קישור בין שתי רשתות VPC שכנות (peering)

במדריך למתחילים הזה נסביר איך ליצור קשר בין שתי רשתות של ענן וירטואלי פרטי (VPC) באמצעות מסוף Google Cloud .

נניח שיש ארגון organization-a שצריך ליצור קישור בין רשתות VPC שכנות (peering) בין network-a ב-project-a לבין network-b ב-project-b. כדי שקישור בין רשתות שכנות של VPC יתבצע בהצלחה, האדמינים של network-a ושל network-b צריכים להגדיר בנפרד את הקישור בין הרשתות.

אחרי שתשלימו את השלבים בדף הזה, תיווצר ההגדרה הבאה:

הפירינג פעיל.
שתי רשתות עם חיבור פעיל של Peering (לחצו כדי להגדיל).

חיבור ה-Peering הוא במצב עצמאי (ברירת מחדל).

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    10.
  10. חוזרים על השלבים האלה לפרויקט שני. במדריך הזה לתחילת העבודה מוסבר איך לקשר בין רשתות VPC שנמצאות בפרויקטים נפרדים.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לחיבור של שתי רשתות VPC, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירת שתי רשתות VPC

בקטע הזה, יוצרים שתי רשתות VPC, כל אחת בפרויקט אחר.

יצירת network-a ו-subnet-a בפרויקט הראשון

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על יצירת רשת VPC.

  3. בשדה שם מזינים network-a.

  4. בקטע New subnet (רשת משנה חדשה), מציינים את הפרטים הבאים:

    1. בשדה שם מזינים subnet-a.
    2. בוחרים אזור.
    3. בשדה IPv4 range (טווח כתובות IPv4), מזינים 10.0.1.0/24.
    4. לוחצים על סיום.

  5. בכרטיסייה IPv4 firewall rules (כללי חומת אש של IPv4), בצד שמאל של השורה שמכילה את כלל חומת האש המוגדר מראש של תעבורת נתונים נכנסת (ingress) שנקרא NETWORK-allow-custom, לוחצים על Edit (עריכה).

    1. מבטלים את הסימון של האפשרות Use subnets' IPv4 ranges.
    2. בקטע Other IPv4 ranges (טווחי IPv4 אחרים), מזינים 10.0.0.0/20. הזנת הטווח הזה מבטיחה שהמשאבים ברשתות המקושרות יוכלו לתקשר זה עם זה, ומאפשרת להוסיף בעתיד רשתות משנה נוספות בלי לעדכן את כללי חומת האש.
    3. לוחצים על אישור.

  6. לוחצים על יצירה.

יצירת network-b ו-subnet-b בפרויקט השני

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על יצירת רשת VPC.

  3. בשדה שם מזינים network-b.

  4. בקטע New subnet (רשת משנה חדשה), מציינים את הפרטים הבאים:

    1. בשדה שם מזינים subnet-b.
    2. בוחרים אזור.
    3. בשדה IPv4 range (טווח כתובות IPv4), מזינים 10.0.8.0/24.
    4. לוחצים על סיום.

  5. בכרטיסייה IPv4 firewall rules (כללי חומת אש של IPv4), בצד שמאל של השורה שמכילה את כלל חומת האש המוגדר מראש של תעבורת נתונים נכנסת (ingress) שנקרא NETWORK-allow-custom, לוחצים על Edit (עריכה).

    1. מבטלים את הסימון של האפשרות Use subnets' IPv4 ranges.
    2. בקטע Other IPv4 ranges (טווחי IPv4 אחרים), מזינים 10.0.0.0/20. הזנת הטווח הזה מבטיחה שהמשאבים ברשתות המקושרות יוכלו לתקשר זה עם זה, ומאפשרת להוסיף בעתיד רשתות משנה נוספות בלי לעדכן את כללי חומת האש.
    3. לוחצים על אישור.

  6. לוחצים על יצירה.

התאמה עם network-a network-b

בקטע הזה מוסבר איך להגדיר את network-a כך שיהיה לו קישור ישיר ל-network-b.

המסוף

  1. נכנסים לדף VPC Network Peering במסוף Google Cloud .

    מעבר ל-VPC Network Peering

  2. לוחצים על יצירת קישור.

  3. לוחצים על Continue.

  4. מזינים שם של peer-ab לצד הזה של החיבור.

  5. בקטע Your VPC network, בוחרים באפשרות network-a.

  6. מגדירים את לחצני הבחירה רשת VPC של קישור בין רשתות שכנות (peering) לערך In another project.

  7. מציינים את מזהה הפרויקט של הפרויקט השני.

  8. מציינים את השם של רשת ה-VPC של הרשת השנייה, network-b.

  9. בוחרים באפשרות ייבוא של נתיבים מותאמים אישית וייצוא של נתיבים מותאמים אישית.

  10. לוחצים על יצירה.

בשלב הזה, מצב הפירינג נשאר INACTIVE כי אין הגדרה תואמת ב-network-b ב-project-b.

כשמצב ה-peering הופך ל-ACTIVE, מתבצע באופן אוטומטי חילוף של נתיבי רשתות משנה (subnet) באמצעות VPC Network Peering. Google Cloud מתבצע גם חילוף של נתיבים מותאמים אישית (נתיבים סטטיים ונתיבים דינמיים) על ידי ייבוא או ייצוא שלהם דרך חיבור ה-peering. שתי הרשתות צריכות להיות מוגדרות להחלפת מסלולים מותאמים אישית לפני שמשתפים אותן. מידע נוסף מופיע במאמר בנושא ייבוא וייצוא של מסלולים בהתאמה אישית.

כדי לראות את מצב ה-peering הנוכחי, מציגים את חיבור ה-peering:

המסוף

  1. נכנסים לדף VPC Network Peering במסוף Google Cloud .

    מעבר ל-VPC Network Peering

  2. בוחרים באפשרות peer-ab. בדף Peering connection details (פרטי חיבור Peering), הסטטוס הוא Inactive. Waiting for the connection to be created by network-b.

התאמה עם network-b network-a

בקטע הזה, יוצרים הגדרת שיוך תואמת מ-network-b ל-network-a כך שהשיוך יהפוך ל-ACTIVE בשני הקצוות.

המסוף

  1. נכנסים לדף VPC Network Peering במסוף Google Cloud .

    מעבר ל-VPC Network Peering

  2. לוחצים על יצירת קישור.

  3. לוחצים על Continue.

  4. מזינים שם של peer-ba לצד הזה של החיבור.

  5. בקטע Your VPC network (רשת ה-VPC שלך), בוחרים באפשרות network-b.

  6. מגדירים את לחצני הבחירה רשת VPC של קישור בין רשתות שכנות (peering) לערך In another project.

  7. מציינים את מזהה הפרויקט של הפרויקט השני.

  8. מציינים את השם של רשת ה-VPC של הרשת השנייה, network-b.

  9. בוחרים באפשרות ייבוא של נתיבים מותאמים אישית וייצוא של נתיבים מותאמים אישית.

  10. לוחצים על יצירה.

קישור בין רשתות VPC שכנות (peering) הופך ל-ACTIVE

ברגע שהפירינג עובר למצב ACTIVE, מתבצעת החלפה של מסלולי משנה ומסלולים מותאמים אישית, וכך מתאפשרת תעבורה בין משאבים ברשתות.

המסוף

  1. נכנסים לדף VPC Network Peering במסוף Google Cloud .

    מעבר ל-VPC Network Peering

  2. בדף 'קישור בין רשתות VPC שכנות (peering)', הסטטוס של החיבור שיצרתם הוא ACTIVE.

  3. עוברים לדף 'קישור (peering) בין רשתות VPC שכנות' בפרויקט השני כדי לראות שגם שם מופיע ACTIVE.

המסלולים לקידומות CIDR של רשתות שבוצע בהן פירינג מוצגים עכשיו בכל רשתות ה-VPC שבוצע בהן פירינג. אלה מסלולים מרומזים שנוצרים עבור חיבורי פירינג פעילים. אין להם משאבי מסלול תואמים. בשלבים הבאים מוסבר איך להציג מסלולים לכל רשתות ה-VPC של project-a.

המסוף

  1. נכנסים לדף Routes במסוף Google Cloud .

    לדף Routes

  2. בקטעים Network (רשת) ו-Region (אזור), בוחרים את network-a ואת האזור שבו יצרתם את subnet-a, ואז לוחצים על View (הצגה).

  3. ברשימת המסלולים, יש מסלול Peering subnet לsubnet-b.

הסרת המשאבים

כדי לא לצבור חיובים לחשבון Google Cloud על המשאבים שבהם השתמשתם בדף הזה, פועלים לפי השלבים הבאים:

מחיקת הפרויקטים

כדי למחוק את הפרויקטים שיצרתם:

  1. במסוף Google Cloud , נכנסים לדף Manage resources.

    כניסה לדף Manage resources

  2. ברשימת הפרויקטים, בוחרים את הפרויקט שרוצים למחוק ולוחצים על Delete.
  3. כדי למחוק את הפרויקט, כותבים את מזהה הפרויקט בתיבת הדו-שיח ולוחצים על Shut down.

מחיקת משאבים בודדים

אם לא רוצים למחוק את הפרויקט כולו, צריך למחוק את חיבורי ה-VPC Network Peering ואת רשתות ה-VPC שיצרתם.

כדי למחוק רשת, צריך קודם למחוק את חיבור ה-VPC Network Peering שלה.

מחיקת קישורים בין רשתות VPC שכנות (peering)

כדי למחוק חיבור של קישור בין רשתות VPC שכנות (peering):

המסוף

  1. נכנסים לדף VPC Network Peering במסוף Google Cloud .

    מעבר ל-VPC Network Peering

  2. מסמנים את התיבה לצד ה-peering שרוצים להסיר.

  3. לוחצים על Delete.

מחיקת רשתות VPC

כדי למחוק רשת VPC:

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על השם של רשת VPC כדי להציג את הדף פרטים של רשת VPC.

  3. לוחצים על מחיקת רשת VPC.

  4. בהודעה שמופיעה, לוחצים על מחיקה כדי לאשר.

המאמרים הבאים