設定及管理虛擬私有雲網路對等互連
Google Cloud 虛擬私有雲網路對等互連可在兩個虛擬私有雲網路之間建立內部 IP 位址連線,無論這兩個網路是否屬於同一個專案或機構皆可。對等互連可支援網路之間的連線,這些網路可任意組合使用僅限 IPv4、雙重堆疊和僅限 IPv6 (預先發布版) 子網路。
詳情請參閱「虛擬私人雲端網路對等互連」。
建立對等互連設定
在開始前,您必須知道要進行對等互連的虛擬私人雲端網路名稱。如果該網路位於另一個專案,您也必須知道該專案的專案 ID。您無法列出虛擬私有雲網路的對等互連要求,如有需要,請向要建立對等互連的網路管理員詢問網路和專案名稱。
對等互連設定會建立連線到另一個 VPC 網路的「意圖」。您的網路與另一個網路之間必須具備對方的對等互連設定才可連線。當另一個網路具備與您的網路建立對等互連的對應設定後,兩邊的對等互連狀態都會變成 ACTIVE,表示兩個網路皆已連線。若另一個網路沒有對應的對等互連設定,對等互連狀態就會維持在 INACTIVE,代表您的網路並未與該網路連線。
Google Cloud 在對等網路中,一次僅允許一項和對等互連相關的活動。舉例來說,如果您在設定與某一網路的對等互連後,便立即嘗試設定另一個對等互連,作業會失敗,並顯示以下訊息:Error: There is a peering operation in progress on the local or peer network. Try again later.
連線後,兩個 VPC 網路一律會交換使用私人 IPv4 位址範圍的 IPv4 子網路路徑 (主要和次要 IPv4 子網路範圍)。如要進一步瞭解子網路路由交換選項,請參閱「交換子網路路由的選項」。如要進一步瞭解如何交換靜態或動態路線,請參閱「交換靜態路線的選項」和「交換動態路線的選項」。
主控台
- 在 Google Cloud 控制台中,前往「VPC Network Peering」頁面。
前往「VPC Network Peering」(虛擬私有雲網路對等互連) - 點選「建立連線」。
- 按一下「繼續」。
- 在「Name」欄位中,輸入對等互連設定的名稱。
- 在「Your VPC network」(您的 VPC 網路) 底下,選擇您要建立對等互連的網路。
選擇要建立對等互連的網路。
- 若您要建立對等互連的網路位於相同的專案中,請選擇「In project [NAME-OF-YOUR-PROJECT]」(位在 [專案名稱] 專案),然後選擇要建立對等互連的網路。
- 若您要建立對等互連的網路位於不同的專案,請選擇 [In another project] (位在其他專案)。請指定專案 ID,包含您要建立對等互連的網路與 VPC 網路的名稱。
在「IP 堆疊類型」下方,指定對等網路之間應交換哪些子網路路徑:
- IPv4 (單一堆疊):僅交換 IPv4 路由。
- IPv4 和 IPv6 (雙重堆疊):交換 IPv4 和 IPv6 路徑。
如要匯入或匯出 IPv4 和 IPv6 自訂路徑,請選擇下列任一或兩個選項:
- 匯入自訂路徑:從對等網路匯入自訂路徑。對等互連網路必須啟用自訂路徑匯出功能,才能匯入路徑。
- 匯出自訂路徑:將自訂路徑匯出至對等網路。對等互連網路必須啟用自訂路徑匯入功能,才能匯出路徑。
如果您的網路或對等網路在子網路中使用私用公開 IPv4 範圍,這些路徑會預設為匯出,但不會預設匯入。如要匯入採用私用公開 IPv4 位址的子網路路徑,請選取:
- 匯入採用公開 IP 的子網路路徑:匯入其他網路匯出的私用公開 IPv4 子網路路徑
按一下 [建立]。
gcloud
建立 VPC 網路對等互連連線。
gcloud compute networks peerings create PEERING_NAME \
--network=NETWORK \
--peer-project=PEER_PROJECT_ID \
--peer-network=PEER_NETWORK_NAME \
[--stack-type=STACK_TYPE] \
[--import-custom-routes] \
[--export-custom-routes] \
[--import-subnet-routes-with-public-ip] \
[--export-subnet-routes-with-public-ip]
更改下列內容:
PEERING_NAME:對等設定的名稱。NETWORK:您要對等的專案中網路名稱。PEER_PROJECT_ID:包含要進行對等連線的網路的專案 ID。PEER_NETWORK_NAME:您要與之建立對等關係的網路名稱。STACK_TYPE:檢查點連線的堆疊類型。指定IPV4_ONLY只交換 IPv4 路由。或者,您也可以指定IPV4_IPV6來交換 IPv4 和 IPv6 路徑。預設值為IPV4_ONLY。- --import-custom-routes 會告知網路接受來自對等互連網路的自訂路徑。對等網路必須先匯出路徑。
- --export-custom-routes 會指示網路將自訂路徑匯出至對等網路。對等網路必須設為匯入路徑。
- 如果網路在子網路中使用私用公開 IPv4 位址,--import-subnet-routes-with-public-ip 會指示網路接受來自對等網路的子網路路徑。對等網路必須先匯出路徑。
- --export-subnet-routes-with-public-ip 會指示網路匯出包含私用公開 IPv4 位址的子網路路徑。對等互連網路必須設為匯入路由。
Terraform
您可以使用 Terraform 模組建立 peering 設定。
對於兩個對等互連的 VPC 網路,每個自我連結都包含專案 ID 和 VPC 網路名稱。如要取得 VPC 網路的自連結,您可以在每個 VPC 網路的專案中使用 gcloud compute networks
describe 指令或 networks.get 方法。
當您建立從 local_network 到 peer_network 的對等連線時,對等關係是雙向的。系統會自動建立從 peer_network 到 local_network 的對等連線。
如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。
確認流量是否在對等互連虛擬私有雲網路之間傳送
您可以使用虛擬私有雲流程記錄檔查看 VM 執行個體傳送和接收的網路流程。您也可以使用防火牆規則記錄,確認流量是否在網路之間傳送。建立虛擬私有雲防火牆規則,允許 (或拒絕) 對等網路之間的流量,並為這些規則啟用防火牆規則記錄功能。接著,您可以使用 Cloud Logging 查看觸發哪些防火牆規則。
更新對等連線
更新現有的 VPC 網路對等互連連線時,您可以執行下列操作:
- 變更虛擬私有雲網路是否從對等互連虛擬私有雲網路匯出或匯入自訂路徑或私用公開 IPv4 子網路路徑。
- 更新現有的對等互連連線,啟用或停用對等互連網路之間的 IPv6 路徑交換功能。
只有在對等互連網路也匯出路徑時,您的網路才會匯入路徑,而對等互連網路只有在匯入路徑時才接收路徑。
主控台
- 在 Google Cloud 控制台中,前往「VPC Network Peering」(虛擬私有雲網路對等互連) 頁面。
前往「VPC Network Peering」(虛擬私有雲網路對等互連) - 選取要更新的對等互連連線。
- 按一下 [編輯]。
- 更新「IP 堆疊類型」選項,指定在對等網路之間交換哪些子網路路徑:
- IPv4 (單一堆疊):停止透過對等連線交換現有的 IPv6 路由,並繼續只交換 IPv4 路由。
- IPv4 和 IPv6 (雙重堆疊):開始交換 IPv4 和 IPv6 路由,前提是相符的對等連線的 IP 堆疊類型也設為 IPv4 和 IPv6 (雙重堆疊)。
- 如要匯入或匯出 IPv4 和 IPv6 自訂路徑,請選擇下列一或兩個選項:
- 匯入自訂路徑:匯入其他網路匯出的自訂路徑
- 匯出自訂路徑:匯出自訂路徑至其他網路。其他聯播網路必須匯入路徑才能查看。
- 如果您的網路或對等網路在子網路中使用私用公開 IPv4 範圍,這些路徑會預設為匯出,但不會預設匯入。如要匯入採用私用公開 IPv4 位址的子網路路徑,請選取:
- 匯入採用公開 IP 的子網路路徑:匯入其他網路匯出的私用公開 IPv4 子網路路徑
- 按一下 [儲存]。
gcloud
gcloud compute networks peerings update PEERING_NAME \
--network=NETWORK \
[--stack-type=STACK_TYPE] \
[--import-custom-routes] \
[--export-custom-routes] \
[--export-subnet-routes-with-public-ip] \
[--import-subnet-routes-with-public-ip]
更改下列內容:
PEERING_NAME:現有對等連線的名稱。NETWORK:專案中已配對的網路名稱。STACK_TYPE:檢查點連線的堆疊類型。- 指定
IPV4_ONLY可停止透過對等互連交換現有的 IPv6 路徑,並繼續只交換 IPv4 路徑。 - 指定
IPV4_IPV6開始交換 IPv4 和 IPv6 路徑,前提是相符的對等互連連線也將stack_type設為IPV4_IPV6。
- 指定
- --import-custom-routes 會告知網路接受來自對等互連網路的自訂路徑。對等網路必須先匯出路徑。
- --export-custom-routes 會指示網路將自訂路徑匯出至對等網路。對等網路必須設為匯入路徑。
- 如果網路在子網路中使用私用公開 IPv4 位址,--import-subnet-routes-with-public-ip 會指示網路接受來自對等網路的子網路路徑。對等網路必須先匯出路徑。
- --export-subnet-routes-with-public-ip 會指示網路匯出包含私用公開 IPv4 位址的子網路路徑。對等互連網路必須設為匯入路由。
列出對等互連連線
列出現有對等互連連線以檢視其狀態,以及這些連線是否正在匯入或匯出自訂路徑。
主控台
- 在 Google Cloud 控制台中,前往「VPC Network Peering」(虛擬私有雲網路對等互連) 頁面。
前往「VPC Network Peering」(虛擬私有雲網路對等互連) - 選取對等互連連線以查看詳細資料。
gcloud
gcloud compute networks peerings list
列出對等互連路徑
主控台
使用「有效路徑」分頁標籤,查看 VPC 網路中所有適用的路徑類型,包括匯入的對等互連子網路、對等互連靜態路徑和對等互連動態路徑。
前往 Google Cloud 控制台的「Routes」(路徑) 頁面。
在「有效路徑」分頁中,執行下列操作:
- 選取「VPC 網路」。
- 選擇一個 [Region] (地區)。
點按「查看」。
按一下「篩選器」文字欄位,然後執行下列操作:
- 從「屬性」選單中選擇「類型」。
- 在「值」選單中選擇下列任一選項。
- 對等互連子網路:查看對等 VPC 網路的子網路路徑。
- 對等互連靜態:查看從對等虛擬私有雲端網路匯入的靜態路徑。
- 對等互連動態:查看從對等 VPC 網路匯入的動態路徑。
您可以按一下「顯示已隱藏的路線」,查看已隱藏的路線。將滑鼠游標懸停在「狀態」欄中的圖示上,即可查看路線遭到抑制的理由。原因中包含轉送順序說明文件的連結。
gcloud
使用下列 Google Cloud CLI 指令:
- 列出從虛擬私有雲網路傳送至對等虛擬私有雲網路的路徑匯出。
- 列出 VPC 網路的路徑匯入候選項目。
gcloud compute networks peerings list-routes PEERING_NAME \
--network=NETWORK \
--region=REGION \
--direction=DIRECTION
更改下列內容:
PEERING_NAME:現有對等連線的名稱。NETWORK:專案中已配對的網路名稱。REGION:您要列出所有動態路徑的區域。子網路和靜態路徑均屬於全域路徑,因此會顯示在所有地區。DIRECTION:指定是否列出匯入 (incoming) 或匯出 (outgoing) 路徑。
刪除 VPC 網路對等互連連線
您或對等虛擬私人雲端網路的網路管理員可以刪除對等互連設定。刪除對等互連設定後,其他網路中的對等互連「連線」狀態會變為 INACTIVE,也會移除在網路中共用的所有路徑。
主控台
- 前往 Google Cloud 控制台的「VPC Network Peering」(VPC 網路對等互連) 頁面。
前往「VPC Network Peering」(虛擬私有雲網路對等互連) - 找出您要移除的對等互連,並選取旁邊的核取方塊。
- 點選「刪除」。
gcloud
gcloud compute networks peerings delete PEERING_NAME \
--network=NETWORK
更改下列內容:
PEERING_NAME:要刪除的對等連線名稱。NETWORK:專案中已配對的網路名稱。
疑難排解
下列各節說明如何排解 VPC 網路對等互連的問題。
無法連線至對等 VM
對等互連連線的狀態變成「ACTIVE」(啟用) 後,最多可能需要一分鐘,才能在對等網路之間設定所有流量。這個時間取決於建立對等互連的網路大小。如果您最近才設定對等互連連線,請稍待一分鐘後再試一次。也請確定您的防火牆規則未封鎖連入/連出對等互連 VPC 網路子網路 CIDR 的流量。
缺少自訂路徑
本節說明如何排解缺少自訂路徑的問題。
檢查對等互連連線狀態
如要查看對等互連連線的狀態,請按照下列步驟操作:
- 列出對等互連連線。
- 找出要排解的對等連線,並查看對等連線狀態。
- 如果狀態為
ACTIVE,請按照下一節的步驟操作。 - 如果對等互連狀態為
INACTIVE,另一個網路的網路管理員需要為您的 VPC 網路建立對等互連設定。
- 如果狀態為
排解 ACTIVE 連線問題
如要排解 ACTIVE 對等互連連線中缺少自訂路徑的問題,請按照下列步驟操作:
在 VPC 網路中列出對等互連路徑。在「有效路徑」分頁中,執行下列操作:
請注意,動態路徑的設定區域取決於匯出自訂路徑的 VPC 網路的動態轉送模式。詳情請參閱「動態轉送模式的影響」。在全域動態轉送模式中,只有在與下一個躍點區域不相符的區域,才會編寫最高排名的動態路徑。
將「顯示已抑制的路線」切換鈕切換至開啟狀態,然後查看路線。如要查看路徑遭到抑制的理由,請將滑鼠游標移至「Status」欄中的圖示。 Google Cloud 會在使用虛擬私有雲網路對等互連匯入路徑的虛擬私有雲網路中,逐區域提供路徑衝突解決方案。
請查看警告,確認您的 VPC 網路是否已達到各區域各對等互連群組的動態路由配額上限。如果虛擬私有雲網路已達此配額的限制,就不會設定一或多個對等互連的動態路徑。由於無法確切顯示哪些對等互連動態路徑未經設定,請針對每個區域的各對等互連群組動態路徑,要求提高配額上限。
如果仍未找到預期的路線,請按照下列步驟操作:
檢查對等互連設定,並視需要更新對等互連設定,以便匯入自訂路徑。
請確認路徑不是下列無法透過 VPC 網路對等互連交換的路徑類型:
在對等 VPC 網路中,從其他對等網路收到的對等子網路、對等靜態路徑和對等動態路徑,無法透過 VPC 網路對等互連功能交換至您的 VPC 網路。
使用預設網際網路閘道下一個躍點的靜態路徑,以及含有網路標記的靜態路徑,無法透過虛擬私人雲端網路對等互連功能進行交換。
詳情請參閱「路徑交換選項」。
請對等虛擬私有雲網路的網路管理員執行下列操作:
列出虛擬私有雲網路中的路徑,找出預期的路徑。
請查看對等互連設定,並視需要更新對等互連設定,以便匯出自訂路徑。
系統捨棄連往對等互連網路的流量
您可以使用連線能力測試,找出系統為何捨棄連往對等互連網路的流量。如果應使用自訂路徑傳送流量,請參閱「缺少自訂路徑」。
流量會傳送到非預期的下一個躍點
您可以使用連線能力測試,找出流量傳送至非預期下一個躍點的原因。如果應使用自訂路徑傳送流量,請參閱「缺少自訂路徑」。
無法與特定虛擬私有雲網路對等互連
如果您無法建立與特定虛擬私有雲網路的對等互連設定,則可能是機構政策限制了網路可對等互連的虛擬私有雲網路。請在組織政策中,將該網路新增到允許的對等端清單中,或是與您的機構組織管理員聯絡。詳情請參閱 constraints/compute.restrictVpcPeering 限制。
不會交換 IPv6 路由
首先,請確認您的對等互連連線和對等互連虛擬私有雲端網路的對等互連連線,其堆疊類型都設為 IPV4_IPV6。視需要:
- 更新對等互連連線,將其堆疊類型設為
IPV4_IPV6。 - 請對等虛擬私有雲網路的網路管理員更新對等互連連線,將其堆疊類型設為
IPV4_IPV6。
將兩個對等互連連線的堆疊類型設為 IPV4_IPV6 後,系統就會交換 IPv6 子網路路徑 (內部和外部)。在所有 Google Cloud VPC 網路中,IPv6 子網路路徑都是唯一的。
如要交換 IPv6 自訂路徑,請按照下列步驟操作:
- 更新對等互連連線,匯入及匯出自訂路徑。
- 請對等互連虛擬私有雲網路的網路管理員更新對等互連連線,以匯入及匯出自訂路徑。
後續步驟
- 如要進一步瞭解 VPC 轉送,請參閱「路徑」。
- 如需虛擬私人雲端網路對等互連相關限制的詳細資訊,請參閱「虛擬私人雲端網路對等互連限制」。
- 如要瞭解如何使用內部直通式網路負載平衡器做為自訂靜態路徑的下一個躍點,請參閱「使用內部直通式網路負載平衡器做為下一個躍點」。