Visão geral
O peering de VPC funciona configurando as VPCs para se comunicarem entre si. Se sua fonte estiver no mesmo Google Cloud projeto no AlloyDB ou Compute Engine, isso permitirá que o destino se comunique diretamente com a origem. Se sua origem estiver em uma VPN (na AWS, por exemplo, ou em sua própria VPN local), configure a VPN de origem e a VPN do Google Cloud para funcionarem entre si. Para obter mais informações, consulte conectar VPCs por meio de VPNs .O encadeamento de VPC não é compatível. Se sua fonte estiver em um lugar diferente Google Cloud projeto e consulte Visão geral da VPC compartilhada para saber como conectar recursos de vários projetos a uma rede VPC comum para peering de VPC.
O firewall do servidor de banco de dados de origem deve ser configurado para permitir todo o intervalo de IP interno alocado para a conexão de serviço privado da rede VPC que a instância de destino do AlloyDB usará .
Para encontrar o intervalo de IP interno no console:
Acesse a página de redes VPC no Google Cloud console.
Selecione a rede VPC que você deseja usar.
Selecione a guia CONEXÃO DE SERVIÇO PRIVADO .
pg_hba.conf ou as definições de grupos de segurança no AWS RDS no banco de dados de origem estejam atualizadas para aceitar conexões do intervalo de endereços IP do AlloyDB VPC. O peering de VPC usa acesso a serviços privados , que deve ser configurado uma vez para cada projeto usando peering de VPC. Depois de estabelecer private services access , teste seu trabalho de migração para verificar a conectividade.
Configurando o acesso a serviços privados para o Database Migration Service
Se você estiver usando IP privado para qualquer uma das suas instâncias do Database Migration Service, só precisará configurar o acesso a serviços privados uma vez para cada projeto do Google Cloud que tenha ou precise se conectar a uma instância do Database Migration Service.
Estabelecer acesso a serviços privados requer a função do IAM computa.networkAdmin . Depois que o acesso a serviços privados for estabelecido para sua rede, você não precisará mais da função do IAM compute.networkAdmin para configurar uma instância para usar IP privado.
O acesso a serviços privados exige que você primeiro aloque um intervalo de endereços IP interno, depois crie uma conexão privada e depois exporte uma rota personalizada.
Um intervalo alocado é um bloco CIDR reservado que não pode ser usado de outra forma na sua rede VPC local. Ao criar uma conexão privada, você especifica uma alocação. A conexão privada vincula sua rede VPC à rede VPC subjacente ("produtora de serviços").
Quando você cria uma conexão privada, a rede VPC e a rede do produtor de serviços trocam apenas rotas de sub-rede. Você deve exportar as rotas personalizadas da rede VPC para que a rede do provedor de serviços possa importá-las e rotear corretamente o tráfego para sua rede local.
Uma configuração de peering estabelece a intenção de conexão com outra rede VPC. Sua rede e a outra rede não estarão conectadas até que cada uma tenha uma configuração de peering para a outra. Depois que a outra rede tiver uma configuração correspondente para peering com a sua rede, o estado de peering mudará para ACTIVE em ambas as redes e elas serão conectadas. Se não houver configuração de peering correspondente na outra rede, o estado de peering permanecerá INATIVO, indicando que a sua rede não está conectada à outra.
Uma vez conectadas, as duas redes sempre trocam rotas de sub-rede. Opcionalmente, você pode importar rotas personalizadas estáticas e dinâmicas de uma rede com peering se ela tiver sido configurada para exportá-las
Existem duas partes no processo de configuração de acesso a serviços privados:
- Alocando um intervalo de endereços IP. O intervalo abrange todas as suas instâncias.
- Criar uma conexão privada da sua rede VPC com a rede do produtor de serviços.
Alocando um intervalo de endereços IP
Console
- Acesse a página de redes VPC no Google Cloud console.
- Selecione a rede VPC que você deseja usar.
- Selecione a guia Conexão de serviço privado .
- Selecione a guia Intervalos de IP alocados para serviços .
- Clique em Alocar intervalo de IP .
Para o Nome do intervalo alocado, especifique
google-managed-services-VPC_NETWORK_NAME, ondeVPC_NETWORK_NAMEé o nome da rede VPC que você está conectando (por exemplo,google-managed-services-default). A Descrição é opcional.Clique em ALOCAR para criar o intervalo alocado.
gcloud
Faça um dos seguintes:
Para especificar um intervalo de endereços e um comprimento de prefixo (máscara de sub-rede), use os sinalizadores
addresseseprefix-length. Por exemplo, para alocar o bloco CIDR192.168.0.0/16, especifique192.168.0.0para o endereço e16para o comprimento do prefixo.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]Para especificar apenas um comprimento de prefixo (máscara de sub-rede), basta usar o sinalizador
prefix-length. Quando você omite o intervalo de endereços, Google Cloudseleciona automaticamente um intervalo de endereços não utilizado na sua rede VPC. O exemplo a seguir seleciona um intervalo de endereços IP não utilizado com um comprimento de prefixo de16bits.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]
Substitua [VPC_NETWORK_NAME] pelo nome da sua rede VPC, como my-vpc-network .
O exemplo a seguir aloca um intervalo de IP que permite que recursos na rede VPC my-vpc-network se conectem a instâncias do Database Migration Service usando IP privado.
gcloud compute addresses create google-managed-services-my-vpc-network \
--global \
--purpose=VPC_PEERING \
--prefix-length=16 \
--network=my-vpc-network \
--project=my-project
Criando uma conexão privada
Console
- Acesse a página de redes VPC no Google Cloud console.
- Selecione a rede VPC que você deseja usar.
- Selecione a guia Conexão de serviço privado .
- Selecione a guia Conexões privadas com serviços .
- Clique em Criar conexão para criar uma conexão privada entre sua rede e um produtor de serviços.
- Para Alocação atribuída , selecione um ou mais intervalos alocados existentes que não estão sendo usados por outros produtores de serviços e clique em OK .
- Clique em CONNECT para criar a conexão.
gcloud
Crie uma conexão privada.
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=google-managed-services-[VPC_NETWORK_NAME] \ --network=[VPC_NETWORK_NAME] \ --project=[PROJECT_ID]Substitua
[VPC_NETWORK_NAME]pelo nome da sua rede VPC e[PROJECT_ID]pelo ID do projeto que contém sua rede VPC.O comando inicia uma operação de longa duração, retornando um nome de operação.
Verifique se a operação foi bem-sucedida.
gcloud services vpc-peerings operations describe \ --name=[OPERATION_NAME]Substitua
[OPERATION_NAME]pelo nome da operação retornado na etapa anterior.
Você pode especificar mais de um intervalo alocado ao criar uma conexão privada. Por exemplo, se um intervalo tiver se esgotado, você poderá atribuir intervalos alocados adicionais. O serviço usa endereços IP de todos os intervalos fornecidos na ordem especificada.
Exportando rotas personalizadas
Atualize uma conexão de peering de rede VPC existente para alterar se sua rede VPC exporta ou importa rotas personalizadas de ou para a rede VPC peer.
Sua rede importa rotas personalizadas somente se a rede ponto a ponto também estiver exportando rotas personalizadas, e a rede ponto a ponto receberá rotas personalizadas somente se as importar.
Console
- Acesse a página Peering de rede VPC na seção Google Cloud console.
Acesse a página peering de rede VPC - Selecione a conexão de peering a ser atualizada.
- Clique em EDITAR .
- Atualize suas configurações de rota personalizada marcando ou desmarcando Importar rotas personalizadas ou Exportar rotas personalizadas .
- Clique em SALVAR .
gcloud
Atualize a conexão de peering para alterar suas configurações de importação ou exportação para rotas personalizadas.
gcloud compute networks peerings update [PEERING-NAME] \
--network=[MY-LOCAL-NETWORK] \
[--[no-]import-custom-routes] \
[--[no-]export-custom-routes]
Concedendo a roles/servicenetworking.serviceAgent
gcloud beta services identity create \
--service=servicenetworking.googleapis.com \
--project=project-id
gcloud projects add-iam-policy-binding project-id \
--member="service-account-prefix@service-networking.iam.gserviceaccount.com" \
--role="roles/servicenetworking.serviceAgent"
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-05-15 UTC.