Versão 1.4. Esta versão não é mais compatível, conforme descrito na Política de suporte da versão do Anthos. Para ver os patches e as atualizações mais recentes sobre vulnerabilidades de segurança, exposições e problemas que afetam os clusters do Anthos no VMware (GKE On-Prem), faça o upgrade para uma versão compatível. Você pode encontrar a versão mais recente neste link.

Como conectar-se ao Google

Há várias maneiras de conectar os clusters do GKE On-Prem que estão sendo executados no data center local à rede do Google. Veja a seguir algumas possibilidades:

Conexão de Internet comum

Em alguns cenários, é possível usar a Internet como conexão entre o Google e seu data center local. Por exemplo:

  • A implantação do GKE On-Prem é independente nas suas instalações, e os componentes locais raramente se comunicam com a rede do Google. Você usa a conexão principalmente para o gerenciamento de clusters. A velocidade, a confiabilidade e a segurança da conexão não são essenciais.

  • O cluster local é independente, exceto para acessar um serviço do Google, como o Cloud SQL. O tráfego entre o cluster local e o serviço do Google usa endereços IP públicos. Você configura regras de firewall para fornecer segurança.

Cloud VPN com rotas estáticas

Com o Cloud VPN, o tráfego entre o Google e seu data center local passa pela Internet pública, mas é criptografado. Os componentes no local podem se comunicar com os componentes na nuvem usando endereços IP particulares. Com as rotas estáticas, você precisa configurar rotas manualmente entre suas redes do Google Cloud e sua rede local. Use o Cloud VPN se a segurança for importante, mas a velocidade não for um problema.

Cloud VPN com Cloud Router

Com o Cloud VPN e o Cloud Router, o tráfego entre o Google e seu data center local passa pela Internet pública, mas é criptografado. Os componentes no local podem se comunicar com os componentes na nuvem usando endereços IP particulares. O Cloud Router troca rotas dinamicamente entre suas redes do Google Cloud e sua rede local. Em especial, o roteamento dinâmico é benéfico à medida que sua rede se expande e muda, porque garante que o estado de roteamento correto seja propagado para o data center local.

Interconexão por parceiro

A Interconexão por parceiro fornece conectividade entre sua rede local e a rede do Google por meio de um provedor de serviços compatível. O tráfego entre o Google e seu data center local não passa pela Internet pública. Os componentes no local podem se comunicar com os componentes na nuvem usando endereços IP particulares. Sua conexão com o Google é rápida, segura e confiável.

Interconexão dedicada

A Interconexão dedicada fornece uma conexão física direta entre sua rede local e a rede do Google. Se você precisa de alta largura de banda, isso é um bom custo-benefício. O tráfego entre o Google e seu data center local não passa pela Internet pública. Os componentes no local podem se comunicar com os componentes na nuvem usando endereços IP particulares. Sua conexão com o Google é segura e confiável e é ainda mais rápida do que uma conexão usando a Interconexão por parceiro.

Como escolher um tipo de conexão

Para mais orientações sobre como escolher um tipo de conexão, consulte:

Monitoramento de rede

Seja qual for sua conexão básica com o Google, é possível aproveitar os insights fornecidos pela geração de registros e pelo monitoramento da rede. Para mais informações, consulte Geração de registros e monitoramento do GKE On-Prem.

Como melhorar sua conexão básica

Depois que a conexão básica estiver em vigor, será possível adicionar recursos que melhoram o acesso, a segurança e a visibilidade. Por exemplo, é possível ativar Acesso privado do Google, VPC Service Controls ou Connect.

O restante das orientações neste tópico pressupõe que você esteja usando uma das seguintes opções como conexão básica com o Google:

Acesso privado do Google

O acesso privado do Google permite que VMs que tenham apenas endereços IP particulares acessem os endereços IP das APIs e serviços do Google (em inglês). Isso inclui o caso em que os nós do cluster do GKE On-Prem têm apenas endereços IP particulares. O Acesso privado do Google é ativado no nível da sub-rede.

Com o acesso privado do Google, as solicitações do seu data center local para os serviços do Google passam pela conexão do Cloud Interconnect ou do Cloud VPN, em vez de passar pela Internet pública.

Use o acesso privado do Google nas seguintes situações:

  • As VMs no local sem endereços IP públicos precisam se conectar a serviços do Google, como BigQuery, Pub/Sub ou Container Registry.

  • Você quer se conectar aos serviços do Google sem passar pela Internet pública.

Para ver uma lista de serviços compatíveis com o acesso privado do Google de VMs locais, consulte Serviços compatíveis. Para mais informações sobre como usar o acesso privado do Google de VMs locais, consulte Como configurar o acesso privado do Google para hosts locais.

Serviços que não exigem acesso privado do Google

Em alguns casos, você não precisa do acesso privado do Google para acessar um serviço de uma VM que tenha apenas um endereço IP particular. Por exemplo:

  • Você cria uma instância do Cloud SQL que tenha um endereço IP público e um endereço IP particular. Em seguida, os componentes no local poderão acessar a instância do Cloud SQL usando o endereço IP particular. Não é necessário o acesso privado do Google neste caso, porque você não precisa acessar o endereço IP público de um serviço do Google. Isso funciona apenas se o Cloud Router anunciar o endereço IP particular da instância do Cloud SQL à sua rede local.

  • Você tem um cluster do GKE na nuvem do Google, e os nós do cluster têm endereços IP particulares. Os componentes no local podem acessar um serviço NodePort ou um balanceador de carga interno no cluster do GKE na nuvem.

VPC Service Controls

Se você quiser mais proteção contra a exfiltração, use o VPC Service Controls. Com VPC Service Controls, é possível configurar os perímetros de segurança em torno dos recursos dos serviços gerenciados pelo Google e controlar a movimentação de dados por todo o limite do perímetro.

Conectar

O Connect permite ver e gerenciar os clusters de usuário locais no Console do Google Cloud.

A seguir