Migrer des charges de travail vers Google Cloud avec Hybrid Subnets

Hybrid Subnets vous aide à migrer des charges de travail d'un réseau sur site vers un réseau cloud privé virtuel (VPC) sans avoir à modifier les adresses IP. Ce document décrit les étapes à suivre pour configurer le routage de sous-réseau hybride, tester la connectivité sur le bloc CIDR partagé par les réseaux sur site et VPC, et migrer les charges de travail depuis le réseau sur site.

Avant de commencer

Assurez-vous d'avoir terminé les étapes de la page Préparer la connectivité de Hybrid Subnets.

Activer le routage de sous-réseau hybride

Pour assurer la connectivité interne entre les réseaux sur site et VPC qui partagent un bloc CIDR, vous avez besoin d'au moins un sous-réseau pour lequel le routage de sous-réseau hybride est activé.

Le sous-réseau qui utilise le routage de sous-réseau hybride doit répondre aux exigences suivantes :

Il doit se trouver dans la même région que le routeur Cloud Router et les tunnels VPN haute disponibilité ou les rattachements de VLAN qui fournissent une connectivité hybride.
La plage d'adresses IPv4 du sous-réseau doit correspondre à la plage d'adresses IP du réseau sur site qui héberge les charges de travail que vous souhaitez migrer.

Vous pouvez activer le routage de sous-réseau hybride lorsque vous créez un sous-réseau ou mettre à jour un sous-réseau existant pour activer la fonctionnalité.

Créer un sous-réseau avec le routage de sous-réseau hybride activé

Pour créer un sous-réseau pour lequel le routage de sous-réseau hybride est activé, procédez comme suit.

Console

Dans la console Google Cloud , accédez à la page Réseaux VPC.

Accéder aux réseaux VPC
Cliquez sur le nom du réseau VPC dans lequel vous souhaitez configurer le routage de sous-réseau hybride.
Cliquez sur l'onglet Sous-réseaux.
Cliquez sur Ajouter un sous-réseau. Dans le panneau qui apparaît :
1. Indiquez un Nom.
2. Sélectionnez une région.
3. Dans la section Objectif, sélectionnez Aucun.
4. Dans la section Type de pile, sélectionnez IPv4 (pile unique).
5. Dans le champ Plage IPv4, saisissez le bloc CIDR partagé entre ce sous-réseau et les charges de travail que vous souhaitez migrer.
6. Dans la section Sous-réseaux hybrides, sélectionnez Activé.
7. Cliquez sur Ajouter.

gcloud

Exécutez la commande gcloud compute networks subnets create.

gcloud compute networks subnets create SUBNET \
    --network=NETWORK \
    --region=REGION \
    --range=RANGE \
    --allow-cidr-routes-overlap

Remplacez les éléments suivants :

SUBNET : nom du sous-réseau
NETWORK: nom du réseau VPC du sous-réseau
RANGE: bloc CIDR partagé entre ce sous-réseau et les charges de travail que vous souhaitez migrer.
REGION : région de votre sous-réseau

API

Créez un sous-réseau pour lequel le routage de sous-réseau hybride est activé.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_ID : ID de votre projet
REGION : région de votre sous-réseau
SUBNET : nom de votre sous-réseau
NETWORK_NAME : nom du réseau VPC du sous-réseau
RANGE : bloc CIDR partagé entre ce sous-réseau et les charges de travail que vous souhaitez migrer.

Méthode HTTP et URL :

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

Corps JSON de la requête :

{
  "name": "SUBNET",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "ipCidrRange": "RANGE",
  "allowSubnetCidrRoutesOverlap": true
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "kind": "compute#operation",
  "id": "5973660558170953708",
  "name": "operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "operationType": "insert",
  "targetLink": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1/subnetworks/subnet-name",
  "targetId": "5514771331600183201",
  "status": "RUNNING",
  "user": "user@gmail.com",
  "progress": 0,
  "insertTime": "2023-03-31T11:40:03.882-07:00",
  "startTime": "2023-03-31T11:40:03.893-07:00",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1/operations/operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "region": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1"
}

Activer le routage de sous-réseau hybride pour un sous-réseau existant

Pour activer le routage de sous-réseau hybride pour un sous-réseau existant, procédez comme suit.

Console

Dans la console Google Cloud , accédez à la page Réseaux VPC.

Accéder aux réseaux VPC
Cliquez sur le nom du réseau VPC qui contient le sous-réseau que vous souhaitez mettre à jour.
Cliquez sur l'onglet Sous-réseaux.
Cliquez sur le sous-réseau que vous souhaitez mettre à jour.
Cliquez sur Modifier.
Dans la section Sous-réseaux hybrides, sélectionnez Activé.
Cliquez sur Enregistrer.

gcloud

Exécutez la commande gcloud compute networks subnets update.

gcloud compute networks subnets update SUBNET \
    --region=REGION \
    --allow-cidr-routes-overlap

Remplacez les éléments suivants :

SUBNET : nom du sous-réseau
REGION : région du sous-réseau

API

Recherchez l'ID fingerprint de votre sous-réseau.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_ID : ID de votre projet
REGION : région de votre sous-réseau
SUBNET_NAME : nom de votre sous-réseau

Méthode HTTP et URL :

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "kind": "compute#subnetwork",
  "id": "5514771331600183201",
  "creationTimestamp": "2022-09-16T12:41:02.010-07:00",
  "name": "subnet-name",
  "network": "https://www.googleapis.com/compute/v1/projects/project-name/global/networks/network-name",
  "ipCidrRange": "10.6.0.0/16",
  "gatewayAddress": "10.6.0.1",
  "region": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1/subnetworks/subnet-name",
  "privateIpGoogleAccess": true,
  "fingerprint": "YiItidAFRsA5",
  "allowSubnetCidrRoutesOverlap": false,
  "enableFlowLogs": true,
  "privateIpv6GoogleAccess": "DISABLE_GOOGLE_ACCESS",
  "purpose": "PRIVATE",
  "stackType": "IPV4_ONLY"
}

Activez le routage de sous-réseau hybride.

Avant d'utiliser les données de requête, remplacez SUBNET_FINGERPRINT par l'ID d'empreinte de votre sous-réseau que vous avez trouvé dans la requête précédente, par exemple YiItidAFRsA5.

Méthode HTTP et URL :

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

Corps JSON de la requête :

{
  "allowSubnetCidrRoutesOverlap": true,
  "fingerprint": "SUBNET_FINGERPRINT"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "kind": "compute#operation",
  "id": "5973660558170953708",
  "name": "operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "operationType": "compute.subnetworks.patch",
  "targetLink": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1/subnetworks/subnet-name",
  "targetId": "5514771331600183201",
  "status": "RUNNING",
  "user": "user@gmail.com",
  "progress": 0,
  "insertTime": "2023-03-31T11:40:03.882-07:00",
  "startTime": "2023-03-31T11:40:03.893-07:00",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1/operations/operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "region": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1"
}

Pour vérifier que allowSubnetCidrRoutesOverlap est activé pour votre sous-réseau, envoyez une autre requête GET et assurez-vous que la réponse inclut les éléments suivants :
- "allowSubnetCidrRoutesOverlap": true

Tester la connectivité réseau de votre réseau VPC à votre réseau sur site

Pour tester la connectivité entre votre réseau VPC et le réseau sur site sur le bloc CIDR partagé, procédez comme suit :

Créez une VM de test dans le sous-réseau qui utilise le routage de sous-réseau hybride.
Notez l'adresse IPv4 interne principale de la VM de test.
Dans le réseau VPC qui contient votre VM de test, configurez une annonce personnalisée sur les sessions BGP Cloud Router pertinentes, y compris une annonce de routage personnalisée /32 spécifique qui correspond à l'adresse IPv4 interne principale de la VM de test. Pour en savoir plus, consultez Routes annoncées et Annoncer des plages d'adresses personnalisées dans la documentation Cloud Router.
Assurez-vous que les règles de pare-feu de votre réseau sur site et de votre réseau VPC autorisent la connectivité (TCP et ICMP) d'un système sur site à la VM de test.
Utilisez SSH pour vous connecter à la VM.
Lorsque le système d'exploitation vous y invite, utilisez la commande ping pour tester la connectivité à un système du réseau sur site.

Déplacer des charges de travail et mettre à jour le routage

Chaque fois que vous migrez une charge de travail ou un groupe de charges de travail, procédez comme suit :

Migrer des charges de travail

Migrez les charges de travail et les VM de votre réseau sur site vers votre réseau VPC à l'aide de la méthode de votre choix.

Pour en savoir plus sur les options de migration, consultez Options de migration.

Mettre à jour une route annoncée personnalisée

Lorsque vous migrez des VM vers Google Cloud, mettez à jour les routes annoncées personnalisées de la session BGP de votre routeur Cloud Router pour inclure l'adresse IPv4 interne principale de chaque VM migrée.

Pour les blocs d'adresses IP contigus, consolidez les adresses en un nombre aussi réduit que possible d'annonces personnalisées. Les publicités doivent rester plus spécifiques (avec des masques de sous-réseau plus longs) que la plage d'adresses IPv4 du sous-réseau pour lequel le routage de sous-réseau hybride est activé.

Tester la connectivité à une VM migrée depuis votre réseau sur site

Pour tester la connectivité à une VM que vous avez migrée vers Google Cloud, procédez comme suit :

Assurez-vous de mettre à jour les annonces personnalisées pour les sessions BGP qui gèrent la connectivité hybride. Les annonces de routage doivent inclure l'adresse IP interne de la VM migrée.
Utilisez la commande ping pour tester la connectivité d'un système de votre réseau sur site à l'adresse IP de la VM migrée.

Étape suivante

Désactiver le routage de sous-réseau hybride