרטי ברשתות המשנה שלה. קודם צריך לייצא את המסלולים מהרשת המקבילה.

    כדי להשבית את האפשרות הזו, משתמשים ב---no-import-subnet-routes-with-public-ip.

  • --export-subnet-routes-with-public-ip אומר לרשת לייצא נתיבי תת-רשת שמכילים כתובות IPv4 ציבוריות לשימוש פרטי. צריך להגדיר את הרשתות המקבילות כך שיובאו המסלולים.

    כדי להשבית את האפשרות הזו, משתמשים באפשרות --no-export-subnet-routes-with-public-ip.

בדוגמה הבאה אפשר לראות איך לעדכן חיבור פירינג כדי לייבא מסלולים מותאמים אישית מ-network-a ל-network-b.

  1. ב-peering-a ב-network-a, מגדירים את הרשת לייצוא של מסלולים מותאמים אישית:

    gcloud compute networks peerings update peering-a \
    --network=network-a \
    --export-custom-routes

  2. כדי לראות את הסטטוס של בקשת העדכון:

    gcloud compute networks describe network-a

    בפלט, השדה updateStatus צריך להציג את הסטטוס הבא:

    • בהגדרה של network-a (רשת מקומית), PENDING_PEER_ACKNOWLEDGMENT
    • בהגדרה המתאימה של network-b (רשת עמיתים), PENDING_LOCAL_ACKNOWLEDGMENT

  3. מגדירים את הרשת השכנה לייבוא של נתיבים מותאמים אישית. בדרך כלל האדמין של הרשת המקבילה מבצע את השלב הזה.

    gcloud compute networks peerings update peering-b \
    --network=network-b \
    --import-custom-routes

    השדה updateStatus משתנה ל-IN_SYNC בשתי ההגדרות, וכך מתעדכן הסטטוס של החיבור.

כדי לבטל בקשת עדכון בהמתנה, מאפסים כל פרמטר ששונה לערך הקודם שלו.

הצגת רשימה של חיבורי Peering

מציגים רשימה של חיבורי ה-Peering הקיימים כדי לראות את הסטטוס שלהם ואם הם מייבאים או מייצאים מסלולים מותאמים אישית.

המסוף

  1. נכנסים לדף VPC Network Peering במסוף Cloud de Confiance .

    מעבר ל-VPC Network Peering

  2. בוחרים את חיבור ה-peering כדי לראות את הפרטים שלו.

gcloud 

gcloud compute networks peerings list

הצגת חיבורי Peering

המסוף

  1. נכנסים לדף VPC Network Peering במסוף Cloud de Confiance .

    מעבר ל-VPC Network Peering

  2. בעמודה סטטוס, בודקים את סטטוס החיבור.

gcloud

משתמשים בפקודה gcloud compute networks describe.

gcloud compute networks describe NETWORK

מחליפים את NETWORK בשם הרשת בפרויקט שלכם שמקושרת לרשת אחרת.

בשדה peerings.connectionStatus בפלט מפורט הסטטוס בפועל של חיבור הפירינג. מידע נוסף מופיע במאמר בנושא סטטוס החיבור.

הצגת רשימה של מסלולי פירינג

המסוף

בכרטיסייה Effective routes (מסלולים בפועל) אפשר לראות את כל סוגי המסלולים הרלוונטיים ברשת VPC, כולל מסלולים סטטיים של peering, מסלולים דינמיים של peering ומסלולים של רשת משנה של peering שיובאו.

  1. נכנסים לדף Routes במסוף Cloud de Confiance .

    לדף Routes

  2. בכרטיסייה Effective routes (מסלולים אפקטיביים), מבצעים את הפעולות הבאות:

    • בוחרים רשת VPC.
    • בוחרים Region.

  3. לוחצים על תצוגה.

  4. לוחצים על שדה הטקסט מסנן ומבצעים את הפעולות הבאות:

    • בתפריט מאפיינים, בוחרים באפשרות סוג.
    • בתפריט ערכים בוחרים אחת מהאפשרויות הבאות.
      • תת-רשת של קישור בין רשתות שכנות (peering): כדי לראות נתיבי תת-רשת מרשתות VPC שכנות.
      • Peering static: כדי לראות מסלולים סטטיים שיובאו מרשתות VPC שכנות (peering).
      • Peering dynamic: כדי לראות מסלולים דינמיים מיובאים מרשתות VPC מקבילות.

  5. אפשר גם ללחוץ על הצגת מסלולים שהוסתרו כדי לראות מסלולים שהוסתרו. מציבים את הסמן מעל הסמל בעמודה סטטוס כדי לראות את הסיבה להשבתת המסלול. הסיבה כוללת קישור למסמכי התיעוד של הוראות הניתוב עם הסבר.

gcloud

משתמשים בפקודה הבאה של Google Cloud CLI כדי:

  • מציגים רשימה של ייצוא מסלולים שנשלחו מרשת ה-VPC לרשתות VPC שכנות.
  • הצגת רשימה של מועמדים לייבוא מסלולים לרשת ה-VPC.
gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

מחליפים את מה שכתוב בשדות הבאים:

  • PEERING_NAME: השם של חיבור ה-Peering הקיים.
  • NETWORK: השם של הרשת בפרויקט שלכם שמקושרת לרשת אחרת.
  • REGION: האזור שבו רוצים להציג את כל המסלולים הדינמיים. רשתות משנה ומסלולים סטטיים הם גלובליים ומוצגים לכל האזורים.
  • DIRECTION: מציין אם להציג רשימה של מסלולים מיובאים (incoming) או מיוצאים (outgoing).

מחיקת חיבור של רשתות עמיתות

כשמוחקים הגדרת שיוך ברשת שלכם, חיבור השיוך הופך ללא פעיל ברשת השנייה, וכל המסלולים שמשותפים בין הרשתות מוסרים.

התהליך למחיקת חיבור בין רשתות תלוי באסטרטגיית העדכון שהוגדרה לחיבור:

מחיקת חיבור (מצב עצמאי)

כדי למחוק חיבור פירינג במצב עצמאי (ברירת מחדל):

המסוף

  1. נכנסים לדף VPC Network Peering במסוף Cloud de Confiance .

    מעבר ל-VPC Network Peering

  2. מסמנים את התיבה לצד חיבור ה-Peering שרוצים להסיר.

  3. לוחצים על Delete.

    הסטטוס של החיבור משתנה ללא פעיל ברשת העמיתים. כדי להסיר את ההגדרה הלא פעילה, מנהל/ת רשת ברשת העמיתים מבצע/ת את השלבים הבאים בצד העמית של החיבור.

gcloud

משתמשים בפקודה gcloud compute networks peerings delete.

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

מחליפים את מה שכתוב בשדות הבאים:

  • PEERING_NAME: השם של הגדרת הפירינג
  • NETWORK: שם הרשת בפרויקט שלכם שמקושרת

הסטטוס של החיבור משתנה ל-INACTIVE ברשת העמיתים. כדי להסיר את התצורה הלא פעילה, אדמין ברשת העמיתים מבצע את השלב הזה בצד העמית של החיבור.

מחיקת חיבור (מצב קונצנזוס)

כדי למחוק חיבור פירינג במצב קונצנזוס, פועלים לפי השלבים הבאים. אפשר גם לבטל בקשת מחיקה.

המסוף

  1. נכנסים לדף VPC Network Peering במסוף Cloud de Confiance .

    מעבר ל-VPC Network Peering

  2. לוחצים על חיבור ה-peering שרוצים להסיר.

  3. בדף Peering connection details (פרטי חיבור ה-Peering), לוחצים על Request delete (בקשת מחיקה) ואז על Confirm (אישור).

  4. מאשרים את בקשת המחיקה על ידי ביצוע שלבים 1-3 בצד העמית של החיבור.

    בדרך כלל, אדמין רשת מבצע את השלבים האלה עבור רשת העמיתים. אחרי ששני הצדדים של חיבור ה-Peering שולחים את בקשת המחיקה, הסטטוס של החיבור משתנה לפעיל, אישור מחיקה בשני המערכים של ההגדרות האישיות.

  5. בוחרים את חיבור ה-Peering שרוצים להסיר ולוחצים על מחיקה.

    הסטטוס של החיבור משתנה ללא פעיל ברשת העמיתים. כדי להסיר את התצורה הלא פעילה, האדמין של הרשת העמיתה מבצע את השלב הזה בצד העמית של החיבור.

gcloud

משתמשים בפקודות gcloud compute networks peerings request-delete ו-gcloud compute networks peerings delete.

  1. שליחת בקשת מחיקה:

    gcloud compute networks peerings request-delete PEERING_NAME \
    --network=NETWORK

    מחליפים את מה שכתוב בשדות הבאים:

    • PEERING_NAME: השם של הגדרות הפירינג
    • NETWORK: השם של הרשת בפרויקט שלכם שמקושרת

  2. כדי לראות את הסטטוס של בקשת המחיקה:

    gcloud compute networks describe NETWORK

    מחליפים את NETWORK בשם הרשת.

    בפלט, השדה deleteStatus צריך להציג את הסטטוס הבא:

    • בהגדרות של הרשת, LOCAL_DELETE_REQUESTED
    • בהגדרה המתאימה של רשת העמיתים, PEER_DELETE_REQUESTED

  3. מאשרים את בקשת המחיקה על ידי הפעלת הפקודה request-delete בצד העמית של החיבור, ומציינים את הרשת העמיתה ואת שמות הגדרות ה-Peering שלה.

    בדרך כלל, מנהל הרשת מבצע את השלב הזה עבור רשת ה-Peering. אחרי ששני הצדדים של החיבור ישלחו את בקשת המחיקה, הסטטוס של השדה deleteStatus ישתנה ל-DELETE_ACKNOWLEDGED בשתי ההגדרות.

  4. מחיקת חיבור ה-Peering:

    gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

    מחליפים את מה שכתוב בשדות הבאים:

    • PEERING_NAME: השם של הגדרת הפירינג
    • NETWORK: השם של הרשת בפרויקט שלכם שמקושרת

    הסטטוס של החיבור משתנה ל-INACTIVE ברשת העמיתים. כדי להסיר את ההגדרה הלא פעילה, מנהל הרשת של רשת ה-peer מבצע את השלב הזה בצד ה-peer של החיבור.

ביטול בקשת מחיקה

אפשר לבטל בקשה למחיקה לפני או אחרי שהיא תתקבל על ידי רשת עמיתים. בזמן שהבקשה בהמתנה, רק הרשת המקומית יכולה לבטל אותה. אחרי שהרשת העמיתה מאשרת את הבקשה, כל אחת מהרשתות יכולה לבטל את המחיקה.

המסוף

  1. נכנסים לדף VPC Network Peering במסוף Cloud de Confiance .

    מעבר ל-VPC Network Peering

  2. לוחצים על חיבור ה-peering שרוצים לבטל את בקשת המחיקה שלו.

  3. בדף Peering connection details (פרטי חיבור ה-Peering), לוחצים על Cancel delete request (ביטול בקשת המחיקה) ואז על Confirm (אישור).

    אם הרשת העמיתה כבר אישרה את בקשת המחיקה, אדמין ברשת העמיתה צריך לבצע את השלבים האלה גם בצד העמית של החיבור.

gcloud

משתמשים בפקודה gcloud compute networks peerings cancel-request-delete.

ביטול לפני אישור בקשת המחיקה:

כדי לבטל את בקשת המחיקה לפני שהיא מאושרת, מריצים את הפקודה הבאה עבור הרשת ששלחה את הבקשה:

gcloud compute networks peerings cancel-request-delete PEERING_NAME \
    --network=NETWORK

מחליפים את מה שכתוב בשדות הבאים:

  • PEERING_NAME: השם של הגדרת הפירינג
  • NETWORK: השם של הרשת

ביטול אחרי אישור בקשת המחיקה:

  1. כדי לבטל את בקשת המחיקה אחרי שהיא אושרה, מריצים את הפקודה הבאה עבור כל אחת מהרשתות:

    gcloud compute networks peerings cancel-request-delete PEERING_NAME \
  --network=NETWORK

    מחליפים את מה שכתוב בשדות הבאים:

    • PEERING_NAME: השם של הגדרת הפירינג
    • NETWORK: השם של הרשת

  2. כדי לראות את סטטוס הבקשה:

    gcloud compute networks describe NETWORK

    מחליפים את NETWORK בשם הרשת.

    בפלט, בשדה deleteStatus מוצג הסטטוס הבא:

    • בהגדרות של הרשת, LOCAL_CANCEL_REQUESTED
    • בהגדרה המתאימה של רשת העמיתים, PEER_CANCEL_REQUESTED

  3. מבטלים את הבקשה בצד השני של החיבור על ידי הפעלת הפקודה cancel-request-delete עם הרשת של ה-peer והשמות של הגדרות ה-peering שלה.

    בדרך כלל, מנהל הרשת מבצע את השלב הזה עבור רשת ה-Peering.

פתרון בעיות

בקטעים הבאים מוסבר איך לפתור בעיות ב-VPC Network Peering.

אין גישה למכונות VM של עמיתים

אחרי שחיבור הפירינג עובר למצב ACTIVE, יכול להיות שיעבור עד דקה עד שכל תנועת הנתונים תוגדר בין הרשתות המקושרות. משך הזמן הזה תלוי בגודל הרשתות שמבצעות פירינג. אם הגדרתם לאחרונה את חיבור ה-peering, המתינו עד דקה ונסו שוב. בנוסף, מוודאים שאין כללי חומת אש שחוסמים גישה ל-CIDR של תת-רשתות של רשתות VPC עמיתות או גישה מהן.

נתיבים מותאמים אישית חסרים

בקטע הזה מוסבר איך לפתור בעיות שקשורות למסלולים מותאמים אישית שחסרים.

בדיקת מצב חיבור ה-peering

כדי לבדוק את המצב של חיבור ה-Peering:

  1. רשימת חיבורי Peering.
  2. מזהים את חיבור ה-Peering כדי לפתור בעיות, ובודקים את מצב ה-Peering שלו.
    1. אם המצב הוא ACTIVE, פועלים לפי השלבים שמפורטים בקטע הבא.
    2. אם מצב הפירינג הוא INACTIVE, מנהל רשת ברשת השנייה צריך ליצור הגדרת פירינג לרשת ה-VPC שלכם.

פתרון בעיות בחיבור ACTIVE

כדי לפתור בעיות שקשורות למסלולים מותאמים אישית שחסרים בחיבור ACTIVE peering:

  1. מציגים רשימה של מסלולי קישור בין רשתות שכנות ברשת ה-VPC. בכרטיסייה Effective routes (מסלולים יעילים), מבצעים את הפעולות הבאות:

    1. חשוב לזכור שהאזורים שבהם מתוכנתים מסלולים דינמיים תלויים במצב הניתוב הדינמי של רשת ה-VPC שמייצאת מסלולים מותאמים אישית. פרטים נוספים זמינים במאמר בנושא ההשפעות של מצב הניתוב הדינמי. במצב ניתוב דינמי גלובלי, רק המסלול הדינמי עם הדירוג הכי גבוה מתוכנת באזורים שלא תואמים לאזור של הניתור הבא.

    2. לוחצים על המתג הצגת מסלולים שהוסתרו כדי להעביר אותו למצב פעיל, ואז מחפשים את המסלול. כדי לראות את הסיבה לביטול של מסלול, מצביעים על הסמל בעמודה סטטוס. Cloud de Confiance מספק פתרון לקונפליקטים של מסלולים על בסיס אזור לאזור ברשת ה-VPC שמייבאת מסלולים באמצעות VPC Network Peering.

    3. מחפשים אזהרה שמציינת שהגעתם למגבלה של מספר המסלולים הדינמיים לכל אזור לכל מכסת קבוצת פירינג ברשת ה-VPC. אם רשת ה-VPC הגיעה למגבלה של המכסה הזו, לא מתוכננים נתיבים דינמיים של שיתוף פעולה בין רשתות. אי אפשר להציג בדיוק אילו מסלולים דינמיים של שותפי אינטרנט לא מתוכנתים, לכן צריך לבקש הגדלה של מכסת המסלולים הדינמיים לכל אזור לכל מכסת קבוצת שותפי אינטרנט.

  2. אם עדיין לא רואים את המסלול הרצוי, אפשר לנסות את הפעולות הבאות:

    1. בודקים את הגדרת ה-Peering ומעדכנים אותה לפי הצורך כדי לייבא מסלולים מותאמים אישית.

    2. מוודאים שהמסלול הוא לא אחד מסוגי המסלולים הבאים, שלא ניתן להחליף אותם באמצעות קישור (peering) בין רשתות VPC שכנות:

      • אי אפשר להעביר לרשת ה-VPC שלכם באמצעות קישור בין רשתות VPC שכנות, רשתות משנה מקושרות, מסלולים סטטיים מקושרים ומסלולים דינמיים מקושרים ברשת VPC מקושרת שמתקבלים מרשתות שכנות אחרות.

      • אי אפשר להחליף מסלולים סטטיים שמשתמשים בשער האינטרנט שמוגדר כברירת מחדל לצעד הבא, ומסלולים סטטיים עם תגי רשת באמצעות שיוך של רשתות VPC.

      מידע נוסף זמין במאמר בנושא אפשרויות להחלפת מסלולים.

    3. צריך לבקש מאדמין הרשת של רשת ה-VPC המקושרת לבצע את הפעולות הבאות:

      1. מציגים את המסלולים ברשת ה-VPC ומחפשים את המסלול הרצוי.

      2. בודקים את הגדרות ה-peering ומעדכנים אותן לפי הצורך כדי לייצא מסלולים מותאמים אישית.

תנועה שמיועדת לרשת עמיתים נחסמת

אתם יכולים להשתמש בבדיקות קישוריות כדי לגלות למה תנועה שמיועדת לרשת עמיתים נפסלת. אם התנועה אמורה להישלח באמצעות נתיבים מותאמים אישית, כדאי לעיין במאמר נתיבים מותאמים אישית חסרים.

התנועה נשלחת לנקודת קפיצה לא צפויה

אפשר להשתמש בבדיקות קישוריות כדי לגלות למה התנועה נשלחת לקפיצה הבאה לא צפויה. אם התנועה אמורה להישלח באמצעות נתיבים מותאמים אישית, כדאי לעיין במאמר נתיבים מותאמים אישית חסרים.

אי אפשר ליצור קישור לרשת VPC מסוימת

אם אי אפשר ליצור הגדרת קישור עם רשתות VPC מסוימות, יכול להיות שמדיניות הארגון מגבילה את רשתות ה-VPC שאפשר לקשר לרשת שלכם. במדיניות הארגון, מוסיפים את הרשת לרשימת העמיתים המורשים או פונים לאדמין של הארגון. מידע נוסף זמין במאמר בנושא constraints/compute.restrictVpcPeering.

לא מתבצעת החלפה של נתיבי IPv6

קודם כל, מוודאים שסוגי המערכים של חיבור ה-Peering ושל חיבור ה-Peering של רשת ה-VPC המקושרת מוגדרים ל-IPV4_IPV6. אם צריך:

  • מעדכנים את חיבור ה-Peering כדי להגדיר את סוג ה-Stack שלו ל-IPV4_IPV6.
  • צריך לבקש מאדמין ברשת ה-VPC המקבילה לעדכן את חיבור ה-Peering ולהגדיר את סוג ה-Stack שלו ל-IPV4_IPV6.

אחרי שסוגי המערכים של שני חיבורי ה-Peering מוגדרים ל-IPV4_IPV6, מוחלפים נתיבי רשת משנה של IPv6 (פנימיים וחיצוניים). נתיבי תת-רשת של IPv6 הם ייחודיים בין כל רשתות ה-VPC. Cloud de Confiance

כדי להחליף נתיבים מותאמים אישית של IPv6:

  • מעדכנים את חיבור ה-Peering כדי לייבא ולייצא מסלולים מותאמים אישית.
  • צריך לבקש מאדמין ברשת ה-VPC המקושרת לעדכן את חיבור הקישור כדי לייבא ולייצא מסלולים מותאמים אישית.

שינויים במגבלה האפקטיבית של מכסות לכל קבוצת פירינג

יכול להיות שתבחינו בשינויים במגבלות האפקטיביות של מכסות לכל קבוצת שירותי peering. ההגבלות בפועל משתנות כי המכסות האלה תלויות בהגבלות של רשתות שנוספו כעמיתות – כשמוסיפים או מסירים עמיתים, ההגבלה בפועל של המכסה לכל קבוצת עמיתים משתנה בהתאם.

המאמרים הבאים