Migrazione dei carichi di lavoro a Google Cloud con Hybrid Subnets

Hybrid Subnets ti aiutano a eseguire la migrazione dei carichi di lavoro da una rete on-premise a una rete Virtual Private Cloud (VPC) senza dover modificare gli indirizzi IP. Questo documento descrive i passaggi per configurare il routing delle subnet ibride, testare la connettività nel blocco CIDR condiviso dalle reti on-premise e VPC e migrare i carichi di lavoro dalla rete on-premise.

Prima di iniziare

Assicurati di aver completato i passaggi descritti in Prepararsi alla connettività di Hybrid Subnets.

Attivare il routing della subnet ibrida

Per supportare la connettività interna tra le reti on-premise e VPC che condividono un blocco CIDR, è necessaria almeno una subnet con il routing delle subnet ibride abilitato.

La subnet che utilizza il routing di subnet ibrida deve soddisfare i seguenti requisiti:

Deve trovarsi nella stessa regione del router Cloud e dei tunnel VPN ad alta disponibilità affidabilità o dei collegamenti VLAN che forniscono connettività ibrida.
L'intervallo di indirizzi IPv4 della subnet deve corrispondere all'intervallo di indirizzi IP della rete on-premise che ospita i carichi di lavoro che vuoi migrare.

Puoi attivare il routing ibrido delle subnet quando crei una nuova subnet oppure puoi aggiornare una subnet esistente per attivare la funzionalità.

Crea una nuova subnet con il routing della subnet ibrida abilitato

Per creare una nuova subnet con il routing delle subnet ibride abilitato:

Console

Nella console Google Cloud , vai alla pagina Reti VPC.

Vai a Reti VPC
Fai clic sul nome della rete VPC in cui vuoi configurare il routing delle subnet ibride.
Fai clic sulla scheda Subnet.
Fai clic su Aggiungi subnet. Nel riquadro visualizzato:
1. Fornisci un nome.
2. Seleziona una regione.
3. Nella sezione Scopo, seleziona Nessuno.
4. Nella sezione Tipo di stack, seleziona IPv4 (stack singolo).
5. Nel campo Intervallo IPv4, inserisci il blocco CIDR condiviso tra questa subnet e i carichi di lavoro che vuoi migrare.
6. Nella sezione Subnet ibride, seleziona On.
7. Fai clic su Aggiungi.

gcloud

Utilizza il comando gcloud compute networks subnets create.

gcloud compute networks subnets create SUBNET \
    --network=NETWORK \
    --region=REGION \
    --range=RANGE \
    --allow-cidr-routes-overlap

Sostituisci quanto segue:

SUBNET: il nome della subnet.
NETWORK: il nome della rete VPC della subnet
RANGE: il blocco CIDR condiviso tra questa subnet e i carichi di lavoro che vuoi migrare.
REGION: la regione della subnet.

API

Crea una nuova subnet con il routing della subnet ibrida abilitato.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

PROJECT_ID: l'ID del progetto
REGION: la regione della subnet
SUBNET: il nome della subnet
NETWORK_NAME: il nome della rete VPC della subnet
RANGE: il blocco CIDR condiviso tra questa subnet e i carichi di lavoro di cui vuoi eseguire la migrazione.

Metodo HTTP e URL:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

Corpo JSON della richiesta:

{
  "name": "SUBNET",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "ipCidrRange": "RANGE",
  "allowSubnetCidrRoutesOverlap": true
}

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "kind": "compute#operation",
  "id": "5973660558170953708",
  "name": "operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "operationType": "insert",
  "targetLink": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1/subnetworks/subnet-name",
  "targetId": "5514771331600183201",
  "status": "RUNNING",
  "user": "user@gmail.com",
  "progress": 0,
  "insertTime": "2023-03-31T11:40:03.882-07:00",
  "startTime": "2023-03-31T11:40:03.893-07:00",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1/operations/operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "region": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1"
}

Abilitare il routing della subnet ibrida per una subnet esistente

Per abilitare il routing delle subnet ibride per una subnet esistente:

Console

Nella console Google Cloud , vai alla pagina Reti VPC.

Vai a Reti VPC
Fai clic sul nome della rete VPC che contiene la subnet da aggiornare.
Fai clic sulla scheda Subnet.
Fai clic sulla subnet da aggiornare.
Fai clic su Modifica.
Nella sezione Subnet ibride, seleziona On.
Fai clic su Salva.

gcloud

Utilizza il comando gcloud compute networks subnets update.

gcloud compute networks subnets update SUBNET \
    --region=REGION \
    --allow-cidr-routes-overlap

Sostituisci quanto segue:

SUBNET: il nome della subnet.
REGION: la regione della subnet.

API

Trova l'ID fingerprint della tua subnet.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

PROJECT_ID: l'ID del progetto
REGION: la regione della subnet
SUBNET_NAME: il nome della subnet

Metodo HTTP e URL:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "kind": "compute#subnetwork",
  "id": "5514771331600183201",
  "creationTimestamp": "2022-09-16T12:41:02.010-07:00",
  "name": "subnet-name",
  "network": "https://www.googleapis.com/compute/v1/projects/project-name/global/networks/network-name",
  "ipCidrRange": "10.6.0.0/16",
  "gatewayAddress": "10.6.0.1",
  "region": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1/subnetworks/subnet-name",
  "privateIpGoogleAccess": true,
  "fingerprint": "YiItidAFRsA5",
  "allowSubnetCidrRoutesOverlap": false,
  "enableFlowLogs": true,
  "privateIpv6GoogleAccess": "DISABLE_GOOGLE_ACCESS",
  "purpose": "PRIVATE",
  "stackType": "IPV4_ONLY"
}

Attiva il routing della subnet ibrida.

Prima di utilizzare i dati della richiesta, sostituisci SUBNET_FINGERPRINT con l'ID impronta della subnet che hai trovato nella richiesta precedente, ad esempio YiItidAFRsA5.

Metodo HTTP e URL:

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

Corpo JSON della richiesta:

{
  "allowSubnetCidrRoutesOverlap": true,
  "fingerprint": "SUBNET_FINGERPRINT"
}

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "kind": "compute#operation",
  "id": "5973660558170953708",
  "name": "operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "operationType": "compute.subnetworks.patch",
  "targetLink": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1/subnetworks/subnet-name",
  "targetId": "5514771331600183201",
  "status": "RUNNING",
  "user": "user@gmail.com",
  "progress": 0,
  "insertTime": "2023-03-31T11:40:03.882-07:00",
  "startTime": "2023-03-31T11:40:03.893-07:00",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1/operations/operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "region": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1"
}

Per verificare che allowSubnetCidrRoutesOverlap sia abilitato per la tua subnet, invia un'altra richiesta GET e assicurati che la risposta includa quanto segue:
- "allowSubnetCidrRoutesOverlap": true

Testa la connettività di rete dalla rete VPC alla rete on-premise

Per testare la connettività tra la rete VPC e la rete on-premise nel blocco CIDR condiviso, puoi procedere nel seguente modo:

Crea una VM di test nella subnet che utilizza il routing ibrido delle subnet.
Prendi nota dell'indirizzo IPv4 interno principale della VM di test.
Nella rete VPC che contiene la VM di test, configura l'annuncio personalizzato nelle sessioni BGP del router Cloud pertinenti, incluso uno specifico annuncio di route personalizzato /32 che corrisponde all'indirizzo IPv4 interno principale della VM di test. Per saperne di più, consulta Route annunciate e Annuncia intervalli di indirizzi personalizzati nella documentazione del router Cloud.
Assicurati che le regole firewall nella tua rete on-premise e nella tua rete VPC consentano la connettività (TCP e ICMP) da un sistema on-premise alla VM di test.
Utilizza SSH per connetterti alla VM.
Al prompt del sistema operativo, utilizza il comando ping per testare la connettività a un sistema nella rete on-premise.

Sposta i workload e aggiorna il routing

Ogni volta che esegui la migrazione di un workload o di un gruppo di workload, completa i seguenti passaggi insieme.

Esegui la migrazione dei workload

Esegui la migrazione dei workload e delle VM dalla rete on-premise alla rete VPC utilizzando il metodo che preferisci.

Per informazioni sulle opzioni di migrazione, vedi Opzioni di migrazione.

Aggiornare una route annunciata personalizzata

Man mano che esegui la migrazione delle VM a Google Cloud, aggiorna le route annunciate personalizzate della sessione BGP del router Cloud in modo da includere l'indirizzo IPv4 interno principale di ogni VM di cui è stata eseguita la migrazione.

Per i blocchi di indirizzi IP contigui, consolida gli indirizzi in un numero il più ridotto possibile di annunci personalizzati. Le pubblicità devono rimanere più specifiche (avere subnet mask più lunghe) rispetto all'intervallo di indirizzi IPv4 della subnet in cui è abilitato il routing ibrido delle subnet.

Testa la connettività a una VM di cui è stata eseguita la migrazione dalla tua rete on-premise

Per testare la connettività a una VM di cui hai eseguito la migrazione a Google Cloud, puoi procedere nel seguente modo:

Assicurati di aver aggiornato le pubblicità personalizzate per le sessioni BGP che gestiscono la connettività ibrida. Gli annunci di route devono includere l'indirizzo IP interno della VM di cui è stata eseguita la migrazione.
Utilizza il comando ping per testare la connettività da un sistema nella tua rete on-premise all'indirizzo IP della VM di cui è stata eseguita la migrazione.

Passaggi successivi

Disattivare il routing della subnet ibrida