VPC-Netzwerk-Peering einrichten und verwalten

Google Cloud VPC-Netzwerk-Peering ermöglicht Verbindungen über interne IP-Adressen zwischen zwei VPC-Netzwerken (Virtual Private Cloud), unabhängig davon, ob sie zum selben Google Cloud Projekt oder zur selben Organisation gehören. Peering unterstützt die Konnektivität zwischen Netzwerken mit einer beliebigen Kombination aus Nur-IPv4-, Dual-Stack- und Nur-IPv6-Subnetzen.

Hinweis

IAM-Berechtigungen

Sie müssen für das Projekt eine der folgenden Rollen haben:

  • Rolle „Compute-Netzwerkadministrator“ (roles/compute.networkAdmin)
  • Eine benutzerdefinierte Rolle mit den folgenden Berechtigungen:
    • compute.networks.addPeering
    • compute.networks.updatePeering
    • compute.networks.removePeering
    • compute.networks.listPeeringRoutes

Peering-Konfiguration erstellen

Bevor Sie beginnen, müssen Sie den Namen des VPC-Netzwerk kennen, zu dem Sie eine Peering-Verbindung herstellen möchten. Wenn sich dieses Netzwerk in einem anderen Projekt befindet, müssen Sie auch dessen Projekt-ID kennen. Sie können keine Peering-Anfragen für Ihr VPC-Netzwerk auflisten. Fragen Sie bei Bedarf den Administrator des Netzwerks, mit dem Sie eine Peering-Verbindung herstellen möchten, nach dem Netzwerknamen und der Projekt-ID.

Ihr Netzwerk und das andere Netzwerk sind miteinander verbunden, nachdem jedes Netzwerk eine Peering-Konfiguration hat, die auf das andere Netzwerk verweist. Weitere Informationen finden Sie unter Peering-Verbindungen.

Google Cloud erlaubt jeweils nur einen Peering-Vorgang zwischen den Peering-Netzwerken. Wenn Sie beispielsweise eine Peering-Verbindung zu einem Netzwerk einrichten und sofort im Anschluss versuchen, ein weiteres Peering einzurichten, schlägt der Vorgang mit folgender Fehlermeldung fehl: Error: There is a peering operation in progress on the local or peer network. Try again later.

Console

Führen Sie die folgenden Schritte für jede Seite der Peering-Verbindung aus.

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Klicken Sie auf Verbindung erstellen.

  3. Klicken Sie auf Weiter.

  4. Geben Sie im Feld Name der Peering-Verbindung einen Namen für die Peering-Konfiguration ein.

  5. Wählen Sie im Feld Mein VPC-Netzwerk ein Netzwerk aus, mit dem Sie eine Peering-Verbindung herstellen möchten.

  6. Wählen Sie im Bereich Peering-VPC-Netzwerk das Netzwerk aus, mit dem ein Peering eingerichtet werden soll:

    • Wenn sich das Netzwerk, mit dem Sie eine Peering-Verbindung herstellen möchten, im selben Projekt befindet, wählen Sie In Projekt [name-of-your-project] und dann das Netzwerk aus, mit dem die Peering-Verbindung hergestellt werden soll.
    • Wenn sich das Netzwerk, mit dem Sie eine Peering-Verbindung herstellen möchten, in einem anderen Projekt befindet, wählen Sie In einem anderen Projekt aus. Geben Sie die Projekt-ID an, die das Netzwerk, mit dem Sie eine Peering-Verbindung herstellen möchten, und den Namen des VPC-Netzwerks beinhaltet.

  7. Wählen Sie die IP-Version der Routen aus, die zwischen den Peering-Netzwerken ausgetauscht werden sollen:

    • IPv4 (Single-Stack): Nur IPv4-Routen werden ausgetauscht. Das Partnernetzwerk muss diese Option ebenfalls aktivieren.
    • IPv4 und IPv6 (Dual-Stack): IPv4- und IPv6-Routen werden ausgetauscht. Diese Option muss auch vom Peer-Netzwerk unterstützt werden.

  8. Wenn Sie benutzerdefinierte IPv4-Routen austauschen möchten, wählen Sie im Bereich Benutzerdefinierte IPv4-Routen austauschen eine oder beide der folgenden Optionen aus:

    • Benutzerdefinierte Routen importieren: Importieren Sie benutzerdefinierte Routen aus dem Peering-Netzwerk. Das Peering-Netzwerk muss den Export der benutzerdefinierten Route für Routen aktivieren, die importiert werden sollen.
    • Benutzerdefinierte Routen exportieren: Benutzerdefinierte Routen zum Peer-Netzwerk exportieren. Das Peering-Netzwerk muss den Import benutzerdefinierter Routen für den Export von Routen aktivieren.

  9. Wenn Ihr Netzwerk oder das Peering-Netzwerk privat genutzte öffentliche IPv4-Bereiche in seinen Subnetzen verwendet, werden diese Routen standardmäßig exportiert, aber nicht standardmäßig importiert.

    Wenn Sie privat verwendete öffentliche IPv4-Subnetzrouten importieren möchten, wählen Sie im Abschnitt Subnetzrouten mit privat verwendeten öffentlichen IPv4-Adressen austauschen die Option Subnetzrouten mit öffentlicher IP-Adresse importieren aus.

  10. Wählen Sie im Abschnitt Erweiterte Optionen die Updatestrategie für die Peering-Verbindung aus:

    • Unabhängig (Standard): Wenn diese Option ausgewählt ist, kann die Verbindung jederzeit von beiden Seiten aktualisiert oder gelöscht werden. Weitere Informationen finden Sie unter Verbindungsmodus.
    • Consensus (Konsens): Wenn diese Option ausgewählt ist, muss das Peer-Netzwerk die Aktualisierung oder Löschung der Verbindung bestätigen. Weitere Informationen finden Sie unter Verbindungsmodus.

  11. Klicken Sie auf Erstellen.

gcloud

Führen Sie den Befehl gcloud compute networks peerings create aus.

Sie können eine Peering-Konfiguration mit der Standardkonfiguration erstellen oder Ihre Konfiguration anpassen.

Standard-Peering-Konfiguration erstellen

Führen Sie den folgenden Befehl aus, um eine Standard-Peering-Konfiguration zu erstellen:

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME

Ersetzen Sie Folgendes:

  • PEERING_NAME: der Name der Peering-Konfiguration
  • NETWORK: Name des Netzwerks in Ihrem Projekt, zu dem Sie eine Peering-Verbindung herstellen möchten

  • PEER_PROJECT_ID: die ID des Projekts mit dem Netzwerk, zu dem Sie eine Peering-Verbindung herstellen möchten

    Wenn sich das Peering-Netzwerk im selben Projekt wie Ihr Netzwerk befindet, ist dieses Flag optional.

  • PEER_NETWORK_NAME: Name des Netzwerks, zu dem Sie eine Peering-Verbindung herstellen möchten

Wenn Sie beispielsweise network-a in project-a mit network-b in project-b verbinden möchten, gehen Sie so vor:

  1. Erstellen Sie eine Peering-Konfiguration für network-a.

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b

  2. Erstellen Sie die entsprechende Peering-Konfiguration für network-b. Dieser Schritt wird in der Regel von einem Netzwerkadministrator für network-b ausgeführt.

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a

Der Peering-Status ändert sich in beiden Netzwerken zu ACTIVE.

Peering-Konfiguration anpassen

Sie können die folgenden optionalen Parameter verwenden, um eine Peering-Konfiguration anzupassen:

  • Mit --stack-type wird der Stacktyp für die Peering-Verbindung festgelegt. Standardmäßig werden nur IPv4-Routen ausgetauscht und der Stacktyp ist auf IPV4_ONLY festgelegt. Wenn Sie sowohl IPv4- als auch IPv6-Routen austauschen möchten, geben Sie IPV4_IPV6 für beide Seiten der Verbindung an.
  • --import-custom-routes weist das Netzwerk an, benutzerdefinierte Routen vom Peering-Netzwerk zu akzeptieren. Das Peering-Netzwerk muss zuerst die Routen exportieren.
  • --export-custom-routes weist das Netzwerk an, benutzerdefinierte Routen in das Peering-Netzwerk zu exportieren. Das Peering-Netzwerk muss zum Importieren der Routen festgelegt sein.
  • --import-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten aus dem Peering-Netzwerk zu akzeptieren, wenn dieses Netzwerk in seinen Subnetzen privat verwendete öffentliche IPv4-Adressen verwendet. Das Peering-Netzwerk muss zuerst die Routen exportieren.
  • --export-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten zu exportieren, die privat verwendete öffentliche IPv4-Adressen enthalten. Das Peering-Netzwerk muss zum Importieren der Routen festgelegt sein.
  • Mit --update-strategy wird die Aktualisierungsstrategie für die Peering-Verbindung festgelegt. Die Standardstrategie für Updates ist INDEPENDENT. Wenn Sie die Verbindung so konfigurieren möchten, dass der Konsensmodus verwendet wird, geben Sie CONSENSUS für beide Seiten der Verbindung an. Weitere Informationen finden Sie unter Verbindungsmodus.
Beispiel: Benutzerdefinierte Routen in einer Peering-Verbindung austauschen

Damit network-a in project-a und network-b in project-b benutzerdefinierte Routen austauschen können, gehen Sie beim Erstellen der Peering-Verbindung so vor:

  1. Erstellen Sie eine Peering-Konfiguration für network-a.

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --import-custom-routes \
    --export-custom-routes

  2. Erstellen Sie die entsprechende Peering-Konfiguration für network-b. Dieser Schritt wird in der Regel von einem Netzwerkadministrator für network-b ausgeführt.

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a \
    --import-custom-routes \
    --export-custom-routes

Der Peering-Status ändert sich in beiden Netzwerken zu ACTIVE. Weitere Informationen zu diesem Beispiel finden Sie in der Kurzanleitung Zwei VPC-Netzwerke per Peering verbinden.

Beispiel: Peering-Verbindung im Konsensmodus erstellen

Wenn Sie eine Peering-Verbindung im Konsensmodus erstellen möchten, legen Sie die Aktualisierungsstrategie auf CONSENSUS fest. In diesem Beispiel konfigurieren Sie network-a in project-a für das Peering mit network-b in project-b.

  1. Erstellen Sie eine Peering-Konfiguration für network-a.

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --update-strategy=CONSENSUS

  2. Erstellen Sie die entsprechende Peering-Konfiguration für network-b. Dieser Schritt wird in der Regel von einem Netzwerkadministrator für network-b ausgeführt.

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a \
    --update-strategy=CONSENSUS

Der Peering-Status ändert sich in beiden Netzwerken zu ACTIVE.

Terraform

Sie können zum Erstellen einer Peering-Konfiguration ein Terraform-Modul verwenden.

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 16.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Für die beiden Peering-VPC-Netzwerke enthält jeder Self-Link eine Projekt-ID und den Namen des VPC-Netzwerks. Zum Abrufen des Self-Links für ein VPC-Netzwerk können Sie die den Befehl gcloud compute networks describe oder die Methode networks.get im Projekt jedes VPC-Netzwerks verwenden.

Wenn Sie eine Peering-Verbindung von local_network bis peer_network erstellen, ist die Peering-Beziehung bidirektional. Die Peering-Verbindung von peer_network zu local_network wird automatisch erstellt.

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Prüfen, ob Traffic zwischen Peering-VPC-Netzwerken weitergeleitet wird

Sie können VPC-Flusslogs verwenden, um die von VM-Instanzen gesendeten und empfangenen Netzwerkflüsse anzuzeigen. Sie können auch mit dem Firewallregel-Logging überprüfen, ob der Traffic zwischen den Netzwerken übertragen wird. Erstellen Sie VPC-Firewallregeln, die Traffic zwischen den verbundenen Peering-Netzwerken zulassen oder ablehnen, und aktivieren Sie das Firewallregel-Logging für diese Regeln. Sie können dann mit Cloud Logging prüfen, welche Firewallregeln verwendet wurden.

Peering-Verbindung aktualisieren

Wenn Sie eine vorhandene Peering-Verbindung aktualisieren, können Sie Folgendes tun:

  • Ändern Sie, ob Ihr VPC-Netzwerk benutzerdefinierte Routen oder privat verwendete öffentliche IPv4-Subnetzrouten in das oder aus dem Peering-VPC-Netzwerk exportiert oder importiert.
  • Ändern Sie, ob Ihre Peering-Verbindung IPv6-Routen zwischen den Peering-Netzwerken austauscht.
  • Aktualisieren Sie den Modus der Peering-Verbindung von „Unabhängig“ (Standard) in „Konsens“, indem Sie die Aktualisierungsstrategie für die Verbindung ändern. Lesen Sie sich vor dem Ändern der Aktualisierungsstrategie die Anforderungen für den Konsensmodus durch.

Ihr Netzwerk importiert Routen nur, wenn das Peering-Netzwerk die Routen ebenfalls exportiert. Das Peering-Netzwerk empfängt Routen nur dann, wenn es sie auch importiert.

Verbindung aktualisieren (unabhängiger Modus)

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Wählen Sie die zu aktualisierende Peering-Verbindung aus.

  3. Klicken Sie auf Bearbeiten.

  4. Wählen Sie eine der folgenden Optionen aus, um die IP-Version der Routen zu aktualisieren, die Sie zwischen den Peering-Netzwerken austauschen möchten:

    • IPv4 (Single-Stack): Nur IPv4-Routen werden ausgetauscht. Das Partnernetzwerk muss diese Option ebenfalls aktivieren.
    • IPv4 und IPv6 (Dual-Stack): IPv4- und IPv6-Routen werden ausgetauscht. Diese Option muss auch vom Peer-Netzwerk unterstützt werden.

  5. Wenn Sie benutzerdefinierte IPv4-Routen austauschen möchten, wählen Sie im Bereich Benutzerdefinierte IPv4-Routen austauschen eine oder beide der folgenden Optionen aus:

    • Benutzerdefinierte Routen importieren: Importieren Sie benutzerdefinierte Routen aus dem Peering-Netzwerk. Das Peering-Netzwerk muss den Export der benutzerdefinierten Route für Routen aktivieren, die importiert werden sollen.
    • Benutzerdefinierte Routen exportieren: Benutzerdefinierte Routen zum Peer-Netzwerk exportieren. Das Peering-Netzwerk muss den Import benutzerdefinierter Routen für den Export von Routen aktivieren.

  6. Wenn Ihr Netzwerk oder das Peering-Netzwerk privat genutzte öffentliche IPv4-Bereiche in seinen Subnetzen verwendet, werden diese Routen standardmäßig exportiert, aber nicht standardmäßig importiert.

    Wenn Sie privat verwendete öffentliche IPv4-Subnetzrouten importieren möchten, wählen Sie im Abschnitt Subnetzrouten mit privat verwendeten öffentlichen IPv4-Adressen austauschen die Option Subnetzrouten mit öffentlicher IP-Adresse importieren aus.

  7. Wenn Sie die Peering-Verbindung vom unabhängigen (Standard-) in den Konsensmodus ändern möchten, wählen Sie im Abschnitt Erweiterte Optionen für Aktualisierungsstrategie die Option Konsens aus. Nachdem Sie auf Speichern geklickt haben, wird die Aktualisierungsstrategie für die lokale Konfiguration in Konsens geändert.

    Damit die Aktualisierungsanfrage abgeschlossen werden kann, muss ein Netzwerkadministrator des Peer-Netzwerks die Anfrage annehmen, indem er die Aktualisierungsstrategie für die Peer-Konfiguration in Konsens ändert.

  8. Klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl gcloud compute networks peerings update aus.

Sie können die folgenden optionalen Parameter verwenden:

  • Mit --stack-type wird der Stacktyp für die Peering-Verbindung festgelegt. Standardmäßig werden nur IPv4-Routen ausgetauscht.
    • Wenn Sie sowohl IPv4- als auch IPv6-Routen austauschen möchten, geben Sie für beide Netzwerke IPV4_IPV6 an.
    • Wenn Sie den Austausch von IPv6-Routen deaktivieren möchten, geben Sie für beide Netzwerke IPV4_ONLY an.

  • --import-custom-routes weist das Netzwerk an, benutzerdefinierte Routen vom Peering-Netzwerk zu akzeptieren. Das Peering-Netzwerk muss zuerst die Routen exportieren.

    Zum Deaktivieren dieser Option verwenden Sie --no-import-custom-routes.

  • --export-custom-routes weist das Netzwerk an, benutzerdefinierte Routen in das Peering-Netzwerk zu exportieren. Das Peering-Netzwerk muss zum Importieren der Routen festgelegt sein.

    Zum Deaktivieren dieser Option verwenden Sie --no-export-custom-routes.

  • --import-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten aus dem Peering-Netzwerk zu akzeptieren, wenn dieses Netzwerk in seinen Subnetzen privat verwendete öffentliche IPv4-Adressen verwendet. Das Peering-Netzwerk muss zuerst die Routen exportieren.

    Zum Deaktivieren dieser Option verwenden Sie --no-import-subnet-routes-with-public-ip.

  • --export-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten zu exportieren, die privat verwendete öffentliche IPv4-Adressen enthalten. Das Peering-Netzwerk muss so festgelegt sein, dass die Routen importiert werden.

    Zum Deaktivieren dieser Option verwenden Sie --no-export-subnet-routes-with-public-ip.

  • Mit --update-strategy wird die Aktualisierungsstrategie für die Peering-Verbindung festgelegt. Die Standardstrategie für Updates ist INDEPENDENT. Wenn Sie die Verbindung so konfigurieren möchten, dass der Konsensmodus verwendet wird, geben Sie CONSENSUS für beide Seiten der Verbindung an.

    Wenn Sie eine ausstehende Aktualisierungsanfrage zum Konfigurieren des Konsensmodus abbrechen möchten, setzen Sie die Aktualisierungsstrategie auf INDEPENDENT zurück. Weitere Informationen finden Sie unter Verbindungsmodus.

Das folgende Beispiel zeigt, wie Sie eine Peering-Verbindung aktualisieren, um sowohl IPv4- als auch IPv6-Routen auszutauschen.

  1. Aktualisieren Sie den Stacktyp für das lokale Netzwerk:

    gcloud compute networks peerings update PEERING_NAME_1 \
    --network=NETWORK_1 \
    --stack-type=IPV4_IPV6

  2. Aktualisieren Sie den Stacktyp für das Peer-Netzwerk. Dieser Schritt wird in der Regel vom Netzwerkadministrator ausgeführt.

    gcloud compute networks peerings update PEERING_NAME_2 \
    --network=NETWORK_2 \
    --stack-type=IPV4_IPV6

Ersetzen Sie Folgendes:

  • PEERING_NAME_1: der Name der lokalen Peering-Konfiguration
  • NETWORK_1: der Name des lokalen Netzwerks
  • PEERING_NAME_2: Name der entsprechenden Konfiguration für das Peer-Netzwerk
  • NETWORK_2: der Name des Peer-Netzwerks

Verbindung auf den Konsensmodus umstellen

Sie aktualisieren eine Peering-Verbindung vom unabhängigen (Standard-) in den Konsensmodus, indem Sie die Aktualisierungsstrategie für die Verbindung ändern. Lesen Sie sich die Anforderungen für den Konsensmodus durch, bevor Sie die Aktualisierungsstrategie ändern.

  1. Aktualisieren Sie die lokale Peering-Konfiguration:

    gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    --update-strategy=CONSENSUS

    Ersetzen Sie Folgendes:

    • PEERING_NAME: Name der vorhandenen Peering-Konfiguration
    • NETWORK: Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist

  2. So sehen Sie den Status des Aktualisierungsantrags:

    gcloud compute networks describe NETWORK

    Ersetzen Sie NETWORK durch den Namen des Netzwerks in Ihrem Projekt, für das ein Peering eingerichtet ist.

    In der Ausgabe muss im Feld updateStatus der folgende Status angezeigt werden:

    • In der Konfiguration für das lokale Netzwerk, PENDING_PEER_ACKNOWLEDGMENT
    • In der entsprechenden Konfiguration für das Peer-Netzwerk: PENDING_LOCAL_ACKNOWLEDGMENT

  3. Akzeptieren Sie die Aktualisierungsanfrage, indem Sie den Befehl aus Schritt 1 für die Peer-Seite der Verbindung ausführen.

    Dieser Schritt wird in der Regel von einem Netzwerkadministrator für das Peer-Netzwerk ausgeführt.

Nach Abschluss der Anfrage ändert sich das Feld updateStatus für beide Konfigurationen in IN_SYNC. Dadurch wird der effektive Status der Verbindung aktualisiert.

Verbindung aktualisieren (Konsensmodus)

Wenn eine Peering-Verbindung mit dem Konsensmodus konfiguriert ist, muss das Peer-Netzwerk die Aktualisierung des effektiven Status der Verbindung bestätigen. Weitere Informationen finden Sie unter Verbindung im Konsensmodus aktualisieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Wählen Sie die zu aktualisierende Peering-Verbindung aus.

  3. Klicken Sie auf Bearbeiten.

  4. So aktualisieren Sie die Optionen für den Routenaustausch:

    • Wenn Sie den IP-Stacktyp aktualisieren, muss im Peer-Netzwerk auch derselbe Stacktyp aktiviert sein.
    • Wenn Sie Benutzerdefinierte IPv4-Routen austauschen oder Subnetzrouten mit privat verwendeten öffentlichen IPv4-Adressen austauschen aktualisieren, muss im Peering-Netzwerk die komplementäre Einstellung für jede Einstellung aktiviert sein, die Sie ändern. Wenn Ihr Netzwerk beispielsweise benutzerdefinierte Routen importiert, muss das Peering-Netzwerk benutzerdefinierte Routen exportieren.

  5. Klicken Sie auf Speichern und Aktualisierung anfordern.

  6. Aktualisieren Sie die Peer-Konfiguration. Dieser Schritt wird in der Regel von einem Netzwerkadministrator für das Peer-Netzwerk ausgeführt.

Wenn Sie eine ausstehende Aktualisierungsanfrage abbrechen möchten, klicken Sie auf der Seite Bearbeiten für das anfragende Netzwerk auf Aktualisierung rückgängig machen.

gcloud

Führen Sie den Befehl gcloud compute networks peerings update aus.

Sie können die folgenden optionalen Parameter verwenden:

  • Mit --stack-type wird der Stacktyp für die Peering-Verbindung festgelegt. Standardmäßig werden nur IPv4-Routen ausgetauscht.
    • Wenn Sie sowohl IPv4- als auch IPv6-Routen austauschen möchten, geben Sie für beide Netzwerke IPV4_IPV6 an.
    • Wenn Sie den Austausch von IPv6-Routen deaktivieren möchten, geben Sie für beide Netzwerke IPV4_ONLY an.

  • --import-custom-routes weist das Netzwerk an, benutzerdefinierte Routen vom Peering-Netzwerk zu akzeptieren. Das Peering-Netzwerk muss zuerst die Routen exportieren.

    Zum Deaktivieren dieser Option verwenden Sie --no-import-custom-routes.

  • --export-custom-routes weist das Netzwerk an, benutzerdefinierte Routen in das Peering-Netzwerk zu exportieren. Das Peering-Netzwerk muss zum Importieren der Routen festgelegt sein.

    Zum Deaktivieren dieser Option verwenden Sie --no-export-custom-routes.

  • --import-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten aus dem Peering-Netzwerk zu akzeptieren, wenn dieses Netzwerk in seinen Subnetzen privat verwendete öffentliche IPv4-Adressen verwendet. Das Peering-Netzwerk muss zuerst die Routen exportieren.

    Zum Deaktivieren dieser Option verwenden Sie --no-import-subnet-routes-with-public-ip.

  • --export-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten zu exportieren, die privat verwendete öffentliche IPv4-Adressen enthalten. Das Peering-Netzwerk muss so festgelegt sein, dass die Routen importiert werden.

    Zum Deaktivieren dieser Option verwenden Sie --no-export-subnet-routes-with-public-ip.

Das folgende Beispiel zeigt, wie Sie eine Peering-Verbindung aktualisieren, um benutzerdefinierte Routen von network-a nach network-b zu importieren.

  1. Konfigurieren Sie für peering-a in network-a das Netzwerk so, dass benutzerdefinierte Routen exportiert werden:

    gcloud compute networks peerings update peering-a \
    --network=network-a \
    --export-custom-routes

  2. So sehen Sie den Status des Aktualisierungsantrags:

    gcloud compute networks describe network-a

    In der Ausgabe muss im Feld updateStatus der folgende Status angezeigt werden:

    • In der Konfiguration für network-a (lokales Netzwerk), PENDING_PEER_ACKNOWLEDGMENT
    • In der entsprechenden Konfiguration für network-b (Peer-Netzwerk): PENDING_LOCAL_ACKNOWLEDGMENT

  3. Konfigurieren Sie das Peer-Netzwerk so, dass benutzerdefinierte Routen importiert werden. Dieser Schritt wird in der Regel von einem Netzwerkadministrator für das Peer-Netzwerk ausgeführt.

    gcloud compute networks peerings update peering-b \
    --network=network-b \
    --import-custom-routes

    Das Feld updateStatus ändert sich für beide Konfigurationen in IN_SYNC, wodurch der effektive Status der Verbindung aktualisiert wird.

Wenn Sie eine ausstehende Aktualisierungsanfrage abbrechen möchten, setzen Sie jeden geänderten Parameter auf seinen vorherigen Wert zurück.

Peering-Verbindungen auflisten

Listen Sie vorhandene Peering-Verbindungen auf, um ihren Status aufzurufen und zu prüfen, ob sie benutzerdefinierte Routen importieren oder exportieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Wählen Sie die Peering-Verbindung aus, um sich Details anzusehen.

gcloud 

gcloud compute networks peerings list

Peering-Verbindung ansehen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Sehen Sie sich in der Spalte Status den Status Ihrer Verbindung an.

gcloud

Führen Sie den Befehl gcloud compute networks describe aus.

gcloud compute networks describe NETWORK

Ersetzen Sie NETWORK durch den Namen des Netzwerks in Ihrem Projekt, für das ein Peering eingerichtet ist.

In der Ausgabe beschreibt das Feld peerings.connectionStatus den effektiven Status der Peering-Verbindung. Weitere Informationen finden Sie unter Verbindungsstatus.

Peering-Routen auflisten

Console

Auf dem Tab Aktive Routen können Sie alle anwendbaren Routentypen in einem VPC-Netzwerk ansehen, einschließlich importierter Peering-Subnetz-, statischer und dynamischer Peering-Routen.

  1. Rufen Sie in der Google Cloud Console die Seite Routen auf.

    Zur Seite „Routes“

  2. Führen Sie auf dem Tab Aktive Routen folgende Schritte aus:

    • Wählen Sie ein VPC-Netzwerk aus.
    • Wählen Sie eine Region aus.

  3. Klicken Sie auf Ansehen.

  4. Klicken Sie auf das Textfeld Filter und gehen Sie so vor:

    • Wählen Sie im Menü Properties (Eigenschaften) die Option Type (Typ) aus.
    • Wählen Sie im Menü Werte eine der folgenden Optionen aus.
      • Peering-Subnetz: Subnetzrouten aus Peer-VPC-Netzwerken ansehen.
      • Peering-Statik: Importierte statische Routen aus Peer-VPC-Netzwerken ansehen.
      • Peering-dynamisch: Importierte dynamische Routen aus Peer-VPC-Netzwerken ansehen.

  5. Optional können Sie auf Unterdrückte Routen anzeigen klicken, um unterdrückte Routen aufzurufen. Bewegen Sie den Mauszeiger auf das Symbol in der Spalte Status, um den Grund für die Unterdrückung einer Route zu sehen. Der Grund enthält einen Link zur Dokumentation zur Routing-Reihenfolge mit einer Erklärung.

gcloud

Verwenden Sie den folgenden Google Cloud CLI-Befehl, um:

  • Listen Sie die Routenexporte auf, die von Ihrem VPC-Netzwerk an Peering-VPC-Netzwerke gesendet werden.
  • Listen Sie Kandidaten für den Routenimport für Ihr VPC-Netzwerk auf.
können Sie sehen, welche Routen tatsächlich importiert und welche ausgelassen wurden. 
gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Ersetzen Sie Folgendes:

  • PEERING_NAME: Der Name einer vorhandenen Peering-Verbindung.
  • NETWORK: Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist.
  • REGION: Region, in der Sie alle dynamischen Routen auflisten möchten. Subnetz- und statische Routen sind global und werden für alle Regionen angezeigt.
  • DIRECTION: Gibt an, ob importierte (incoming) oder exportierte (outgoing) Routen aufgelistet werden sollen.

Peering-Verbindung löschen

Wenn eine Peering-Konfiguration in Ihrem Netzwerk gelöscht wird, wird die Peering-Verbindung im anderen Netzwerk inaktiv und alle von den Netzwerken gemeinsam genutzten Routen werden entfernt.

Das Verfahren zum Löschen einer Peering-Verbindung hängt von der für die Verbindung konfigurierten Updatestrategie ab:

  • Unabhängig (Standard): Sie oder ein Netzwerkadministrator für das Peering-VPC-Netzwerk können die Verbindung jederzeit löschen. Weitere Informationen finden Sie unter Verbindung löschen (unabhängiger Modus).
  • Konsens: Sowohl Sie als auch ein Netzwerkadministrator für das Peer-VPC-Netzwerk müssen eine Löschanfrage senden, bevor die Verbindung gelöscht werden kann. Weitere Informationen finden Sie unter Verbindung löschen (Konsensmodus).

Verbindung löschen (unabhängiger Modus)

So löschen Sie eine Peering-Verbindung im unabhängigen Modus (Standard):

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Klicken Sie das Kästchen neben der Peering-Verbindung an, die Sie entfernen möchten.

  3. Klicken Sie auf Löschen.

    Der Status der Verbindung ändert sich für das Peer-Netzwerk in Inaktiv. Um die inaktive Konfiguration zu entfernen, führt ein Netzwerkadministrator für das Peering-Netzwerk diese Schritte für die Peering-Seite der Verbindung aus.

gcloud

Führen Sie den Befehl gcloud compute networks peerings delete aus.

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Ersetzen Sie Folgendes:

  • PEERING_NAME: der Name der Peering-Konfiguration
  • NETWORK: Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist

Der Status der Verbindung ändert sich für das Peer-Netzwerk in INACTIVE. Um die inaktive Konfiguration zu entfernen, führt ein Netzwerkadministrator für das Peering-Netzwerk diesen Schritt für die Peering-Seite der Verbindung aus.

Verbindung löschen (Konsensmodus)

So löschen Sie eine Peering-Verbindung im Konsensmodus: Sie können auch eine Löschanfrage zurückziehen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Klicken Sie auf die Peering-Verbindung, die Sie entfernen möchten.

  3. Klicken Sie auf der Seite Details zur Peering-Verbindung auf Löschung anfordern und dann auf Bestätigen.

  4. Nehmen Sie die Löschanfrage an, indem Sie die Schritte 1 bis 3 für die Peer-Seite der Verbindung ausführen.

    Diese Schritte werden in der Regel von einem Netzwerkadministrator für das Peer-Netzwerk ausgeführt. Nachdem beide Seiten der Peering-Verbindung die Löschanfrage gesendet haben, ändert sich der Status der Verbindung für beide Konfigurationen in Aktiv, Löschen bestätigt.

  5. Wählen Sie die Peering-Verbindung aus, die Sie entfernen möchten, und klicken Sie dann auf Löschen.

    Der Status der Verbindung ändert sich für das Peer-Netzwerk in Inaktiv. Um die inaktive Konfiguration zu entfernen, führt der Netzwerkadministrator für das Peering-Netzwerk diesen Schritt für die Peering-Seite der Verbindung aus.

gcloud

Verwenden Sie die Befehle gcloud compute networks peerings request-delete und gcloud compute networks peerings delete.

  1. Löschanfrage stellen:

    gcloud compute networks peerings request-delete PEERING_NAME \
    --network=NETWORK

    Ersetzen Sie Folgendes:

    • PEERING_NAME: der Name der Peering-Konfiguration
    • NETWORK: Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist

  2. So sehen Sie den Status des Antrags auf Löschung:

    gcloud compute networks describe NETWORK

    Ersetzen Sie NETWORK durch den Namen Ihres Netzwerks.

    In der Ausgabe muss im Feld deleteStatus der folgende Status angezeigt werden:

    • In der Konfiguration für Ihr Netzwerk LOCAL_DELETE_REQUESTED
    • In der entsprechenden Konfiguration für das Peer-Netzwerk: PEER_DELETE_REQUESTED

  3. Nehmen Sie die Löschanfrage an, indem Sie den Befehl request-delete für die Peer-Seite der Verbindung ausführen und das Peer-Netzwerk und die Namen der Peering-Konfiguration angeben.

    Dieser Schritt wird in der Regel von einem Netzwerkadministrator für das Peer-Netzwerk ausgeführt. Nachdem beide Seiten der Verbindung den Löschanfrage gesendet haben, ändert sich der Status des Felds deleteStatus für beide Konfigurationen in DELETE_ACKNOWLEDGED.

  4. Löschen Sie die Peering-Verbindung:

    gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

    Ersetzen Sie Folgendes:

    • PEERING_NAME: der Name der Peering-Konfiguration
    • NETWORK: Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist

    Der Status der Verbindung ändert sich für das Peer-Netzwerk in INACTIVE. Um die inaktive Konfiguration zu entfernen, führt der Netzwerkadministrator für das Peering-Netzwerk diesen Schritt für die Peering-Seite der Verbindung aus.

Löschanfrage zurückziehen

Sie können eine Löschanfrage vor oder nach der Annahme durch das Peer-Netzwerk abbrechen. Während eine Anfrage aussteht, kann sie nur vom lokalen Netzwerk abgebrochen werden. Nachdem das Peer-Netzwerk die Anfrage akzeptiert hat, kann das Löschen von beiden Netzwerken abgebrochen werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Klicken Sie auf die Peering-Verbindung, für die Sie die Löschanfrage abbrechen möchten.

  3. Klicken Sie auf der Seite Details zur Peering-Verbindung auf Löschanfrage abbrechen und dann auf Bestätigen.

    Wenn das Peer-Netzwerk die Löschanfrage bereits akzeptiert hat, muss ein Administrator des Peer-Netzwerks diese Schritte auch für die Peer-Seite der Verbindung ausführen.

gcloud

Verwenden Sie den Befehl gcloud beta compute networks peerings cancel-request-delete.

Vor der Annahme der Löschanfrage abbrechen:

Wenn Sie die Löschanfrage abbrechen möchten, bevor sie akzeptiert wird, führen Sie den folgenden Befehl für das Netzwerk aus, das die Anfrage initiiert hat:

gcloud beta compute networks peerings cancel-request-delete PEERING_NAME \
    --network=NETWORK

Ersetzen Sie Folgendes:

  • PEERING_NAME: der Name der Peering-Konfiguration
  • NETWORK: der Name des Netzwerks

Nachdem der Antrag auf Entfernung akzeptiert wurde, kündigen:

  1. Führen Sie für das jeweilige Netzwerk den folgenden Befehl aus, um die Löschanfrage nach der Annahme zu widerrufen:

    gcloud beta compute networks peerings cancel-request-delete PEERING_NAME \
  --network=NETWORK

    Ersetzen Sie Folgendes:

    • PEERING_NAME: der Name der Peering-Konfiguration
    • NETWORK: der Name des Netzwerks

  2. So rufen Sie den Status der Anfrage auf:

    gcloud compute networks describe NETWORK

    Ersetzen Sie NETWORK durch den Namen Ihres Netzwerks.

    In der Ausgabe wird im Feld deleteStatus der folgende Status angezeigt:

    • In der Konfiguration für Ihr Netzwerk, LOCAL_CANCEL_REQUESTED
    • In der entsprechenden Konfiguration für das Peer-Netzwerk: PEER_CANCEL_REQUESTED

  3. Brechen Sie die Anfrage für die Peer-Seite der Verbindung ab, indem Sie den Befehl cancel-request-delete mit dem Peer-Netzwerk und den Namen der Peering-Konfiguration ausführen.

    Dieser Schritt wird in der Regel von einem Netzwerkadministrator für das Peer-Netzwerk ausgeführt.

Fehlerbehebung

In den folgenden Abschnitten wird beschrieben, wie Sie Probleme mit VPC-Netzwerk-Peering beheben.

Peer-VMs sind nicht erreichbar

Nachdem die Peering-Verbindung den Status AKTIV hat, kann es bis zu einer Minute dauern, bis alle Trafficströme zwischen den über Peering verbundenen VPC-Netzwerken eingerichtet sind. Die Dauer hängt von der Größe der über Peering verbundenen VPC-Netzwerke ab. Wenn Sie die Peering-Verbindung erst kürzlich eingerichtet haben, warten Sie eine Minute und versuchen Sie es dann noch einmal. Achten Sie außerdem darauf, dass keine Firewallregeln den Traffic zu/von den Subnetz-CIDRs des Peering-VPC-Netzwerk blockieren.

Benutzerdefinierte Routen fehlen

In diesem Abschnitt wird beschrieben, wie Sie Probleme mit fehlenden benutzerdefinierten Routen beheben.

Status der Peering-Verbindung prüfen

So prüfen Sie den Status Ihrer Peering-Verbindung:

  1. Listen Sie Peering-Verbindungen auf.
  2. Identifizieren Sie die Peering-Verbindung, bei der Sie die Fehlerbehebung durchführen möchten, und prüfen Sie ihren Peering-Status.
    1. Wenn der Status ACTIVE lautet, folgen Sie der Anleitung im nächsten Abschnitt.
    2. Wenn der Peering-Status INACTIVE lautet, muss ein Netzwerkadministrator des anderen Netzwerks eine Peering-Konfiguration für Ihr VPC-Netzwerk erstellen.

Probleme mit der ACTIVE-Verbindung beheben

So beheben Sie Probleme mit fehlenden benutzerdefinierten Routen in einer ACTIVE-Peering-Verbindung:

  1. Peering-Routen in Ihrem VPC-Netzwerk auflisten Führen Sie auf dem Tab Aktive Routen folgende Schritte aus:

    1. Die Regionen, in denen dynamische Routen programmiert werden, hängen vom Modus für dynamisches Routing des VPC-Netzwerk ab, in dem benutzerdefinierte Routen exportiert werden. Weitere Informationen finden Sie unter Auswirkungen des dynamischen Routingmodus. Im globalen Modus für dynamisches Routing wird nur die dynamische Route mit dem höchsten Rang in Regionen programmiert, die nicht mit der Region des nächsten Hops übereinstimmen.

    2. Stellen Sie den Schalter Unterdrückte Routen anzeigen auf „Ein“ und suchen Sie dann nach Ihrer Route. Wenn Sie den Grund für die Unterdrückung einer Route sehen möchten, bewegen Sie den Mauszeiger auf das Symbol in der Spalte Status. Google Cloud bietet eine regionsweise Lösung für Routenkonflikte im VPC-Netzwerk, in dem Routen über VPC-Netzwerk-Peering importiert werden.

    3. Suchen Sie nach einer Warnung, die darauf hinweist, dass Ihr VPC-Netzwerk das Limit für das Kontingent für dynamische Routen pro Region und Peering-Gruppe erreicht hat. Wenn Ihr VPC-Netzwerk das Limit für dieses Kontingent erreicht hat, werden eine oder mehrere dynamische Peering-Routen nicht programmiert. Da nicht genau angezeigt werden kann, welche dynamischen Peering-Routen nicht programmiert sind, sollten Sie eine Erhöhung des Kontingentlimits für dynamische Routen pro Region und Peering-Gruppe anfordern.

  2. Wenn Sie die erwartete Route immer noch nicht sehen, gehen Sie so vor:

    1. Überprüfen Sie Ihre Peering-Konfiguration und aktualisieren Sie sie bei Bedarf, damit benutzerdefinierte Routen importiert werden.

    2. Prüfen Sie, ob die Route einer der folgenden Routentypen ist, die nicht über VPC-Netzwerk-Peering ausgetauscht werden können:

      • Peering-Subnetz-, Peering-Static- und Peering-Dynamic-Routen in einem per Peering verbundenen VPC-Netzwerk, die von den anderen Peering-Netzwerken empfangen werden, können nicht über VPC-Netzwerk-Peering mit Ihrem VPC-Netzwerk ausgetauscht werden.

      • Statische Routen, die den nächsten Hop des Standard-Internetgateways verwenden, und statische Routen mit Netzwerk-Tags können nicht über VPC-Netzwerk-Peering ausgetauscht werden.

      Weitere Informationen finden Sie unter Optionen für den Routenaustausch.

    3. Bitten Sie einen Netzwerkadministrator des Peer-VPC-Netzwerk, Folgendes zu tun:

      1. Routen in ihrem VPC-Netzwerk auflisten und nach der erwarteten Route suchen.

      2. Überprüfen Sie die Peering-Konfiguration und aktualisieren Sie sie bei Bedarf, damit benutzerdefinierte Routen exportiert werden.

Für ein Peering-Netzwerk bestimmter Traffic wird abgewiesen

Mithilfe von Konnektivitätstests können Sie herausfinden, warum für ein Peering-Netzwerk bestimmter Traffic abgewiesen wird. Wenn der Traffic über benutzerdefinierte Routen gesendet werden soll, lesen Sie den Abschnitt Benutzerdefinierte Routen fehlen.

Traffic wird an einen unerwarteten nächsten Hop gesendet

Mit Konnektivitätstests können Sie ermitteln, warum Traffic an einen unerwarteten nächsten Hop gesendet wird. Wenn der Traffic über benutzerdefinierte Routen gesendet werden soll, lesen Sie den Abschnitt Benutzerdefinierte Routen fehlen.

Peering mit einem bestimmten VPC-Netzwerk nicht möglich

Wenn Sie zu bestimmten VPC-Netzwerken keine Peering-Konfiguration herstellen können, könnten die VPC-Netzwerke, zu denen Ihr Netzwerk Peering-Verbindungen herstellen kann, durch eine Organisationsrichtlinie eingeschränkt sein. Fügen Sie das Netzwerk in der Organisationsrichtlinie der Liste der zulässigen Peering-Verbindungen hinzu oder wenden Sie sich an den Administrator Ihrer Organisation. Weitere Informationen finden Sie in der Einschränkung constraints/compute.restrictVpcPeering.

IPv6-Routen werden nicht ausgetauscht

Prüfen Sie zuerst, ob für Ihre Peering-Verbindung und die Peering-Verbindung des per Peering verbundenen VPC-Netzwerk der Stack-Typ auf IPV4_IPV6 festgelegt ist. Falls erforderlich:

  • Aktualisieren Sie Ihre Peering-Verbindung und legen Sie den Stacktyp auf IPV4_IPV6 fest.
  • Bitten Sie einen Netzwerkadministrator des VPC-Netzwerk mit Peering, die Peering-Verbindung zu aktualisieren und den Stacktyp auf IPV4_IPV6 festzulegen.

Nachdem für beide Peering-Verbindungen der Stacktyp auf IPV4_IPV6 festgelegt wurde, werden IPv6-Subnetzrouten (sowohl interne als auch externe) ausgetauscht. IPv6-Subnetzrouten sind in allen Google Cloud VPC-Netzwerken eindeutig.

So tauschen Sie benutzerdefinierte IPv6-Routen aus:

  • Aktualisieren Sie Ihre Peering-Verbindung, um benutzerdefinierte Routen zu importieren und zu exportieren.
  • Bitten Sie einen Netzwerkadministrator des Peering-VPC-Netzwerk, die Peering-Verbindung zu aktualisieren, um benutzerdefinierte Routen zu importieren und zu exportieren.

Nächste Schritte