Configurar e gerenciar peering de rede VPC

Cloud de Confiance by S3NS O peering de rede VPC permite a conectividade de endereço IP interno em duas redes de nuvem privada virtual (VPC), pertencentes ou não ao mesmo projeto ou organização Cloud de Confiance . O peering permite a conectividade entre redes com qualquer combinação de sub-redes somente IPv4, de pilha dupla e somente IPv6.

Antes de começar

Permissões do IAM

Verifique se você tem um dos seguintes papéis no projeto:

  • Papel Administrador de rede do Compute (roles/compute.networkAdmin)
  • Uma função personalizada que inclui as seguintes permissões:
    • compute.networks.addPeering
    • compute.networks.updatePeering
    • compute.networks.removePeering
    • compute.networks.listPeeringRoutes

Criar uma configuração de peering

Antes de começar, você precisa saber o nome da rede VPC que vai estar no peering. Se essa rede estiver localizada em outro projeto, você também precisará ter o ID do projeto dele. Não é possível listar solicitações de peering para sua rede VPC. Se necessário, peça para o administrador da rede com a qual você pretende fazer peering o nome da rede e o ID do projeto.

Sua rede e a outra rede são conectadas depois que cada uma tem uma configuração de peering que faz referência à outra. Para mais informações, consulte Sobre conexões de peering.

Cloud de Confiance permite apenas uma operação de peering por vez em redes em peering. Por exemplo, se você configurar o peering com uma rede tentar configurar outro, a operação falhará com o seguinte: Error: There is a peering operation in progress on the local or peer network. Try again later.

Console

Siga estas etapas para cada lado da conexão de peering.

  1. No console do Cloud de Confiance , acesse a página Peering de rede VPC.

    Acessar o peering de rede VPC

  2. Clique em Criar conexão.

  3. Clique em Continuar.

  4. No campo Nome da conexão de peering, insira um nome para sua configuração de peering.

  5. No campo Sua rede VPC, selecione uma rede com que você quer fazer peering.

  6. Na seção Rede VPC com peering, selecione a rede para fazer peering:

    • Se a rede com a qual você quer fazer peering estiver no mesmo projeto, selecione No projeto [nome-do-seu-projeto] e, em seguida, a rede desejada.
    • Se a rede com a qual você quer fazer peering estiver em um projeto diferente, selecione Em outro projeto. Especifique o ID do projeto que inclui a rede desejada e o nome da rede VPC.

  7. Selecione a versão de IP das rotas que você quer trocar entre as redes com peering:

    • IPv4 (pilha única): troca apenas rotas IPv4. A rede do mesmo nível também precisa ativar essa opção.
    • IPv4 e IPv6 (pilha dupla): troque rotas IPv4 e IPv6. A rede de mesmo nível também precisa ativar essa opção.

  8. Para trocar rotas personalizadas IPv4, na seção Trocar rotas personalizadas IPv4, escolha uma ou ambas as opções a seguir:

    • Importar rotas personalizadas: importe rotas personalizadas da rede com peering. A rede de peering precisa ativar a exportação de rota personalizada para que as rotas sejam importadas.
    • Exportar rotas personalizadas: exporte rotas personalizadas para a rede de peering. A rede de peering precisa ativar a importação de rota personalizada para que as rotas sejam exportadas.

  9. Caso sua rede ou a rede de peering tenha intervalos de IPv4 públicos de uso privado nas sub-redes, por padrão, essas rotas serão exportadas, mas não serão importadas.

    Para importar rotas de sub-rede de IPv4 público de uso privado, na seção Trocar rotas de sub-rede com endereços IPv4 públicos usados de modo privado, selecione Importar rotas de sub-rede com IP público.

  10. Na seção Opções avançadas, escolha a estratégia de atualização para a conexão de peering:

    • Independente (padrão): quando essa opção é selecionada, qualquer um dos lados da conexão pode atualizar ou excluir a conexão a qualquer momento. Para mais informações, consulte Modo de conexão.
    • Consenso: quando essa opção é selecionada, a atualização ou exclusão da conexão exige o reconhecimento da rede de peering. Para mais informações, consulte Modo de conexão.

  11. Clique em Criar.

gcloud

Use o comando gcloud compute networks peerings create.

É possível criar uma configuração de peering usando a configuração padrão ou personalizar a sua.

Criar uma configuração de peering padrão

Para criar uma configuração de peering padrão, execute o seguinte comando:

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME

Substitua:

  • PEERING_NAME: o nome da configuração de peering
  • NETWORK: o nome da rede no projeto com que você quer fazer peering.

  • PEER_PROJECT_ID: o ID do projeto que contém a rede com que você quer fazer peering.

    Se a rede de peering estiver no mesmo projeto que a sua, essa flag será opcional.

  • PEER_NETWORK_NAME: o nome da rede com que você quer fazer peering.

Por exemplo, para criar um peering entre network-a em project-a e network-b em project-b, faça o seguinte:

  1. Crie uma configuração de peering para network-a.

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b

  2. Crie a configuração de peering correspondente para network-b. Essa etapa geralmente é realizada por um administrador de rede para network-b.

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a

O estado de peering muda para ACTIVE nas duas redes.

Personalizar uma configuração de peering

Para personalizar uma configuração de peering, use os seguintes parâmetros opcionais:

  • --stack-type define o tipo de pilha da conexão de peering. Por padrão, apenas rotas IPv4 são trocadas, e o tipo de pilha é definido como IPV4_ONLY. Para trocar rotas IPv4 e IPv6, especifique IPV4_IPV6 nos dois lados da conexão.
  • --import-custom-routes diz à rede para aceitar rotas personalizadas da rede com peering. A rede com peering precisa exportar as rotas primeiro.
  • --export-custom-routes instrui a rede a exportar rotas personalizadas para a rede com peering. A rede com peering precisa ser configurada para importar as rotas.
  • --import-subnet-routes-with-public-ip diz à rede para aceitar rotas de sub-rede da rede com peering se essa rede tiver endereços IPv4 públicos usados de modo particular em suas sub-redes. A rede com peering precisa exportar as rotas primeiro.
  • --export-subnet-routes-with-public-ip instrui a rede a exportar rotas de sub-rede que contenham endereços IPv4 públicos usados de modo privado. A rede com peering precisa ser configurada para importar as rotas.
  • --update-strategy define a estratégia de atualização da conexão de peering. Por padrão, a estratégia de atualização é INDEPENDENT. Para configurar a conexão para usar o modo de consenso, especifique CONSENSUS para os dois lados da conexão. Para mais informações, consulte Modo de conexão.
Exemplo: trocar rotas personalizadas em uma conexão de peering

Para ativar o network-a no project-a e o network-b no project-b para trocar rotas personalizadas, faça o seguinte ao criar a conexão de peering:

  1. Crie uma configuração de peering para network-a.

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --import-custom-routes \
    --export-custom-routes

  2. Crie a configuração de peering correspondente para network-b. Essa etapa geralmente é realizada por um administrador de rede para network-b.

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a \
    --import-custom-routes \
    --export-custom-routes

O estado de peering muda para ACTIVE nas duas redes. Para mais informações sobre este exemplo, consulte o guia de início rápido Fazer peering de duas redes VPC.

Exemplo: criar uma conexão de peering no modo de consenso

Para criar uma conexão de peering no modo de consenso, defina a estratégia de atualização como CONSENSUS. Neste exemplo, você configura network-a em project-a para fazer peering com network-b em project-b.

  1. Crie uma configuração de peering para network-a.

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --update-strategy=CONSENSUS

  2. Crie a configuração de peering correspondente para network-b. Essa etapa geralmente é realizada por um administrador de rede para network-b.

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a \
    --update-strategy=CONSENSUS

O estado de peering muda para ACTIVE nas duas redes.

Terraform

É possível usar um módulo Terraform para criar uma configuração de peering.

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 16.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Para as duas redes VPC com peering, cada self link inclui um ID do projeto e o nome da rede VPC. Para conseguir o self link de uma rede VPC, é possível usar o comando gcloud compute networks describe ou o método networks.get no projeto de cada rede VPC.

Quando você cria um peering do local_network para o peer_network, a relação de peering é bidirecional. O peering de peer_network para local_network é criado automaticamente.

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

Verificar se o tráfego está passando entre redes VPC com peering

Use os registros de fluxo de VPC para ver os fluxos de rede enviados e recebidos por instâncias de VM. Também é possível usar a geração de registros de regras de firewall para verificar se o tráfego está passando entre as redes. Crie regras de firewall de VPC que permitam (ou neguem) o tráfego entre as redes com peering e ative a geração de registros de regras de firewall para essas regras. Em seguida, é possível ver quais regras de firewall foram atingidas usando o Cloud Logging.

Atualizar conexão de peering

Ao atualizar uma conexão de peering, é possível fazer o seguinte:

  • Defina se a rede VPC exporta ou importa rotas personalizadas ou rotas de sub-rede IPv4 públicas de uso privado para ou da rede VPC com peering.
  • Mude se a conexão de peering troca rotas IPv6 entre as redes com peering.
  • Atualize o modo de conexão de peering de independente (padrão) para consenso, mudando a estratégia de atualização da conexão. Antes de mudar a estratégia de atualização, revise os requisitos do modo de consenso.

Sua rede apenas importará rotas se a rede com peering também exportar, e a rede com peering apenas receberá rotas se importar.

Atualizar uma conexão (modo independente)

Console

  1. No console do Cloud de Confiance , acesse a página Peering de rede VPC.

    Acessar o peering de rede VPC

  2. Selecione a conexão de peering a ser atualizada.

  3. Clique em Editar.

  4. Para atualizar a versão IP das rotas que você quer trocar entre as redes com peering, selecione uma das seguintes opções:

    • IPv4 (pilha única): troca apenas rotas IPv4. A rede do mesmo nível também precisa ativar essa opção.
    • IPv4 e IPv6 (pilha dupla): troque rotas IPv4 e IPv6. A rede de mesmo nível também precisa ativar essa opção.

  5. Para trocar rotas personalizadas IPv4, na seção Trocar rotas personalizadas IPv4, escolha uma ou ambas as opções a seguir:

    • Importar rotas personalizadas: importe rotas personalizadas da rede com peering. A rede de peering precisa ativar a exportação de rota personalizada para que as rotas sejam importadas.
    • Exportar rotas personalizadas: exporte rotas personalizadas para a rede de peering. A rede de peering precisa ativar a importação de rota personalizada para que as rotas sejam exportadas.

  6. Caso sua rede ou a rede de peering tenha intervalos de IPv4 públicos de uso privado nas sub-redes, por padrão, essas rotas serão exportadas, mas não serão importadas.

    Para importar rotas de sub-rede de IPv4 público de uso privado, na seção Trocar rotas de sub-rede com endereços IPv4 públicos usados de modo privado, selecione Importar rotas de sub-rede com IP público.

  7. Para atualizar a conexão de peering do modo independente (padrão) para o modo de consenso, na seção Opções avançadas, em Estratégia de atualização, selecione Consenso. Depois de clicar em Salvar, a estratégia de atualização muda para Consenso na configuração local.

    Para concluir a solicitação de atualização, um administrador de rede da rede de peer precisa aceitar a solicitação mudando a estratégia de atualização para Consenso na configuração de peer.

  8. Clique em Salvar.

gcloud

Use o comando gcloud compute networks peerings update.

Você pode usar os seguintes parâmetros opcionais:

  • --stack-type define o tipo de pilha da conexão de peering. Por padrão, apenas rotas IPv4 são trocadas.
    • Para trocar rotas IPv4 e IPv6, especifique IPV4_IPV6 para as duas redes.
    • Para desativar a troca de rotas IPv6, especifique IPV4_ONLY para as duas redes.

  • --import-custom-routes diz à rede para aceitar rotas personalizadas da rede com peering. A rede com peering precisa exportar as rotas primeiro.

    Para desativar essa opção, use --no-import-custom-routes.

  • --export-custom-routes instrui a rede a exportar rotas personalizadas para a rede com peering. A rede com peering precisa ser configurada para importar as rotas.

    Para desativar essa opção, use --no-export-custom-routes.

  • --import-subnet-routes-with-public-ip diz à rede para aceitar rotas de sub-rede da rede com peering se essa rede estiver usando endereços IPv4 públicos usados de modo particular nas sub-redes. A rede com peering precisa exportar as rotas primeiro.

    Para desativar essa opção, use --no-import-subnet-routes-with-public-ip.

  • --export-subnet-routes-with-public-ip instrui a rede a exportar rotas de sub-rede que contenham endereços IPv4 públicos usados de modo privado. A rede com peering precisa ser configurada para importar as rotas.

    Para desativar essa opção, use --no-export-subnet-routes-with-public-ip.

  • --update-strategy define a estratégia de atualização para a conexão de peering. Por padrão, a estratégia de atualização é INDEPENDENT. Para configurar a conexão para usar o modo de consenso, especifique CONSENSUS para os dois lados da conexão.

    Para cancelar uma solicitação de atualização pendente para configurar o modo de consenso, redefina a estratégia de atualização para INDEPENDENT. Para mais informações, consulte Modo de conexão.

O exemplo a seguir mostra como atualizar uma conexão de peering para trocar rotas IPv4 e IPv6.

  1. Atualize o tipo de pilha da rede local:

    gcloud compute networks peerings update PEERING_NAME_1 \
    --network=NETWORK_1 \
    --stack-type=IPV4_IPV6

  2. Atualize o tipo de pilha para a rede de mesmo nível. Essa etapa geralmente é realizada pelo administrador de rede.

    gcloud compute networks peerings update PEERING_NAME_2 \
    --network=NETWORK_2 \
    --stack-type=IPV4_IPV6

Substitua:

  • PEERING_NAME_1: o nome da configuração de peering local
  • NETWORK_1: o nome da rede local
  • PEERING_NAME_2: o nome da configuração correspondente para a rede de peering
  • NETWORK_2: o nome da rede de peering

Atualizar uma conexão para o modo de consenso

Para atualizar uma conexão de peering do modo independente (padrão) para o modo de consenso, mude a estratégia de atualização da conexão. Antes de mudar a estratégia de atualização, revise os requisitos do modo de consenso.

  1. Atualize a configuração de peering local:

    gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    --update-strategy=CONSENSUS

    Substitua:

    • PEERING_NAME: o nome da configuração de peering atual
    • NETWORK: o nome da rede no projeto que está em peering

  2. Confira o status da solicitação de atualização:

    gcloud compute networks describe NETWORK

    Substitua NETWORK pelo nome da rede no seu projeto que está em peering.

    Na saída, o campo updateStatus precisa mostrar o seguinte status:

    • Na configuração da rede local, PENDING_PEER_ACKNOWLEDGMENT
    • Na configuração correspondente da rede de peering, PENDING_LOCAL_ACKNOWLEDGMENT

  3. Aceite a solicitação de atualização executando o comando na etapa 1 para o lado do peer da conexão.

    Essa etapa geralmente é realizada por um administrador de rede para a rede de mesmo nível.

Depois que a solicitação for concluída, o campo updateStatus mudará para IN_SYNC nas duas configurações, o que atualiza o status efetivo da conexão.

Atualizar uma conexão (modo de consenso)

Quando uma conexão de peering é configurada com o modo de consenso, a atualização do status efetivo da conexão requer o reconhecimento da rede de peering. Para mais informações, consulte Atualizar uma conexão no modo de consenso.

Console

  1. No console do Cloud de Confiance , acesse a página Peering de rede VPC.

    Acessar o peering de rede VPC

  2. Selecione a conexão de peering a ser atualizada.

  3. Clique em Editar.

  4. Atualize as opções de troca de rota:

    • Se você atualizar o tipo de pilha de IP, a rede de peering também precisará ativar o mesmo tipo de pilha.
    • Se você atualizar Trocar rotas personalizadas IPv4 ou Trocar rotas de sub-rede com endereços IPv4 públicos usados de modo privado, a rede de peering precisará ativar a configuração complementar para cada configuração modificada. Por exemplo, se sua rede importar rotas personalizadas, a rede com peering precisará exportar rotas personalizadas.

  5. Clique em Salvar e Solicitar atualização.

  6. Atualize a configuração do peer. Essa etapa geralmente é realizada por um administrador de rede da rede de mesmo nível.

Para cancelar uma solicitação de atualização pendente, na página Editar da rede solicitante, clique em Reverter atualização.

gcloud

Use o comando gcloud compute networks peerings update.

Você pode usar os seguintes parâmetros opcionais:

  • --stack-type define o tipo de pilha da conexão de peering. Por padrão, apenas rotas IPv4 são trocadas.
    • Para trocar rotas IPv4 e IPv6, especifique IPV4_IPV6 para as duas redes.
    • Para desativar a troca de rotas IPv6, especifique IPV4_ONLY para as duas redes.

  • --import-custom-routes diz à rede para aceitar rotas personalizadas da rede com peering. A rede com peering precisa exportar as rotas primeiro.

    Para desativar essa opção, use --no-import-custom-routes.

  • --export-custom-routes instrui a rede a exportar rotas personalizadas para a rede com peering. A rede com peering precisa ser configurada para importar as rotas.

    Para desativar essa opção, use --no-export-custom-routes.

  • --import-subnet-routes-with-public-ip diz à rede para aceitar rotas de sub-rede da rede com peering se essa rede estiver usando endereços IPv4 públicos usados de modo particular nas sub-redes. A rede com peering precisa exportar as rotas primeiro.

    Para desativar essa opção, use --no-import-subnet-routes-with-public-ip.

  • --export-subnet-routes-with-public-ip instrui a rede a exportar rotas de sub-rede que contenham endereços IPv4 públicos usados de modo privado. A rede com peering precisa ser configurada para importar as rotas.

    Para desativar essa opção, use --no-export-subnet-routes-with-public-ip.

O exemplo a seguir mostra como atualizar uma conexão de peering para importar rotas personalizadas de network-a para network-b.

  1. Para peering-a em network-a, configure a rede para exportar rotas personalizadas:

    gcloud compute networks peerings update peering-a \
    --network=network-a \
    --export-custom-routes

  2. Confira o status da solicitação de atualização:

    gcloud compute networks describe network-a

    Na saída, o campo updateStatus precisa mostrar o seguinte status:

    • Na configuração de network-a (rede local), PENDING_PEER_ACKNOWLEDGMENT
    • Na configuração correspondente para network-b (rede de peering), PENDING_LOCAL_ACKNOWLEDGMENT

  3. Configure a rede de peering para importar rotas personalizadas. Essa etapa geralmente é realizada por um administrador de rede para a rede de mesmo nível.

    gcloud compute networks peerings update peering-b \
    --network=network-b \
    --import-custom-routes

    O campo updateStatus muda para IN_SYNC nas duas configurações, o que atualiza o status efetivo da conexão.

Para cancelar uma solicitação de atualização pendente, redefina cada parâmetro modificado para o valor anterior.

Listar conexões de peering

Liste as conexões de peering atuais para visualizar o status delas e verificar se estão importando ou exportando rotas personalizadas.

Console

  1. No console do Cloud de Confiance , acesse a página Peering de rede VPC.

    Acessar o peering de rede VPC

  2. Selecione a conexão de peering para visualizar os detalhes dela.

gcloud 

gcloud compute networks peerings list

Ver uma conexão de peering

Console

  1. No console do Cloud de Confiance , acesse a página Peering de rede VPC.

    Acessar o peering de rede VPC

  2. Na coluna Status, confira o status da sua conexão.

gcloud

Use o comando gcloud compute networks describe.

gcloud compute networks describe NETWORK

Substitua NETWORK pelo nome da rede no seu projeto que está em peering.

Na saída, o campo peerings.connectionStatus descreve o status efetivo da conexão de peering. Para mais informações, consulte Status da conexão.

Listar rotas de peering

Console

Use a guia Rotas efetivas para conferir todas as rotas aplicáveis do Kubernetes em uma rede VPC, incluindo sub-rede de peering importada, peering estático e peering dinâmico rotas de prioridade mais alta.

  1. No console do Cloud de Confiance , acesse a página Rotas.

    Acessar a página Rotas

  2. Na guia Rotas efetivas, faça o seguinte:

    • Selecione uma rede VPC.
    • Selecione uma Região.

  3. Clique em Visualizar.

  4. Clique no campo de texto Filtrar e faça o seguinte:

    • Escolha Tipo no menu Propriedades.
    • Escolha uma das opções a seguir no menu Valores.
      • Sub-rede de peering: para ver rotas de sub-rede do peering nas redes VPC.
      • Peering estático: para ver rotas estáticas importadas do peering nas redes VPC.
      • Dinâmica de peering: para conferir rotas dinâmicas importadas de apps semelhantes nas redes VPC.

  5. Opcionalmente, clique em Mostrar rotas suprimidas para exibir rotas que estão suprimida. Posicione o ponteiro sobre o ícone na coluna Status para: exibir por que uma rota foi suprimida. O motivo inclui link para o pedido de roteamento com uma explicação.

gcloud

Use o seguinte comando da CLI do Google Cloud para:

  • Liste as exportações de rota enviadas da sua rede VPC para o peering nas redes VPC.
  • Liste os candidatos à importação de rotas para sua rede VPC.
. 
gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Substitua:

  • PEERING_NAME: o nome de uma conexão de peering atual.
  • NETWORK: o nome da rede no projeto que está em peering.
  • REGION: a região em que você quer listar todas as rotas dinâmicas. As rotas de sub-rede e estáticas são globais e exibidas para todas as regiões.
  • DIRECTION: especifica se é necessário listar as rotas importadas (incoming) ou exportadas (outgoing).

Excluir conexão de peering

Quando uma configuração de peering é excluída na sua rede, a conexão de peering fica inativa na outra rede, e todas as rotas compartilhadas entre as redes são removidas.

O procedimento para excluir uma conexão de peering depende da estratégia de atualização configurada para a conexão:

Excluir uma conexão (modo independente)

Para excluir uma conexão de peering no modo independente (padrão), faça o seguinte.

Console

  1. No console do Cloud de Confiance , acesse a página Peering de rede VPC.

    Acessar o peering de rede VPC

  2. Marque a caixa de seleção ao lado da conexão de peering que você quer remover.

  3. Clique em Excluir.

    O status da conexão muda para Inativo na rede de mesmo nível. Para remover a configuração inativa, um administrador de rede da rede de mesmo nível realiza estas etapas no lado de mesmo nível da conexão.

gcloud

Use o comando gcloud compute networks peerings delete.

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Substitua:

  • PEERING_NAME: o nome da configuração de peering
  • NETWORK: o nome da rede no projeto que está em peering

O status da conexão muda para INACTIVE na rede de peering. Para remover a configuração inativa, um administrador de rede da rede de mesmo nível realiza esta etapa no lado de mesmo nível da conexão.

Excluir uma conexão (modo de consenso)

Para excluir uma conexão de peering no modo de consenso, siga estas etapas. Você também pode cancelar uma solicitação de exclusão.

Console

  1. No console do Cloud de Confiance , acesse a página Peering de rede VPC.

    Acessar o peering de rede VPC

  2. Clique na conexão de peering que você quer remover.

  3. Na página Detalhes da conexão de peering, clique em Solicitar exclusão e em Confirmar.

  4. Aceite a solicitação de exclusão seguindo as etapas de 1 a 3 para o lado do peer da conexão.

    Essas etapas geralmente são realizadas por um administrador de rede para a rede de peers. Depois que os dois lados da conexão de peering enviarem a solicitação de exclusão, o status da conexão vai mudar para Ativa, exclusão confirmada nas duas configurações.

  5. Selecione a conexão de peering que você quer remover e clique em Excluir.

    O status da conexão muda para Inativo na rede de mesmo nível. Para remover a configuração inativa, o administrador de rede da rede de mesmo nível executa esta etapa no lado de mesmo nível da conexão.

gcloud

Use os comandos gcloud compute networks peerings request-delete e gcloud compute networks peerings delete.

  1. Inicie um pedido de exclusão:

    gcloud compute networks peerings request-delete PEERING_NAME \
    --network=NETWORK

    Substitua:

    • PEERING_NAME: o nome da configuração de peering
    • NETWORK: o nome da rede no projeto que está em peering

  2. Confira o status da solicitação de exclusão:

    gcloud compute networks describe NETWORK

    Substitua NETWORK pelo nome da sua rede.

    Na saída, o campo deleteStatus precisa mostrar o seguinte status:

    • Na configuração da sua rede, LOCAL_DELETE_REQUESTED
    • Na configuração correspondente da rede de peering, PEER_DELETE_REQUESTED

  3. Aceite a solicitação de exclusão executando o comando request-delete para o lado do peer da conexão, especificando a rede do peer e os nomes de configuração de peering dela.

    Essa etapa geralmente é realizada por um administrador de rede para a rede de mesmo nível. Depois que os dois lados da conexão enviarem a solicitação de exclusão, o status do campo deleteStatus será alterado para DELETE_ACKNOWLEDGED nas duas configurações.

  4. Exclua a conexão de peering:

    gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

    Substitua:

    • PEERING_NAME: o nome da configuração de peering
    • NETWORK: o nome da rede no projeto que está em peering

    O status da conexão muda para INACTIVE na rede de peering. Para remover a configuração inativa, o administrador de rede da rede de mesmo nível realiza esta etapa no lado de mesmo nível da conexão.

Cancelar uma solicitação de exclusão

É possível cancelar uma solicitação de exclusão antes ou depois que ela for aceita pela rede de peers. Enquanto uma solicitação está pendente, apenas a rede local pode cancelar. Depois que a rede de peer aceitar a solicitação, qualquer uma das redes poderá cancelar a exclusão.

Console

  1. No console do Cloud de Confiance , acesse a página Peering de rede VPC.

    Acessar o peering de rede VPC

  2. Clique na conexão de peering para cancelar a solicitação de exclusão.

  3. Na página Detalhes da conexão de peering, clique em Cancelar solicitação de exclusão e em Confirmar.

    Se a rede do peer já tiver aceitado a solicitação de exclusão, um administrador da rede do peer também precisará realizar essas etapas no lado do peer da conexão.

gcloud

Use o comando gcloud beta compute networks peerings cancel-request-delete.

Cancelar antes que a solicitação de exclusão seja aceita:

Para cancelar a solicitação de exclusão antes que ela seja aceita, execute o comando a seguir na rede que iniciou a solicitação:

gcloud beta compute networks peerings cancel-request-delete PEERING_NAME \
    --network=NETWORK

Substitua:

  • PEERING_NAME: o nome da configuração de peering
  • NETWORK: o nome da rede

Cancelar depois que o pedido de exclusão for aceito:

  1. Para cancelar a solicitação de exclusão depois que ela for aceita, execute o seguinte comando para qualquer uma das redes:

    gcloud beta compute networks peerings cancel-request-delete PEERING_NAME \
  --network=NETWORK

    Substitua:

    • PEERING_NAME: o nome da configuração de peering
    • NETWORK: o nome da rede

  2. Confira o status da solicitação:

    gcloud compute networks describe NETWORK

    Substitua NETWORK pelo nome da sua rede.

    Na saída, o campo deleteStatus mostra o seguinte status:

    • Na configuração da sua rede, LOCAL_CANCEL_REQUESTED
    • Na configuração correspondente da rede de peering, PEER_CANCEL_REQUESTED

  3. Cancele a solicitação do lado do peer da conexão executando o comando cancel-request-delete com a rede do peer e os nomes de configuração de peering.

    Essa etapa geralmente é realizada por um administrador de rede para a rede de mesmo nível.

Solução de problemas

As seções a seguir descrevem como solucionar problemas com peering de rede VPC.

As VMs de peering estão inacessíveis

Depois que a conexão de peering se torna ACTIVE, pode demorar até um minuto para que todos os fluxos de tráfego sejam configurados entre as redes VPC com peering. Esse tempo varia de acordo com o tamanho das redes VPC que estão com peering. Se você configurou a conexão de peering recentemente, aguarde um minuto e tente novamente. Além disso, verifique se não há regras de firewall bloqueando o acesso entre os CIDRs de sub-rede da rede VPC com peering.

Faltam rotas personalizadas

Esta seção descreve como resolver problemas de rotas personalizadas ausentes.

Verificar o estado da conexão de peering

Para verificar o estado da conexão de peering, faça o seguinte:

  1. Liste conexões de peering.
  2. Identifique a conexão de peering com o problema a ser resolvido e analise o peering dela estado.
    1. Se o estado for ACTIVE, siga as etapas na próxima seção.
    2. Se o estado de peering for INACTIVE, uma rede administrador da outra rede precisa crie uma configuração de peering para sua rede VPC do produtor de serviços.

Resolver problemas de uma conexão com o ACTIVE

Para resolver problemas de rotas personalizadas ausentes em uma conexão de peering ACTIVE:

  1. Liste rotas de peering na sua rede VPC. Na guia Rotas efetivas, faça o seguinte:

    1. As regiões em que as rotas dinâmicas são programadas dependem o modo de roteamento dinâmico da rede VPC que exporta rotas personalizadas. Para mais detalhes, consulte Efeitos do modo de roteamento dinâmico. No mundo no modo de roteamento dinâmico, apenas a rota dinâmica com a melhor classificação é programada em regiões que não correspondem à região do próximo salto.

    2. Clique no botão Mostrar rotas suprimidas para a posição ativada e marque para o seu trajeto. Para visualizar por que um trajeto foi suprimido, aponte ao ícone na coluna Status. Cloud de Confiance oferece resolução de conflitos de rotas em cada região na rede VPC que importa rotas usando o peering de rede VPC.

    3. Procure um aviso indicando que sua rede VPC tem atingiu o limite de rotas dinâmicas por região por peering do grupo de cotas. Se a VPC da rede atingiu o limite da cota, uma ou mais instâncias dinâmicas de peering rotas não são programadas. Como não é possível mostrar exatamente as rotas dinâmicas de peering não são programadas. Solicite um limite de cota. de aumento nas rotas dinâmicas por região e por cota de grupo de peering.

  2. Se ainda assim o trajeto esperado não for exibido, faça o seguinte:

    1. Analise sua configuração de peering e atualize sua configuração de peering se necessário para que ele importe rotas personalizadas.

    2. Certifique-se de que a rota não é de um dos seguintes tipos que não podem ser trocados usando peering de rede VPC:

      • Sub-rede em peering, rotas de peering estáticas e dinâmicas de peering em uma rede VPC que são recebidas de outras redes de peering não podem ser trocadas com sua rede VPC usando Peering de rede VPC.

      • Rotas estáticas que usam o próximo salto e o gateway de Internet padrão rotas com tags de rede não podem ser trocadas usando Peering de rede VPC.

      Para mais informações, consulte Opções de troca de rota.

    3. Peça a um administrador da rede VPC com peering para fazer o seguinte:

      1. Listar rotas na VPC de rede, buscando a rota que você espera.

      2. Analise a configuração de peering e atualize-a, se necessário, para exportar rotas personalizadas.

O tráfego destinado a uma rede de peering está sendo descartado

Você pode usar Testes de conectividade para ajudar a determinar por que o tráfego destinado a uma rede de peering está sendo descartado. Se deve ser enviado usando rotas personalizadas. Consulte Faltam rotas personalizadas.

O tráfego está sendo enviado para um próximo salto inesperado

Você pode usar Testes de conectividade para ajudar a determinar por que o tráfego está sendo enviado para um próximo salto inesperado. Se deve ser enviado usando rotas personalizadas. Consulte Faltam rotas personalizadas.

Não é possível fazer peering com uma rede VPC específica

Se não for possível criar uma configuração de peering com determinadas redes VPC, uma política da organização pode estar restringindo as redes VPC com as quais sua rede pode fazer peering. Na política da organização, adicione a rede à lista de peerings permitidos ou entre em contato com o administrador da organização. Para ver mais informações, consulte a restrição constraints/compute.restrictVpcPeering.

As rotas IPv6 não são trocadas

Primeiro, verifique se a conexão de peering e a conexão de peering do a rede VPC com peering têm os tipos de pilha definidos como IPV4_IPV6. Caso seja necessário,

  • Atualize sua conexão de peering para definir a pilha como IPV4_IPV6.
  • Peça a um administrador da rede VPC com peering para atualizar a conexão de peering, definindo o tipo de pilha como IPV4_IPV6.

Depois que as duas conexões de peering tiverem os tipos de pilha definidos como IPV4_IPV6, IPv6 as rotas de sub-rede (internas e externas) são trocadas. As rotas de sub-rede IPv6 são únicas entre todas as redes VPC Cloud de Confiance .

Para trocar rotas personalizadas IPv6:

  • Atualize sua conexão de peering para importar e exportar rotas personalizadas.
  • Peça a um administrador da rede VPC com peering para atualizar a conexão de peering para importar e exportar rotas personalizadas.

A seguir