Migrer un sous-réseau de service de l'appairage vers Private Service Connect
Ce document explique comment les producteurs de services peuvent migrer leurs services basés sur l'appairage vers Private Service Connect et conserver l'adresse IP utilisée pour accéder au service. Ce processus de migration nécessite que toutes les ressources connectées à un sous-réseau donné soient migrées en même temps.
Le processus de migration est initié par le producteur de services, mais implique des tâches effectuées à la fois par le producteur et le consommateur. Les services gérés par Google peuvent utiliser un agent de service pour effectuer des tâches au nom du consommateur. La migration implique un temps d'arrêt et une modification de la tarification pour le producteur et le consommateur.
Chaque producteur de services détermine s'il va migrer vers Private Service Connect et quand. Pour savoir si un producteur de services migre de l'appairage de réseaux VPC vers Private Service Connect, consultez la documentation du service ou contactez le producteur de services.
Avant de commencer
- Assurez-vous de bien comprendre le processus de migration, y compris les points à prendre en compte pour la migration.
- Assurez-vous de bien comprendre la tarification des consommateurs et des producteurs de Private Service Connect.
- Assurez-vous de savoir comment publier un service via Private Service Connect.
- Assurez-vous de disposer des autorisations requises.
Déployer le service à l'aide de Private Service Connect
Créez un réseau VPC, déployez des ressources de service dans le réseau et publiez le service via Private Service Connect.
Lorsque vous créez l'équilibreur de charge pour le service, utilisez une adresse IP différente de celle utilisée précédemment par l'équilibreur de charge. L'adresse IP d'origine est nécessaire ultérieurement pour créer le point de terminaison.
Lorsque vous publiez un service, vous créez un rattachement de service. L'URI du rattachement de service est également nécessaire ultérieurement pour créer le point de terminaison.
Arrêter le service basé sur l'appairage
Pour arrêter le service basé sur l'appairage, vous devez créer une plage interne afin de réserver la plage d'adresses IP du service avant de supprimer le sous-réseau du producteur.
Créer une plage interne
Avant de supprimer le sous-réseau du producteur, créez une plage interne pour empêcher la réutilisation de la plage d'adresses IP du sous-réseau par d'autres sous-réseaux dans le réseau du producteur ou du consommateur.
Pour en savoir plus sur cette plage interne, consultez la section Plages internes pour la migration.
gcloud
Exécutez la commande internal-ranges create.
gcloud network-connectivity internal-ranges create RANGE_NAME \
--project=PRODUCER_PROJECT_ID \
--ip-cidr-range=CIDR_RANGE \
--network=PRODUCER_NETWORK_NAME \
--usage=FOR_MIGRATION \
--migration-source=PRODUCER_SUBNET_URI \
--migration-target=CONSUMER_SUBNET_URI
Remplacez les éléments suivants :
RANGE_NAME: nom de la nouvelle plage interne.PRODUCER_PROJECT_ID: ID du projet du producteur.CIDR_RANGE: plage CIDR à allouer à la nouvelle plage interne.PRODUCER_NETWORK_NAME: nom du réseau dans lequel créer la plage interne.PRODUCER_SUBNET_URI: URI du sous-réseau du producteur qui contient l'équilibreur de charge pour le service.CONSUMER_SUBNET_URI: URI du sous-réseau consommateur prévu. Ce sous-réseau n'existe pas lorsque vous exécutez cette commande.
Supprimer le sous-réseau du producteur d'appairage
Vous devez supprimer toutes les ressources du sous-réseau du producteur avant de pouvoir supprimer le sous-réseau. Par exemple, les instances de machine virtuelle (VM), les règles de transfert, les groupes d'instances, les vérifications d'état et les adresses IP réservées. Une fois les ressources supprimées, vous pouvez supprimer le sous-réseau.
Créer des ressources consommateur
Collaborez avec le consommateur de services pour créer les ressources suivantes dans son réseau VPC. Les ressources peuvent être créées manuellement ou, pour les services gérés par Google, peuvent être automatisées via un agent de service.
Créer un sous-réseau de migration d'appairage
Créez un sous-réseau de migration d'appairage dans le réseau VPC du consommateur pour fournir l'adresse IP du point de terminaison Private Service Connect.
Le sous-réseau a pour objectif PEER_MIGRATION, ce qui empêche son utilisation pour des ressources autres que les points de terminaison Private Service Connect.
Pour en savoir plus, consultez la section Sous-réseaux de migration d'appairage.
Console
Dans la console Google Cloud , accédez à la page Réseaux VPC.
Cliquez sur le nom d'un réseau VPC pour afficher la page des détails du réseau VPC.
Cliquez sur l'onglet Sous-réseaux.
Cliquez sur Ajouter un sous-réseau. Dans le panneau qui apparaît :
- Indiquez un Nom.
- Sélectionnez une région.
- Dans la section Objectif, sélectionnez Migration d'appairage.
- Pour Type de pile d'adresses IP, sélectionnez IPv4 (pile simple).
Saisissez la plage d'adresses IPv4 à allouer au nouveau sous-réseau. Cette plage doit correspondre à la plage CIDR de la plage interne.
Si vous sélectionnez une plage qui n'est pas une adresse RFC 1918, vérifiez qu'elle n'entre pas en conflit avec une configuration existante. Pour en savoir plus, consultez la section sur les plages de sous-réseaux IPv4.
Cliquez sur Ajouter.
gcloud
Exécutez la commande networks subnets create.
gcloud compute networks subnets create CONSUMER_SUBNET \
--purpose=PEER_MIGRATION \
--project=CONSUMER_PROJECT \
--network=CONSUMER_NETWORK \
--range=CIDR_RANGE \
--region=REGION
Remplacez les éléments suivants :
CONSUMER_SUBNET: nom du sous-réseau consommateur.CONSUMER_PROJECT: ID du projet consommateur.CONSUMER_NETWORK: nom du réseau consommateur.CIDR_RANGE: plage CIDR à allouer au nouveau sous-réseau. Cette plage doit correspondre à la plage CIDR de la plage interne.REGION: région dans laquelle créer le sous-réseau.
Créer un point de terminaison Private Service Connect
Créez un point de terminaison Private Service Connect dans le sous-réseau de migration d'appairage du consommateur. Le consommateur a besoin de l'URI du rattachement de service pour créer le point de terminaison.
Console
Dans la console Google Cloud , accédez à la page Private Service Connect.
Cliquez sur l'onglet Points de terminaison connectés.
Cliquez sur Connecter le point de terminaison.
Pour Cible, sélectionnez Service publié.
Dans le champ Service cible, saisissez l'URI du rattachement de service auquel vous souhaitez vous connecter.
L'URI du rattachement de service est au format suivant :
projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME.Dans le champ Nom du point de terminaison, saisissez un nom à utiliser pour le point de terminaison.
Sous Réseau, sélectionnez le réseau VPC consommateur pour le point de terminaison.
Sous Sous-réseau, sélectionnez le sous-réseau de migration d'appairage du consommateur.
Pour réserver une adresse IP pour le point de terminaison, procédez comme suit :
- Cliquez sur le menu déroulant Adresse IP , puis sélectionnez Créer une adresse IP.
- Saisissez un nom et une description facultative pour l'adresse IP.
- Cliquez sur Adresse IP statique , puis sélectionnez Laissez-moi choisir.
- Saisissez l'adresse IP personnalisée à réserver. Cette adresse IP doit être la même que celle utilisée dans l'équilibreur de charge du service.
- Cliquez sur Réserver.
Cliquez sur Ajouter un point de terminaison.
gcloud
Réservez une adresse IP interne pour le point de terminaison.
Exécutez la
addresses createcommande.gcloud compute addresses create ENDPOINT_ADDRESS_NAME \ --project=CONSUMER_PROJECT \ --region=REGION \ --address=ENDPOINT_ADDRESS \ --subnet=CONSUMER_SUBNETRemplacez les éléments suivants :
ENDPOINT_ADDRESS_NAME: nom de la ressource d'adresse IP.CONSUMER_PROJECT: ID du projet consommateur.REGION: région dans laquelle créer l'adresse IP.ENDPOINT_ADDRESS: adresse IP à attribuer à la ressource d'adresse IP. Cette adresse doit être la même que celle utilisée dans l'équilibreur de charge du service.CONSUMER_SUBNET: nom du sous-réseau de migration d'appairage du consommateur.
Créez le point de terminaison.
Exécutez la
forwarding-rules createcommande.gcloud compute forwarding-rules create ENDPOINT \ --region=REGION \ --network=CONSUMER_NETWORK \ --address=ENDPOINT_ADDRESS \ --target-service-attachment=SERVICE_ATTACHMENT_URIRemplacez les éléments suivants :
ENDPOINT: nom du point de terminaison.REGION: région dans laquelle créer le point de terminaison.CONSUMER_NETWORK: nom du réseau consommateur.ENDPOINT_ADDRESS: adresse IP réservée à attribuer au point de terminaison. Vous pouvez spécifier directement l'adresse IP ou utiliser le nom de la ressource d'adresse IP.SERVICE_ATTACHMENT_URI: URI du rattachement de service.
Supprimer la plage interne du producteur
Une fois le sous-réseau de migration du consommateur créé, la plage interne n'est plus nécessaire et peut être supprimée.
gcloud
Exécutez la commande internal-ranges delete.
gcloud network-connectivity internal-ranges delete RANGE_NAME \
--project=PRODUCER_PROJECT_ID
Remplacez les éléments suivants :
RANGE_NAME: nom de la plage interne.PRODUCER_PROJECT_ID: ID du projet du producteur.
Valider le fonctionnement du point de terminaison
Demandez au consommateur de confirmer qu'il peut se connecter au service via le point de terminaison.
Si le point de terminaison ne fonctionne pas et que le dépannage ne résout pas le problème, vous pouvez annuler la migration.
Finaliser la migration
Si le point de terminaison fonctionne comme prévu, vous pouvez finaliser la migration en remplaçant le sous-réseau de migration d'appairage du consommateur par un sous-réseau standard.
Mettre à jour le sous-réseau de migration d'appairage du consommateur
En remplaçant le sous-réseau de migration d'appairage du consommateur par un sous-réseau standard, le consommateur peut utiliser le sous-réseau pour n'importe quel type de ressource.
Console
Dans la console Google Cloud , accédez à la page Réseaux VPC.
Cliquez sur le nom d'un réseau VPC pour afficher la page des détails du réseau VPC.
Cliquez sur l'onglet Sous-réseaux.
Cliquez sur le nom du sous-réseau que vous souhaitez mettre à jour.
Cliquez sur Modifier.
Dans la section Objectif, sélectionnez Privé.
Cliquez sur Enregistrer.
gcloud
Exécutez la commande networks subnets create.
gcloud compute networks subnets update CONSUMER_SUBNET \
--purpose=PRIVATE \
--region=REGION \
--project=CONSUMER_PROJECT
Remplacez les éléments suivants :
CONSUMER_SUBNET: nom du sous-réseau consommateur.REGION: région du sous-réseau consommateur.CONSUMER_PROJECT: ID du projet consommateur.
Supprimer les connexions d'appairage
Si la connexion d'appairage n'est plus nécessaire, supprimez les configurations d'appairage pour le consommateur et le producteur.
Annuler la migration
Vous ne pouvez effectuer un rollback de la migration que si le sous-réseau consommateur n'a pas encore été remplacé par un sous-réseau standard. Si vous effectuez un rollback, le service est mis à disposition via l'appairage de réseaux VPC.
- Si elle existe toujours, supprimez la plage interne dans le projet du producteur.
Créez une plage interne dans le projet du consommateur. Lors de l'annulation, la source de la migration est le sous-réseau consommateur et la cible de la migration est le sous-réseau producteur.
gcloud network-connectivity internal-ranges create RANGE_NAME \ --project=CONSUMER_PROJECT \ --ip-cidr-range=CIDR_RANGE \ --network=CONSUMER_NETWORK \ --usage=FOR_MIGRATION \ --migration-source=CONSUMER_SUBNET_URI \ --migration-target=PRODUCER_SUBNET_URISupprimez le point de terminaison Private Service Connect du consommateur.
Supprimez la ressource d'adresse IP du consommateur.
Recréez le sous-réseau du producteur en utilisant le même nom et la même plage CIDR. Définissez l'objectif du sous-réseau sur
PRIVATE.Recréez les ressources nécessaires pour fournir le service dans le sous-réseau du producteur.
Le consommateur vérifie qu'il peut accéder au service via la connexion d'appairage.