VPC-Netzwerk-Peering einrichten und verwalten

Google Cloud VPC-Netzwerk-Peering ermöglicht Verbindungen über interne IP-Adressen zwischen zwei VPC-Netzwerken (Virtual Private Cloud), unabhängig davon, ob sie zum selben Google Cloud Projekt oder zur selben Organisation gehören. Peering unterstützt die Konnektivität zwischen Netzwerken mit einer beliebigen Kombination aus Nur-IPv4-, Dual-Stack- und Nur-IPv6-Subnetzen.

Hinweise

IAM-Berechtigungen

Sie müssen für das Projekt eine der folgenden Rollen haben:

  • Rolle „Compute-Netzwerkadministrator“ (roles/compute.networkAdmin)
  • Eine benutzerdefinierte Rolle mit den folgenden Berechtigungen:
    • compute.networks.addPeering
    • compute.networks.updatePeering
    • compute.networks.removePeering
    • compute.networks.listPeeringRoutes

Peering-Konfiguration erstellen

Bevor Sie beginnen, müssen Sie den Namen des VPC-Netzwerk kennen, zu dem Sie eine Peering-Verbindung herstellen möchten. Wenn sich dieses Netzwerk in einem anderen Projekt befindet, müssen Sie auch dessen Projekt-ID kennen. Sie können keine Peering-Anfragen für Ihr VPC-Netzwerk auflisten. Fragen Sie bei Bedarf den Administrator des Netzwerks, mit dem Sie eine Peering-Verbindung herstellen möchten, nach dem Netzwerknamen und der Projekt-ID.

Ihr Netzwerk und das andere Netzwerk sind miteinander verbunden, nachdem jedes Netzwerk eine Peering-Konfiguration hat, die auf das andere Netzwerk verweist. Weitere Informationen finden Sie unter Peering-Verbindungen.

Google Cloud lässt in Peering-Netzwerken jeweils nur einen Peering-Vorgang zu. Wenn Sie beispielsweise eine Peering-Verbindung zu einem Netzwerk einrichten und sofort im Anschluss versuchen, ein weiteres Peering einzurichten, schlägt der Vorgang mit folgender Fehlermeldung fehl: Error: There is a peering operation in progress on the local or peer network. Try again later.

Console

Führen Sie die folgenden Schritte für jede Seite der Peering-Verbindung aus.

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Klicken Sie auf Verbindung erstellen.

  3. Klicken Sie auf Weiter.

  4. Geben Sie im Feld Name der Peering-Verbindung einen Namen für die Peering-Konfiguration ein.

  5. Wählen Sie im Feld Mein VPC-Netzwerk ein Netzwerk aus, mit dem Sie eine Peering-Verbindung herstellen möchten.

  6. Wählen Sie im Bereich Peering-VPC-Netzwerk das Netzwerk aus, mit dem ein Peering eingerichtet werden soll:

    • Wenn sich das Netzwerk, mit dem Sie eine Peering-Verbindung herstellen möchten, im selben Projekt befindet, wählen Sie In Projekt [name-of-your-project] und dann das Netzwerk aus, mit dem die Peering-Verbindung hergestellt werden soll.
    • Wenn sich das Netzwerk, mit dem Sie eine Peering-Verbindung herstellen möchten, in einem anderen Projekt befindet, wählen Sie In einem anderen Projekt aus. Geben Sie die Projekt-ID an, die das Netzwerk, mit dem Sie eine Peering-Verbindung herstellen möchten, und den Namen des VPC-Netzwerks beinhaltet.

  7. Wählen Sie die IP-Version der Routen aus, die zwischen den Peering-Netzwerken ausgetauscht werden sollen:

    • IPv4 (Single-Stack): Nur IPv4-Routen werden ausgetauscht.
    • IPv4 und IPv6 (Dual-Stack): IPv4- und IPv6-Routen werden ausgetauscht.

  8. Wenn Sie benutzerdefinierte IPv4-Routen austauschen möchten, wählen Sie im Bereich Benutzerdefinierte IPv4-Routen austauschen eine oder beide der folgenden Optionen aus:

    • Benutzerdefinierte Routen importieren: Benutzerdefinierte Routen aus dem Peering-Netzwerk importieren. Das Peering-Netzwerk muss den Export der benutzerdefinierten Route für Routen aktivieren, die importiert werden sollen.
    • Benutzerdefinierte Routen exportieren: Benutzerdefinierte Routen zum Peer-Netzwerk exportieren. Das Peering-Netzwerk muss den Import benutzerdefinierter Routen für den Export von Routen aktivieren.

  9. Wenn Ihr Netzwerk oder das Peering-Netzwerk privat genutzte öffentliche IPv4-Bereiche in seinen Subnetzen verwendet, werden diese Routen standardmäßig exportiert, aber nicht standardmäßig importiert.

    Wenn Sie privat verwendete öffentliche IPv4-Subnetzrouten importieren möchten, wählen Sie im Bereich Subnetzrouten mit privat verwendeten öffentlichen IPv4-Adressen austauschen die Option Subnetzrouten mit öffentlicher IP-Adresse importieren aus.

  10. Wählen Sie im Abschnitt Erweiterte Optionen die Updatestrategie für die Peering-Verbindung aus:

    • Unabhängig (Standard): Wenn diese Option ausgewählt ist, kann die Verbindung von beiden Seiten der Peering-Verbindung jederzeit aktualisiert oder gelöscht werden. Weitere Informationen finden Sie unter Verbindungsmodus.
    • Konsens: Wenn diese Option ausgewählt ist, müssen beide Seiten der Peering-Verbindung eine Löschanfrage stellen, bevor die Verbindung gelöscht werden kann. Weitere Informationen finden Sie unter Verbindungsmodus.

  11. Klicken Sie auf Erstellen.

gcloud

Führen Sie den Befehl gcloud compute networks peerings create aus.

Sie können eine Peering-Konfiguration mit der Standardkonfiguration erstellen oder Ihre Konfiguration anpassen.

Standard-Peering-Konfiguration erstellen

Führen Sie den folgenden Befehl aus, um eine Standard-Peering-Konfiguration zu erstellen:

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project=PEER_PROJECT_ID \
    --peer-network=PEER_NETWORK_NAME \

Ersetzen Sie Folgendes:

  • PEERING_NAME: der Name der Peering-Konfiguration.
  • NETWORK: Der Name des Netzwerks in Ihrem Projekt, zu dem Sie eine Peering-Verbindung herstellen möchten.
  • PEER_PROJECT_ID: die ID des Projekts, das das Netzwerk enthält, zu dem Sie eine Peering-Verbindung herstellen möchten. Wenn sich das Peer-Netzwerk im selben Projekt wie Ihr Netzwerk befindet, ist dieses Flag optional.
  • PEER_NETWORK_NAME: Der Name des Netzwerks, zu dem Sie eine Peering-Verbindung herstellen möchten.

Wenn Sie beispielsweise network-a in project-a mit network-b in project-b verbinden möchten, gehen Sie so vor:

  1. Erstellen Sie eine Peering-Konfiguration für network-a. Dieser Schritt wird in der Regel von einem Netzwerkadministrator von network-a ausgeführt.

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b

  2. Erstellen Sie eine Peering-Konfiguration für network-b. Dieser Schritt wird in der Regel von einem Netzwerkadministrator von network-b ausgeführt.

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a

Der Peering-Status ändert sich in beiden Netzwerken zu ACTIVE.

Peering-Konfiguration anpassen

Zum Anpassen einer Peering-Konfiguration können Sie die folgenden optionalen Parameter verwenden:

  • Mit --stack-type wird der Stacktyp für die Peering-Verbindung festgelegt. Standardmäßig werden nur IPv4-Routen ausgetauscht und der Stacktyp ist auf IPV4_ONLY festgelegt. Geben Sie IPV4_IPV6 an, um sowohl IPv4- als auch IPv6-Routen auszutauschen.
  • --import-custom-routes weist das Netzwerk an, benutzerdefinierte Routen vom Peering-Netzwerk zu akzeptieren. Das Peering-Netzwerk muss zuerst die Routen exportieren.
  • --export-custom-routes weist das Netzwerk an, benutzerdefinierte Routen in das Peering-Netzwerk zu exportieren. Das Peering-Netzwerk muss zum Importieren der Routen festgelegt sein.
  • --import-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten aus dem Peering-Netzwerk zu akzeptieren, wenn dieses Netzwerk in seinen Subnetzen privat verwendete öffentliche IPv4-Adressen verwendet. Das Peering-Netzwerk muss zuerst die Routen exportieren.
  • --export-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten zu exportieren, die privat verwendete öffentliche IPv4-Adressen enthalten. Das Peering-Netzwerk muss so festgelegt sein, dass die Routen importiert werden.
  • --update-strategy legt die Aktualisierungsstrategie für die Peering-Verbindung fest. Standardmäßig ist die Updatestrategie auf INDEPENDENT festgelegt. Wenn Sie die Verbindung für die Verwendung des Konsensmodus konfigurieren möchten, geben Sie CONSENSUS an. Die Aktualisierungsstrategie muss für beide Seiten der Verbindung gleich sein. Weitere Informationen finden Sie unter Verbindungsmodus.
Beispiel: Benutzerdefinierte Routen in einer Peering-Verbindung austauschen

Damit network-a in project-a und network-b in project-b benutzerdefinierte Routen austauschen können, gehen Sie beim Erstellen der Peering-Verbindung so vor:

  1. Erstellen Sie eine Peering-Konfiguration für network-a. Dieser Schritt wird in der Regel von einem Netzwerkadministrator von network-a ausgeführt.

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --import-custom-routes \
    --export-custom-routes

  2. Erstellen Sie eine Peering-Konfiguration für network-b. Dieser Schritt wird in der Regel von einem Netzwerkadministrator von network-b ausgeführt.

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a \
    --import-custom-routes \
    --export-custom-routes

Der Peering-Status ändert sich in beiden Netzwerken zu ACTIVE. Weitere Informationen zu diesem Beispiel finden Sie in der Kurzanleitung Zwei VPC-Netzwerke per Peering verbinden.

Beispiel: Peering-Verbindung im Konsensmodus erstellen

Wenn Sie eine Peering-Verbindung im Konsensmodus erstellen möchten, legen Sie die Aktualisierungsstrategie auf CONSENSUS fest. In diesem Beispiel konfigurieren Sie network-a in project-a für das Peering mit network-b in project-b.

  1. Erstellen Sie eine Peering-Konfiguration für network-a. Dieser Schritt wird in der Regel von einem Netzwerkadministrator von network-a ausgeführt.

    gcloud compute networks peerings create peering-a \
    --network=network-a \
    --peer-project=project-b \
    --peer-network=network-b \
    --update-strategy=CONSENSUS

  2. Erstellen Sie eine Peering-Konfiguration für network-b. Dieser Schritt wird in der Regel von einem Netzwerkadministrator von network-b ausgeführt.

    gcloud compute networks peerings create peering-b \
    --network=network-b \
    --peer-project=project-a \
    --peer-network=network-a \
    --update-strategy=CONSENSUS

Der Peering-Status ändert sich in beiden Netzwerken zu ACTIVE.

Terraform

Sie können zum Erstellen einer Peering-Konfiguration ein Terraform-Modul verwenden.

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 13.0"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Für die beiden Peering-VPC-Netzwerke enthält jeder Self-Link eine Projekt-ID und den Namen des VPC-Netzwerks. Zum Abrufen des Self-Links für ein VPC-Netzwerk können Sie die den Befehl gcloud compute networks describe oder die Methode networks.get im Projekt jedes VPC-Netzwerks verwenden.

Wenn Sie eine Peering-Verbindung von local_network bis peer_network erstellen, ist die Peering-Beziehung bidirektional. Die Peering-Verbindung von peer_network zu local_network wird automatisch erstellt.

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Prüfen, ob Traffic zwischen Peering-VPC-Netzwerken weitergeleitet wird

Sie können VPC-Flusslogs verwenden, um die von VM-Instanzen gesendeten und empfangenen Netzwerkflüsse anzuzeigen. Sie können auch mit dem Logging von Firewallregeln überprüfen, ob der Traffic zwischen den Netzwerken übertragen wird. Erstellen Sie Firewallregeln, die Traffic zwischen den verbundenen Peering-Netzwerken zulassen oder ablehnen, und aktivieren Sie das Logging von Firewallregeln für diese Regeln. Sie können dann mit Cloud Logging prüfen, welche Firewallregeln verwendet wurden.

Peering-Verbindung aktualisieren

Wenn Sie eine vorhandene Peering-Verbindung aktualisieren, können Sie Folgendes tun:

  • Ändern Sie, ob Ihr VPC-Netzwerk benutzerdefinierte Routen oder privat verwendete öffentliche IPv4-Subnetzrouten in das oder aus dem Peering-VPC-Netzwerk exportiert oder importiert.
  • Aktualisieren Sie die Peering-Verbindung, um den Austausch von IPv6-Routen zwischen den Peering-Netzwerken zu aktivieren oder zu deaktivieren.
  • Ändern Sie den Modus der Peering-Verbindung von „Unabhängig“ (Standard) in „Konsens“, indem Sie die Aktualisierungsstrategie für die Verbindung ändern.

Ihr Netzwerk importiert Routen nur, wenn das Peering-Netzwerk die Routen ebenfalls exportiert. Das Peering-Netzwerk empfängt Routen nur dann, wenn es sie auch importiert.

Verbindung aktualisieren (unabhängiger Modus)

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Wählen Sie die zu aktualisierende Peering-Verbindung aus.

  3. Klicken Sie auf Bearbeiten.

  4. Wählen Sie eine der folgenden Optionen aus, um die IP-Version der Routen zu aktualisieren, die zwischen den Peering-Netzwerken ausgetauscht werden sollen:

    • IPv4 (Einzelstack): Den vorhandenen Austausch von IPv6-Routen beenden und nur noch IPv4-Routen austauschen.
    • IPv4 und IPv6 (Dual-Stack): Mit dem Austausch von IPv4- und IPv6-Routen beginnen, vorausgesetzt, die entsprechende Peering-Konfiguration hat diese Option ebenfalls aktiviert.

  5. Wenn Sie benutzerdefinierte IPv4-Routen austauschen möchten, wählen Sie im Bereich Benutzerdefinierte IPv4-Routen austauschen eine oder beide der folgenden Optionen aus:

    • Benutzerdefinierte Routen importieren: Benutzerdefinierte Routen aus dem Peering-Netzwerk importieren. Das Peering-Netzwerk muss den Export der benutzerdefinierten Route für Routen aktivieren, die importiert werden sollen.
    • Benutzerdefinierte Routen exportieren: Benutzerdefinierte Routen zum Peer-Netzwerk exportieren. Das Peering-Netzwerk muss den Import benutzerdefinierter Routen für den Export von Routen aktivieren.

  6. Wenn Ihr Netzwerk oder das Peering-Netzwerk privat genutzte öffentliche IPv4-Bereiche in seinen Subnetzen verwendet, werden diese Routen standardmäßig exportiert, aber nicht standardmäßig importiert.

    Wenn Sie privat verwendete öffentliche IPv4-Subnetzrouten importieren möchten, wählen Sie im Bereich Subnetzrouten mit privat verwendeten öffentlichen IPv4-Adressen austauschen die Option Subnetzrouten mit öffentlicher IP-Adresse importieren aus.

  7. Klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl gcloud compute networks peerings update aus. Die eckigen Klammern [] im folgenden Befehl geben optionale Flags an:

  • Mit --stack-type wird der Stacktyp für die Peering-Verbindung festgelegt. Standardmäßig werden nur IPv4-Routen ausgetauscht und der Stacktyp ist auf IPV4_ONLY festgelegt. Geben Sie IPV4_IPV6 an, um sowohl IPv4- als auch IPv6-Routen auszutauschen.
  • --import-custom-routes weist das Netzwerk an, benutzerdefinierte Routen vom Peering-Netzwerk zu akzeptieren. Das Peering-Netzwerk muss zuerst die Routen exportieren.
  • --export-custom-routes weist das Netzwerk an, benutzerdefinierte Routen in das Peering-Netzwerk zu exportieren. Das Peering-Netzwerk muss zum Importieren der Routen festgelegt sein.
  • --import-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten aus dem Peering-Netzwerk zu akzeptieren, wenn dieses Netzwerk in seinen Subnetzen privat verwendete öffentliche IPv4-Adressen verwendet. Das Peering-Netzwerk muss zuerst die Routen exportieren.
  • --export-subnet-routes-with-public-ip weist das Netzwerk an, Subnetzrouten zu exportieren, die privat verwendete öffentliche IPv4-Adressen enthalten. Das Peering-Netzwerk muss so festgelegt sein, dass die Routen importiert werden.
  • --update-strategy legt die Aktualisierungsstrategie für die Peering-Verbindung fest. Standardmäßig ist die Updatestrategie auf INDEPENDENT festgelegt. Wenn Sie die Verbindung für die Verwendung des Konsensmodus konfigurieren möchten, geben Sie CONSENSUS an. Die Aktualisierungsstrategie muss für beide Seiten der Verbindung gleich sein. Weitere Informationen finden Sie unter Verbindungsmodus.
gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--stack-type=STACK_TYPE] \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip] \
    [--update-strategy=UPDATE_STRATEGY]

Ersetzen Sie Folgendes:

  • PEERING_NAME: Der Name der vorhandenen Peering-Konfiguration.
  • NETWORK: Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist.
  • STACK_TYPE: Der Stacktyp für die Peering-Verbindung.
    • Geben Sie IPV4_ONLY an, um den vorhandenen Austausch von IPv6-Routen zu beenden und weiterhin nur IPv4-Routen auszutauschen.
    • Geben Sie IPV4_IPV6 an, um den Austausch von IPv4- und IPv6-Routen zu starten, vorausgesetzt, die übereinstimmende Peering-Verbindung hat auch stack_type auf IPV4_IPV6 festgelegt.
  • UPDATE_STRATEGY: die Aktualisierungsstrategie für die Peering-Verbindung, entweder INDEPENDENT (Standard) oder CONSENSUS. Informationen zur Verwendung dieser Option finden Sie unter Verbindung auf den Konsensmodus aktualisieren .

Verbindung auf den Konsensmodus umstellen

Sie aktualisieren eine Peering-Verbindung vom unabhängigen (Standard-) in den Konsensmodus, indem Sie die Aktualisierungsstrategie für die Verbindung ändern. Bevor Sie die Updatestrategie ändern, lesen Sie die Anforderungen für den Konsensmodus.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Klicken Sie auf die Peering-Verbindung, die Sie aktualisieren möchten.

  3. Klicken Sie auf Bearbeiten.

  4. Wählen Sie im Abschnitt Erweiterte Optionen die Option Konsens aus.

  5. Klicken Sie auf Speichern.

    Die Aktualisierungsstrategie wird für die lokale Konfiguration in Konsens geändert. Damit die Aktualisierungsanfrage abgeschlossen werden kann, muss ein Netzwerkadministrator des Peer-Netzwerks die Anfrage akzeptieren, indem er die Schritte 1 bis 4 für die Peer-Konfiguration ausführt.

    Nachdem beide Konfigurationen aktualisiert wurden, ändert sich die effektive Aktualisierungsstrategie der Peering-Verbindung in „Konsens“.

gcloud

Führen Sie den Befehl gcloud compute networks peerings update aus.

  1. Aktualisieren Sie die lokale Peering-Konfiguration:

    gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    --update-strategy=CONSENSUS

    Ersetzen Sie Folgendes:

    • PEERING_NAME: Der Name der vorhandenen Peering-Konfiguration.
    • NETWORK: Der Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist.

  2. So sehen Sie den Status des Aktualisierungsantrags:

    gcloud compute networks describe NETWORK

    Ersetzen Sie NETWORK durch den Namen des Netzwerks in Ihrem Projekt, für das Peering eingerichtet ist.

    In der Ausgabe muss im Feld consensusState der folgende Status angezeigt werden:

    • In der Konfiguration für das lokale Netzwerk, PENDING_PEER_ACKNOWLEDGMENT
    • In der Abgleichskonfiguration für das Peer-Netzwerk, PENDING_LOCAL_ACKNOWLEDGMENT

  3. Akzeptieren Sie die Aktualisierungsanfrage, indem Sie den Befehl aus Schritt 1 für die Peer-Seite der Verbindung ausführen.

    Dieser Schritt wird in der Regel von einem Netzwerkadministrator für das Peer-Netzwerk ausgeführt. Wenn die Anfrage abgeschlossen ist, ändert sich das Feld consensusState für beide Konfigurationen in IN_SYNC.

Wenn Sie eine Aktualisierungsanfrage zurücksetzen möchten, die auf die Genehmigung durch das Peer-Netzwerk wartet, setzen Sie die Aktualisierungsstrategie auf „Unabhängig“ zurück.

Peering-Verbindungen auflisten

Listen Sie vorhandene Peering-Verbindungen auf, um ihren Status aufzurufen und zu prüfen, ob sie benutzerdefinierte Routen importieren oder exportieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Wählen Sie die Peering-Verbindung aus, um sich Details anzusehen.

gcloud 

gcloud compute networks peerings list

Peering-Verbindung ansehen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Sehen Sie sich in der Spalte Status den Status Ihrer Verbindung an.

gcloud

Führen Sie den Befehl gcloud compute networks describe aus.

gcloud compute networks describe NETWORK

Ersetzen Sie NETWORK durch den Namen des Netzwerks in Ihrem Projekt, für das ein Peering eingerichtet ist.

In der Ausgabe wird im Feld peerings.connectionStatus der effektive Status der Peering-Verbindung beschrieben. Weitere Informationen finden Sie unter Verbindungsstatus.

Peering-Routen auflisten

Console

Auf dem Tab Aktive Routen können Sie alle anwendbaren Routentypen in einem VPC-Netzwerk ansehen, einschließlich importierter Peering-Subnetz-, statischer und dynamischer Peering-Routen.

  1. Rufen Sie in der Google Cloud Console die Seite Routen auf.

    Zur Seite „Routes“

  2. Führen Sie auf dem Tab Aktive Routen folgende Schritte aus:

    • Wählen Sie ein VPC-Netzwerk aus.
    • Wählen Sie eine Region aus.

  3. Klicken Sie auf Ansehen.

  4. Klicken Sie auf das Textfeld Filter und gehen Sie so vor:

    • Wählen Sie im Menü Properties (Eigenschaften) die Option Type (Typ) aus.
    • Wählen Sie im Menü Werte eine der folgenden Optionen aus.
      • Peering-Subnetz: Subnetzrouten aus Peer-VPC-Netzwerken ansehen.
      • Peering-Statik: Importierte statische Routen aus Peer-VPC-Netzwerken ansehen.
      • Peering-dynamisch: Importierte dynamische Routen aus Peer-VPC-Netzwerken ansehen.

  5. Optional können Sie auf Unterdrückte Routen anzeigen klicken, um unterdrückte Routen aufzurufen. Bewegen Sie den Mauszeiger auf das Symbol in der Spalte Status, um den Grund für die Unterdrückung einer Route zu sehen. Der Grund enthält einen Link zur Dokumentation zur Routing-Reihenfolge mit einer Erklärung.

gcloud

Verwenden Sie den folgenden Google Cloud CLI-Befehl, um:

  • Listen Sie die Routenexporte auf, die von Ihrem VPC-Netzwerk an Peering-VPC-Netzwerke gesendet werden.
  • Listen Sie Kandidaten für den Routenimport für Ihr VPC-Netzwerk auf.
können Sie sehen, welche Routen tatsächlich importiert und welche ausgelassen wurden. 
gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK \
    --region=REGION \
    --direction=DIRECTION

Ersetzen Sie Folgendes:

  • PEERING_NAME: Der Name einer vorhandenen Peering-Verbindung.
  • NETWORK: Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist.
  • REGION: Region, in der Sie alle dynamischen Routen auflisten möchten. Subnetz- und statische Routen sind global und werden für alle Regionen angezeigt.
  • DIRECTION: Gibt an, ob importierte (incoming) oder exportierte (outgoing) Routen aufgelistet werden sollen.

Peering-Verbindung löschen

Wenn eine Peering-Konfiguration in Ihrem Netzwerk gelöscht wird, wird die Peering-Verbindung im anderen Netzwerk inaktiv und alle von den Netzwerken gemeinsam genutzten Routen werden entfernt.

Das Verfahren zum Löschen einer Peering-Verbindung hängt von der für die Verbindung konfigurierten Updatestrategie ab:

  • Unabhängig (Standard): Sie oder ein Netzwerkadministrator für das Peering-VPC-Netzwerk können die Verbindung jederzeit löschen. Weitere Informationen finden Sie unter Verbindung löschen (unabhängiger Modus).
  • Konsens: Sowohl Sie als auch ein Netzwerkadministrator für das Peer-VPC-Netzwerk müssen eine Löschanfrage senden, bevor die Verbindung gelöscht werden kann. Weitere Informationen finden Sie unter Verbindung löschen (Konsensmodus).

Verbindung löschen (unabhängiger Modus)

So löschen Sie eine Peering-Verbindung im unabhängigen Modus (Standard):

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Klicken Sie das Kästchen neben der Peering-Verbindung an, die Sie entfernen möchten.

  3. Klicken Sie auf Löschen.

    Der Status der Verbindung ändert sich für das Peer-Netzwerk in Inaktiv. Um die inaktive Konfiguration zu entfernen, führt ein Netzwerkadministrator für das Peering-Netzwerk diese Schritte für die Peering-Seite der Verbindung aus.

gcloud

Führen Sie den Befehl gcloud compute networks peerings delete aus.

gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

Ersetzen Sie Folgendes:

  • PEERING_NAME: der Name der Peering-Konfiguration, die gelöscht werden soll.
  • NETWORK: Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist.

Der Status der Verbindung ändert sich für das Peer-Netzwerk in INACTIVE. Um die inaktive Konfiguration zu entfernen, führt ein Netzwerkadministrator für das Peering-Netzwerk diesen Schritt für die Peering-Seite der Verbindung aus.

Verbindung löschen (Konsensmodus)

So löschen Sie eine Peering-Verbindung im Konsensmodus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Klicken Sie auf die Peering-Verbindung, die Sie entfernen möchten.

  3. Klicken Sie auf der Seite Details zur Peering-Verbindung auf Löschung anfordern und dann auf Bestätigen.

  4. Nehmen Sie die Löschanfrage an, indem Sie die Schritte 1 bis 3 für die Peer-Seite der Verbindung ausführen.

    Diese Schritte werden in der Regel von einem Netzwerkadministrator für das Peer-Netzwerk ausgeführt. Nachdem beide Seiten der Peering-Verbindung die Löschanfrage gesendet haben, ändert sich der Status der Verbindung für beide Konfigurationen in Aktiv, Löschen bestätigt.

  5. Wählen Sie die Peering-Verbindung aus, die Sie entfernen möchten, und klicken Sie dann auf Löschen.

    Der Status der Verbindung ändert sich für das Peer-Netzwerk in Inaktiv. Um die inaktive Konfiguration zu entfernen, führt der Netzwerkadministrator für das Peering-Netzwerk diesen Schritt für die Peering-Seite der Verbindung aus.

gcloud

Verwenden Sie die Befehle gcloud compute networks peerings request-delete und gcloud compute networks peerings delete.

  1. So stellen Sie einen Antrag auf Löschung:

    gcloud compute networks peerings request-delete PEERING_NAME \
    --network=NETWORK

    Ersetzen Sie Folgendes:

    • PEERING_NAME: Name der Peering-Verbindung, die gelöscht werden soll.
    • NETWORK: Der Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist.

  2. So rufen Sie den Status der Löschanfrage auf:

    gcloud compute networks describe NETWORK

    Ersetzen Sie NETWORK durch den Namen des Netzwerks in Ihrem Projekt, für das Peering eingerichtet ist.

    In der Ausgabe muss im Feld deleteStatus der folgende Status angezeigt werden:

    • In der Konfiguration für das lokale Netzwerk LOCAL_DELETE_REQUESTED
    • In der Abgleichskonfiguration für das Peer-Netzwerk, PEER_DELETE_REQUESTED

  3. Akzeptieren Sie die Löschanfrage, indem Sie den Befehl aus Schritt 1 für die Peer-Seite der Verbindung ausführen.

    Dieser Schritt wird in der Regel von einem Netzwerkadministrator für das Peer-Netzwerk ausgeführt. Nachdem beide Seiten der Verbindung den Löschanfrage gesendet haben, ändert sich der Status des Felds deleteStatus für beide Konfigurationen in DELETE_ACKNOWLEDGED.

  4. Peering-Verbindung löschen:

    gcloud compute networks peerings delete PEERING_NAME \
    --network=NETWORK

    Ersetzen Sie Folgendes:

    • PEERING_NAME: Der Name der Peering-Konfiguration, die gelöscht werden soll.
    • NETWORK: Der Name des Netzwerks in Ihrem Projekt, das über Peering verbunden ist.

    Der Status der Verbindung ändert sich für das Peer-Netzwerk in INACTIVE. Um die inaktive Konfiguration zu entfernen, führt der Netzwerkadministrator für das Peering-Netzwerk diesen Schritt für die Peering-Seite der Verbindung aus.

Fehlerbehebung

In den folgenden Abschnitten wird beschrieben, wie Sie Probleme mit VPC-Netzwerk-Peering beheben.

Peer-VMs sind nicht erreichbar

Nachdem die Peering-Verbindung den Status AKTIV hat, kann es bis zu einer Minute dauern, bis alle Trafficströme zwischen den über Peering verbundenen VPC-Netzwerken eingerichtet sind. Die Dauer hängt von der Größe der über Peering verbundenen VPC-Netzwerke ab. Wenn Sie die Peering-Verbindung erst kürzlich eingerichtet haben, warten Sie eine Minute und versuchen Sie es dann noch einmal. Achten Sie außerdem darauf, dass keine Firewallregeln den Traffic zu/von den Subnetz-CIDRs des Peering-VPC-Netzwerk blockieren.

Benutzerdefinierte Routen fehlen

In diesem Abschnitt wird beschrieben, wie Sie Probleme mit fehlenden benutzerdefinierten Routen beheben.

Status der Peering-Verbindung prüfen

So prüfen Sie den Status Ihrer Peering-Verbindung:

  1. Listen Sie Peering-Verbindungen auf.
  2. Identifizieren Sie die Peering-Verbindung, bei der Sie die Fehlerbehebung durchführen möchten, und prüfen Sie ihren Peering-Status.
    1. Wenn der Status ACTIVE lautet, folgen Sie der Anleitung im nächsten Abschnitt.
    2. Wenn der Peering-Status INACTIVE lautet, muss ein Netzwerkadministrator des anderen Netzwerks eine Peering-Konfiguration für Ihr VPC-Netzwerk erstellen.

Probleme mit der ACTIVE-Verbindung beheben

So beheben Sie Probleme mit fehlenden benutzerdefinierten Routen in einer ACTIVE-Peering-Verbindung:

  1. Peering-Routen in Ihrem VPC-Netzwerk auflisten Führen Sie auf dem Tab Aktive Routen folgende Schritte aus:

    1. Die Regionen, in denen dynamische Routen programmiert werden, hängen vom Modus für dynamisches Routing des VPC-Netzwerk ab, in dem benutzerdefinierte Routen exportiert werden. Weitere Informationen finden Sie unter Auswirkungen des dynamischen Routingmodus. Im globalen Modus für dynamisches Routing wird nur die dynamische Route mit dem höchsten Rang in Regionen programmiert, die nicht mit der Region des nächsten Hops übereinstimmen.

    2. Stellen Sie den Schalter Unterdrückte Routen anzeigen auf „Ein“ und suchen Sie dann nach Ihrer Route. Wenn Sie den Grund für das Unterdrücken einer Route sehen möchten, bewegen Sie den Mauszeiger auf das Symbol in der Spalte Status. Google Cloud bietet eine Lösung für Routenkonflikte auf regionaler Basis im VPC-Netzwerk, in dem Routen über VPC-Netzwerk-Peering importiert werden.

    3. Suchen Sie nach einer Warnung, die darauf hinweist, dass Ihr VPC-Netzwerk das Limit für das Kontingent für dynamische Routen pro Region und Peering-Gruppe erreicht hat. Wenn Ihr VPC-Netzwerk das Limit für dieses Kontingent erreicht hat, werden eine oder mehrere dynamische Peering-Routen nicht programmiert. Da nicht genau angezeigt werden kann, welche dynamischen Peering-Routen nicht programmiert sind, sollten Sie eine Erhöhung des Kontingentlimits für dynamische Routen pro Region und Peering-Gruppe anfordern.

  2. Wenn Sie die erwartete Route immer noch nicht sehen, gehen Sie so vor:

    1. Prüfen Sie Ihre Peering-Konfiguration und aktualisieren Sie sie bei Bedarf, damit benutzerdefinierte Routen importiert werden.

    2. Prüfen Sie, ob die Route einer der folgenden Routentypen ist, die nicht über VPC-Netzwerk-Peering ausgetauscht werden können:

      • Peering-Subnetz-, Peering-Static- und Peering-Dynamic-Routen in einem per Peering verbundenen VPC-Netzwerk, die von den anderen Peering-Netzwerken empfangen werden, können nicht über VPC-Netzwerk-Peering mit Ihrem VPC-Netzwerk ausgetauscht werden.

      • Statische Routen, die den nächsten Hop des Standard-Internetgateways verwenden, und statische Routen mit Netzwerk-Tags können nicht über VPC-Netzwerk-Peering ausgetauscht werden.

      Weitere Informationen finden Sie unter Optionen für den Routenaustausch.

    3. Bitten Sie einen Netzwerkadministrator des Peer-VPC-Netzwerk, Folgendes zu tun:

      1. Routen in ihrem VPC-Netzwerk auflisten und nach der erwarteten Route suchen.

      2. Überprüfen Sie die Peering-Konfiguration und aktualisieren Sie sie bei Bedarf, damit benutzerdefinierte Routen exportiert werden.

Für ein Peering-Netzwerk bestimmter Traffic wird abgewiesen

Mithilfe von Verbindungstests können Sie herausfinden, warum für ein Peering-Netzwerk bestimmter Traffic abgewiesen wird. Wenn der Traffic über benutzerdefinierte Routen gesendet werden soll, lesen Sie den Abschnitt Benutzerdefinierte Routen fehlen.

Traffic wird an einen unerwarteten nächsten Hop gesendet

Mit Konnektivitätstests können Sie ermitteln, warum Traffic an einen unerwarteten nächsten Hop gesendet wird. Wenn der Traffic über benutzerdefinierte Routen gesendet werden soll, lesen Sie den Abschnitt Benutzerdefinierte Routen fehlen.

Peering mit einem bestimmten VPC-Netzwerk nicht möglich

Wenn Sie zu bestimmten VPC-Netzwerken keine Peering-Konfiguration herstellen können, könnten die VPC-Netzwerke, zu denen Ihr Netzwerk Peering-Verbindungen herstellen kann, durch eine Organisationsrichtlinie eingeschränkt sein. Fügen Sie das Netzwerk in der Organisationsrichtlinie der Liste der zulässigen Peering-Verbindungen hinzu oder wenden Sie sich an den Administrator Ihrer Organisation. Weitere Informationen finden Sie in der Einschränkung constraints/compute.restrictVpcPeering.

IPv6-Routen werden nicht ausgetauscht

Prüfen Sie zuerst, ob für Ihre Peering-Verbindung und die Peering-Verbindung des per Peering verbundenen VPC-Netzwerk der Stack-Typ auf IPV4_IPV6 festgelegt ist. Falls erforderlich:

  • Aktualisieren Sie Ihre Peering-Verbindung, um den Stacktyp auf IPV4_IPV6 festzulegen.
  • Bitten Sie einen Netzwerkadministrator des VPC-Netzwerk mit Peering, die Peering-Verbindung zu aktualisieren und den Stacktyp auf IPV4_IPV6 festzulegen.

Nachdem für beide Peering-Verbindungen der Stacktyp auf IPV4_IPV6 festgelegt wurde, werden IPv6-Subnetzrouten (sowohl interne als auch externe) ausgetauscht. IPv6-Subnetzrouten sind in allen Google Cloud VPC-Netzwerken eindeutig.

So tauschen Sie benutzerdefinierte IPv6-Routen aus:

  • Aktualisieren Sie Ihre Peering-Verbindung, um benutzerdefinierte Routen zu importieren und zu exportieren.
  • Bitten Sie einen Netzwerkadministrator des Peering-VPC-Netzwerk, die Peering-Verbindung zu aktualisieren, um benutzerdefinierte Routen zu importieren und zu exportieren.

Nächste Schritte