Descripción general
El emparejamiento de VPC funciona configurando las VPC para que se comuniquen entre sí. Si tu fuente está en el mismo Google Cloud proyecto en Cloud SQL o Compute Engine, esto permite que el destino se comunique con la fuente directamente. Si su fuente está dentro de una VPN (en AWS, por ejemplo, o su propia VPN local), configure la VPN de origen y la VPN de Google Cloud para que funcionen entre sí. Para obtener más información, consulte Conexión de VPC a través de VPN .No se admite el encadenamiento de VPC. Si tu fuente está en otro Google Cloud proyecto, luego consulte Descripción general de VPC compartida para aprender cómo conectar recursos de múltiples proyectos a una red de VPC común para el emparejamiento de VPC.
El firewall del servidor de la base de datos de origen debe estar configurado para permitir todo el rango de IP interno asignado para la conexión de servicio privado de la red VPC que va a utilizar la instancia de destino de Cloud SQL .
Para encontrar el rango de IP interno en la consola:
Vaya a la página de redes VPC en el Google Cloud consola.
Seleccione la red VPC que desea utilizar.
Seleccione la pestaña CONEXIÓN DE SERVICIO PRIVADO .
pg_hba.conf o las definiciones de grupos de seguridad en AWS RDS en la base de datos de origen estén actualizadas para aceptar conexiones desde el rango de direcciones IP de Cloud SQL VPC. El emparejamiento de VPC utiliza el acceso a servicios privados , que se deben configurar una vez para cada proyecto que utilice el emparejamiento de VPC. Una vez que haya establecido private services access , pruebe su trabajo de migración para verificar la conectividad.
Configuración del acceso a servicios privados para el servicio de migración de bases de datos
Si está utilizando una IP privada para cualquiera de sus instancias del Servicio de migración de bases de datos, solo necesita configurar el acceso a los servicios privados una vez para cada proyecto de Google Cloud que tenga o necesite conectarse a una instancia del Servicio de migración de bases de datos.
Para establecer el acceso a servicios privados se requiere la función de IAM compute.networkAdmin . Una vez establecido el acceso a servicios privados para su red, ya no necesita la función de IAM compute.networkAdmin para configurar una instancia para usar IP privada.
El acceso a servicios privados requiere que primero asigne un rango de direcciones IP interno, luego cree una conexión privada y luego exporte una ruta personalizada.
Un rango asignado es un bloque CIDR reservado que de otro modo no se puede utilizar en su red VPC local. Cuando crea una conexión privada, especifica una asignación. La conexión privada vincula su red de VPC con la red de VPC subyacente ("productor de servicios").
Cuando crea una conexión privada, la red de VPC y la red del productor de servicios solo intercambian rutas de subred. Debe exportar las rutas personalizadas de la red VPC para que la red del proveedor de servicios pueda importarlas y enrutar correctamente el tráfico a su red local.
Una configuración de intercambio de tráfico establece la intención de conectarse a otra red de VPC. Su red y la otra red no están conectadas hasta que cada una tenga una configuración de intercambio de tráfico para la otra. Después de que la otra red tenga una configuración correspondiente para emparejarse con su red, el estado de emparejamiento cambia a ACTIVO en ambas redes y están conectadas. Si no hay una configuración de emparejamiento coincidente en la otra red, el estado de emparejamiento permanece INACTIVO, lo que indica que su red no está conectada a la otra.
Una vez conectadas, las dos redes siempre intercambian rutas de subred. Opcionalmente, puede importar rutas personalizadas estáticas y dinámicas desde una red emparejada si se ha configurado para exportarlas.
El proceso de configuración de acceso a servicios privados consta de dos partes:
- Asignar un rango de direcciones IP. La gama abarca todas sus instancias.
- Crear una conexión privada desde su red VPC a la red del productor de servicios.
Asignar un rango de direcciones IP
Consola
- Vaya a la página de redes VPC en el Google Cloud consola.
- Seleccione la red VPC que desea utilizar.
- Seleccione la pestaña Conexión de servicio privado .
- Seleccione la pestaña Rangos de IP asignados para servicios .
- Haga clic en Asignar rango de IP .
Para el Nombre del rango asignado, especifique
google-managed-services-VPC_NETWORK_NAME, dondeVPC_NETWORK_NAMEes el nombre de la red VPC que se está conectando (por ejemplo,google-managed-services-default). La Descripción es opcional.Haga clic en ASIGNAR para crear el rango asignado.
nube de gcloud
Haga una de las siguientes cosas:
Para especificar un rango de direcciones y una longitud de prefijo (máscara de subred), utilice los indicadores
addressesyprefix-length. Por ejemplo, para asignar el bloque CIDR192.168.0.0/16, especifique192.168.0.0para la dirección y16para la longitud del prefijo.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]Para especificar únicamente una longitud de prefijo (máscara de subred), simplemente use el indicador
prefix-length. Cuando omite el rango de direcciones, Google Cloudselecciona automáticamente un rango de direcciones no utilizado en su red VPC. El siguiente ejemplo selecciona un rango de direcciones IP no utilizado con una longitud de prefijo de16bits.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]
Reemplace [VPC_NETWORK_NAME] con el nombre de su red VPC, como my-vpc-network .
El siguiente ejemplo asigna un rango de IP que permite que los recursos en la red de VPC my-vpc-network se conecten a instancias del Servicio de migración de bases de datos mediante una IP privada.
gcloud compute addresses create google-managed-services-my-vpc-network \
--global \
--purpose=VPC_PEERING \
--prefix-length=16 \
--network=my-vpc-network \
--project=my-project
Creando una conexión privada
Consola
- Vaya a la página de redes VPC en el Google Cloud consola.
- Seleccione la red VPC que desea utilizar.
- Seleccione la pestaña Conexión de servicio privado .
- Seleccione la pestaña Conexiones privadas a servicios .
- Haga clic en Crear conexión para crear una conexión privada entre su red y un productor de servicios.
- Para la asignación asignada , seleccione uno o más rangos asignados existentes que no estén siendo utilizados por otros productores de servicios y luego haga clic en Aceptar .
- Haga clic en CONECTAR para crear la conexión.
nube de gcloud
Crea una conexión privada.
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=google-managed-services-[VPC_NETWORK_NAME] \ --network=[VPC_NETWORK_NAME] \ --project=[PROJECT_ID]Reemplace
[VPC_NETWORK_NAME]con el nombre de su red VPC y[PROJECT_ID]con el ID del proyecto que contiene su red VPC.El comando inicia una operación de larga duración y devuelve un nombre de operación.
Compruebe si la operación fue exitosa.
gcloud services vpc-peerings operations describe \ --name=[OPERATION_NAME]Reemplace
[OPERATION_NAME]con el nombre de la operación que se devolvió en el paso anterior.
Puede especificar más de un rango asignado al crear una conexión privada. Por ejemplo, si se ha agotado un rango, puede asignar rangos asignados adicionales. El servicio utiliza direcciones IP de todos los rangos proporcionados en el orden que usted especificó.
Exportar rutas personalizadas
Actualice una conexión de intercambio de tráfico de red de VPC existente para cambiar si su red de VPC exporta o importa rutas personalizadas hacia o desde la red de VPC del mismo nivel.
Su red importa rutas personalizadas solo si la red del mismo nivel también exporta rutas personalizadas, y la red del mismo nivel recibe rutas personalizadas solo si las importa.
Consola
- Vaya a la página Interconexión de red VPC en la Google Cloud consola.
Vaya a la página Interconexión de red VPC - Seleccione la conexión de peering para actualizar.
- Haga clic en EDITAR .
- Actualice la configuración de su ruta personalizada seleccionando o deseleccionando Importar rutas personalizadas o Exportar rutas personalizadas .
- Haga clic en GUARDAR .
nube de gcloud
Actualice la conexión de intercambio de tráfico para cambiar la configuración de importación o exportación de rutas personalizadas.
gcloud compute networks peerings update [PEERING-NAME] \
--network=[MY-LOCAL-NETWORK] \
[--[no-]import-custom-routes] \
[--[no-]export-custom-routes]
Otorgar el roles/servicenetworking.serviceAgent
gcloud beta services identity create \
--service=servicenetworking.googleapis.com \
--project=project-id
gcloud projects add-iam-policy-binding project-id \
--member="service-account-prefix@service-networking.iam.gserviceaccount.com" \
--role="roles/servicenetworking.serviceAgent"
A menos que se indique lo contrario, el contenido de esta página está sujeto a la licencia Reconocimiento 4.0 de Creative Commons y las muestras de código están sujetas a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio web de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2025-05-15 (UTC).