Conetividade entre VPCs de rede entre clouds através do Network Connectivity Center

Este documento fornece uma arquitetura de referência que pode usar para implementar uma topologia de rede entre VPCs de uma rede entre nuvens no Google Cloud. Esta arquitetura de rede permite a implementação de serviços de software em redes Google Cloud internas e externas, como centros de dados nas instalações ou outros fornecedores de serviços na nuvem (CSPs).

O público-alvo deste documento inclui administradores de rede, arquitetos de nuvem e arquitetos empresariais que vão desenvolver a conetividade de rede. Também inclui arquitetos de nuvem que planeiam como as cargas de trabalho são implementadas. O documento pressupõe um conhecimento básico do encaminhamento e da conetividade à Internet.

Esta arquitetura suporta várias ligações externas, várias redes da nuvem virtual privada (VPC) de acesso a serviços que contêm serviços e pontos de acesso a serviços, e várias redes da VPC de cargas de trabalho.

Neste documento, o termo pontos de acesso aos serviços refere-se aos pontos de acesso aos serviços disponibilizados através do acesso privado aos serviços e do Private Service Connect. Google Cloud O Network Connectivity Center é um modelo de plano de controlo de hub e raios para a gestão da conetividade de rede no Google Cloud. O recurso de hub oferece gestão de conetividade centralizada para raios da VPC do Network Connectivity Center.

O hub do Network Connectivity Center é um plano de controlo global que aprende e distribui rotas entre os vários tipos de raios que estão ligados a ele. Normalmente, os raios da VPC injetam encaminhamentos de sub-redes na tabela de encaminhamento do hub centralizado. Normalmente, os raios híbridos injetam rotas dinâmicas na tabela de rotas do hub centralizado. Usando as informações do plano de controlo do hub do Network Connectivity Center, Google Cloud estabelece automaticamente a conetividade do plano de dados entre os raios do Network Connectivity Center.

O Network Connectivity Center é a abordagem recomendada para interligar VPCs para um crescimento escalável no Google Cloud. Se tiver de inserir dispositivos virtuais de rede (NVAs) no caminho do tráfego, pode usar a funcionalidade de dispositivo de router para rotas dinâmicas ou usar rotas estáticas ou baseadas em políticas juntamente com o peering de redes VPC para interligar VPCs. Para mais informações, consulte o artigo Conetividade entre VPCs da rede entre nuvens com o intercâmbio da rede da VPC.

Arquitetura

O diagrama seguinte mostra uma vista de alto nível da arquitetura das redes e os diferentes fluxos de pacotes que esta arquitetura suporta.

A arquitetura contém os seguintes elementos de nível elevado:

Componente	Finalidade	Interacções
Redes externas (no local ou noutra rede de CSP)	Alojamento dos clientes de cargas de trabalho executadas nas VPCs de cargas de trabalho e nas VPCs de acesso aos serviços. As redes externas também podem alojar serviços.	Troca dados com as redes VPC do Google Cloudatravés da rede de trânsito. Liga-se à rede de trânsito através do Cloud Interconnect ou da VPN de alta disponibilidade. Termina uma extremidade dos seguintes fluxos: Externo para externo External-to-services-access External-to-Private-Service-Connect-consumer Externo para carga de trabalho
Rede VPC de trânsito (também conhecida como uma rede VPC de encaminhamento no Centro de conetividade de rede)	Funciona como um hub para a rede externa, a rede da VPC services-access e as redes da VPC de cargas de trabalho.	Liga a rede externa, a rede VPC de acesso a serviços, a rede de consumidores do Private Service Connect e as redes VPC de cargas de trabalho através de uma combinação do Cloud Interconnect, da VPN de alta disponibilidade e do Network Connectivity Center.
Rede da VPC de acesso a serviços	Fornece acesso aos serviços necessários para cargas de trabalho que estão a ser executadas nas redes VPC de cargas de trabalho ou em redes externas. Também fornece pontos de acesso a serviços geridos alojados noutras redes.	Troca dados com as redes externas, de carga de trabalho e do consumidor do Private Service Connect através da rede de trânsito. Liga-se à VPC de trânsito através da VPN de alta disponibilidade. O encaminhamento transitivo fornecido pela VPN de alta disponibilidade permite que o tráfego externo alcance as VPCs de serviços geridos através da rede VPC de acesso aos serviços. Termina uma extremidade dos seguintes fluxos: External-to-services-access Workload-to-services-access Services-access-to-Private-Service-Connect-consumer
Rede VPC de serviços geridos	Alojamento de serviços geridos necessários para clientes noutras redes.	Troca dados com as redes externas, de acesso aos serviços, do consumidor do Private Service Connect e de cargas de trabalho. Estabelece ligação à rede da VPC de acesso a serviços através do acesso a serviços privados, que usa o intercâmbio da rede da VPC. A VPC de serviços geridos também pode ligar-se à VPC do consumidor do Private Service Connect através do Private Service Connect ou do acesso a serviços privados. Termina uma extremidade dos fluxos de todas as outras redes.
VPC do consumidor do Private Service Connect	Alojamento de pontos finais do Private Service Connect acessíveis a partir de outras redes. Esta VPC também pode ser uma VPC de carga de trabalho.	Troca dados com as redes VPC externas e de acesso a serviços através da rede VPC de trânsito. Liga-se à rede de trânsito e a outras redes VPC de cargas de trabalho através de raios da VPC do Network Connectivity Center.
Redes VPC de cargas de trabalho	Alojamento de cargas de trabalho necessárias pelos clientes noutras redes. Esta arquitetura permite várias redes VPC de cargas de trabalho.	Troca dados com as redes VPC externas e de acesso a serviços através da rede VPC de trânsito. Liga-se à rede de trânsito, às redes de consumidores do Private Service Connect e a outras redes VPC de cargas de trabalho através de raios da VPC do Network Connectivity Center. Termina uma extremidade dos seguintes fluxos: Externo para carga de trabalho Workload-to-services-access Workload-to-Private-Service-Connect-consumer Carga de trabalho para carga de trabalho
Network Connectivity Center	O hub do Network Connectivity Center incorpora uma base de dados de encaminhamento global que serve como um plano de controlo de rede para rotas de sub-rede VPC e de ligação híbrida em qualquer região Google Cloud .	Interliga várias redes VPC e híbridas numa topologia de qualquer para qualquer criando um caminho de dados que usa a tabela de encaminhamento do plano de controlo.

O diagrama seguinte mostra uma vista detalhada da arquitetura que realça as quatro ligações entre os componentes:

Descrições das associações

Esta secção descreve as quatro ligações apresentadas no diagrama anterior. A documentação do Network Connectivity Center refere-se à rede VPC de trânsito como a VPC de encaminhamento. Embora estas redes tenham nomes diferentes, servem o mesmo propósito.

Ligação 1: entre redes externas e as redes VPC de trânsito

Esta ligação entre as redes externas e as redes VPC de trânsito ocorre através do Cloud Interconnect ou da VPN de alta disponibilidade. Os trajetos são trocados através do BGP entre os Cloud Routers na rede VPC de trânsito e entre os routers externos na rede externa.

• Os routers nas redes externas anunciam os trajetos para as sub-redes externas aos routers do Cloud Router da VPC de trânsito. Em geral, os routers externos numa determinada localização anunciam os encaminhamentos da mesma localização externa como mais preferenciais do que os encaminhamentos para outras localizações externas. A preferência das rotas pode ser expressa através de métricas e atributos do BGP.
• Os Cloud Routers na rede VPC de trânsito anunciam rotas para prefixos nas VPCs de Google Cloud para as redes externas. Estas rotas têm de ser anunciadas através de anúncios de rotas personalizadas do Cloud Router.
• O Network Connectivity Center permite-lhe transferir dados entre diferentes redes no local através da rede principal da Google. Quando configura as associações de VLAN de interligação como raios híbridos do Network Connectivity Center, tem de ativar a transferência de dados de site a site.
• As associações de VLAN do Cloud Interconnect que têm origem nos mesmos prefixos de rede externa são configuradas como um único raio do Network Connectivity Center.

Ligação 2: entre redes VPC de trânsito e redes VPC de acesso a serviços

Esta ligação entre redes da VPC de trânsito e redes da VPC de acesso aos serviços ocorre através da VPN de alta disponibilidade com túneis separados para cada região. As rotas são trocadas através do BGP entre os Cloud Routers regionais nas redes VPC de trânsito e nas redes VPC de acesso aos serviços.

• VPN de alta disponibilidade da VPC de trânsito Os Cloud Routers anunciam rotas para prefixos de rede externos, VPCs de cargas de trabalho e outras VPCs de acesso a serviços ao Cloud Router da VPC de acesso a serviços. Estas rotas têm de ser anunciadas através de anúncios de rotas personalizadas do Cloud Router.
• A VPC de acesso aos serviços anuncia as respetivas sub-redes e as sub-redes de quaisquer redes VPC de serviços geridos anexadas à rede VPC de trânsito. As rotas da VPC de serviços geridos e as rotas da sub-rede da VPC de acesso a serviços têm de ser anunciadas através de anúncios de rotas personalizadas do Cloud Router.

Ligação 3: entre a rede da VPC de trânsito, as redes da VPC de cargas de trabalho e as redes da VPC de acesso aos serviços do Private Service Connect

A ligação entre a rede VPC de trânsito, as redes VPC de carga de trabalho e as redes VPC de consumidor do Private Service Connect ocorre quando as sub-redes e os trajetos de prefixo são trocados através do Network Connectivity Center. Esta ligação permite a comunicação entre as redes VPC da carga de trabalho, as redes VPC de acesso aos serviços que estão ligadas como hubs da VPC do Network Connectivity Center e outras redes que estão ligadas como hubs híbridos do Network Connectivity Center. Estas outras redes incluem as redes externas e as redes da VPC de acesso aos serviços que estão a usar a ligação 1 e a ligação 2, respetivamente.

• Os anexos do Cloud Interconnect ou da VPN de alta disponibilidade na rede VPC de trânsito usam o Network Connectivity Center para exportar rotas dinâmicas para as redes VPC de carga de trabalho.
• Quando configura a rede VPC da carga de trabalho como um spoke do hub do Network Connectivity Center, a rede VPC da carga de trabalho exporta automaticamente as respetivas sub-redes para a rede VPC de trânsito. Opcionalmente, pode configurar a rede de VPC de trânsito como um raio de VPC. Não são exportados encaminhamentos estáticos da rede VPC da carga de trabalho para a rede VPC de trânsito. Não são exportados trajetos estáticos da rede de VPC de trânsito para a rede de VPC de carga de trabalho.

Ligação 4: VPC do consumidor do Private Service Connect com propagação do Network Connectivity Center

• Os pontos finais do Private Service Connect estão organizados numa VPC comum que permite aos consumidores aceder a serviços geridos internos e de terceiros.
• A rede da VPC do consumidor do Private Service Connect está configurada como um spoke da VPC do Network Connectivity Center. Este spoke ativa a propagação do Private Service Connect no hub do Network Connectivity Center. A propagação do Private Service Connect anuncia o prefixo do anfitrião do ponto final do Private Service Connect como uma rota na tabela de encaminhamento do hub do Network Connectivity Center.
• As redes VPC do consumidor de acesso aos serviços do Private Service Connect ligam-se às redes VPC de cargas de trabalho e às redes VPC de trânsito. Estas ligações permitem a conetividade transitiva aos pontos finais do Private Service Connect. O hub do Network Connectivity Center tem de ter a propagação da ligação do Private Service Connect ativada.
• O Network Connectivity Center cria automaticamente um caminho de dados de todos os raios para o ponto final do Private Service Connect.

Fluxos de tráfego

O diagrama seguinte mostra os fluxos ativados por esta arquitetura de referência.

A tabela seguinte descreve os fluxos no diagrama:

Origem	Destino	Descrição
Rede externa	Rede da VPC de acesso a serviços	O tráfego segue rotas através das ligações externas à rede de trânsito. Os trajetos são anunciados pelo Cloud Router externo. O tráfego segue a rota personalizada para a rede VPC de acesso a serviços. O caminho é anunciado através da ligação VPN de HA. Se o destino estiver numa rede VPC de serviços geridos que esteja ligada à rede VPC de acesso a serviços através do acesso a serviços privados, o tráfego segue as rotas personalizadas do Network Connectivity Center para a rede de serviços geridos.
Rede da VPC de acesso a serviços	Rede externa	O tráfego segue um trajeto personalizado nos túneis de VPN de alta disponibilidade para a rede de trânsito. O tráfego segue rotas através das ligações externas de volta para a rede externa. As rotas são aprendidas com os routers externos através do BGP.
Rede externa	Rede VPC da carga de trabalho ou rede VPC do consumidor do Private Service Connect	O tráfego segue rotas através das ligações externas para a rede de trânsito. Os trajetos são anunciados pelo Cloud Router virado para o exterior. O tráfego segue a rota da sub-rede para a rede VPC da carga de trabalho relevante. A rota é aprendida através do Network Connectivity Center.
Rede VPC da carga de trabalho ou rede VPC do consumidor do Private Service Connect	Rede externa	O tráfego segue um trajeto dinâmico de volta à rede de transportes públicos. O caminho é aprendido através de uma exportação de caminho personalizado do Network Connectivity Center. O tráfego segue rotas através das ligações externas de volta para a rede externa. As rotas são aprendidas com os routers externos através do BGP.
Rede da VPC da carga de trabalho	Rede da VPC de acesso a serviços	O tráfego segue rotas para a rede VPC de trânsito. Os encaminhamentos são aprendidos através de uma exportação de encaminhamentos personalizados do Network Connectivity Center. O tráfego segue uma rota através de um dos túneis de VPN de HA para a rede VPC de acesso aos serviços. Os trajetos são aprendidos a partir de anúncios de trajetos personalizados do BGP.
Rede da VPC de acesso a serviços	Rede da VPC da carga de trabalho	O tráfego segue um trajeto personalizado para a rede de transportes públicos. A rota é anunciada nos túneis de HA VPN. O tráfego segue a rota da sub-rede para a rede VPC da carga de trabalho relevante. A rota é aprendida através do Network Connectivity Center.
Rede da VPC da carga de trabalho	Rede da VPC da carga de trabalho	O tráfego que sai de uma VPC de carga de trabalho segue a rota mais específica para a outra VPC de carga de trabalho através do Network Connectivity Center. O tráfego de retorno inverte este caminho.

Produtos usados

• Nuvem virtual privada (VPC): um sistema virtual que oferece funcionalidade de rede global e escalável para as suas Google Cloud cargas de trabalho. A VPC inclui o intercâmbio da rede da VPC, o Private Service Connect, o acesso a serviços privados e a VPC partilhada.
• Network Connectivity Center: uma framework de orquestração que simplifica a conetividade de rede entre recursos spoke que estão ligados a um recurso de gestão central denominado hub.
• Cloud Interconnect: um serviço que expande a sua rede externa para a rede Google através de uma ligação de alta disponibilidade e baixa latência.
• VPN na nuvem: um serviço que estende de forma segura a sua rede ponto a ponto à rede da Google através de um canal VPN IPsec.
• Cloud Router: uma oferta distribuída e totalmente gerida que fornece capacidades de orador e respondedor do Protocolo BGP (Border Gateway Protocol). O Cloud Router funciona com o Cloud Interconnect, o Cloud VPN e os dispositivos de router para criar trajetos dinâmicos em redes VPC com base em trajetos personalizados e recebidos do BGP.
• Firewall de nova geração da nuvem: um serviço de firewall totalmente distribuído com capacidades de proteção avançadas, microsegmentação e gestão simplificada para ajudar a proteger as suas Google Cloud cargas de trabalho de ataques internos e externos.

Considerações de design

Esta secção descreve os fatores de design, as práticas recomendadas e as recomendações de design que deve considerar quando usa esta arquitetura de referência para desenvolver uma topologia que cumpra os seus requisitos específicos de segurança, fiabilidade e desempenho.

Segurança e conformidade

A lista seguinte descreve as considerações de segurança e conformidade para esta arquitetura de referência:

• Por motivos de conformidade, pode querer implementar cargas de trabalho apenas numa única região. Se quiser manter todo o tráfego numa única região, pode usar uma topologia de 99,9%.
• Use a firewall de nova geração da nuvem (NGFW da nuvem) para proteger o tráfego que entra e sai das redes VPC de acesso aos serviços e de cargas de trabalho. Para inspecionar o tráfego que passa entre redes híbridas através da rede de trânsito ou entre redes externas e serviços geridos pela Google, tem de usar firewalls externos ou firewalls de NVA.
• Se precisar de inspeção de tráfego da camada 7, ative o serviço de deteção e prevenção de intrusões (opcionalmente com suporte de inspeção TLS) para bloquear atividade maliciosa e proteger as suas cargas de trabalho contra ameaças, com suporte para vulnerabilidade, antispyware e antivírus. O serviço funciona através da criação de pontos finais de firewall zonais geridos pela Google que usam tecnologia de interceção de pacotes para inspecionar de forma transparente as cargas de trabalho sem exigir qualquer reestruturação de rotas. A firewall de nova geração empresarial da cloud incorre em cobranças de processamento de dados e de ponto final da firewall zonal.
• Se quiser permitir ou bloquear tráfego com base nos dados da Google Threat Intelligence, use a Google Threat Intelligence. Incorre em custos de tratamento de dados padrão do firewall de próxima geração do Google Cloud.
• Ative o registo de regras de firewall e use o Firewall Insights para auditar, verificar o efeito, compreender e otimizar as suas regras de firewall. O registo de regras de firewall pode incorrer em custos, pelo que é recomendável usá-lo seletivamente.
• Ative os testes de conetividade para garantir que o tráfego se comporta como esperado.
• Ative o registo e a monitorização conforme adequado para o seu tráfego e necessidades de conformidade. Para aceder a estatísticas sobre os seus padrões de tráfego, use os registos de fluxo de VPC juntamente com o analisador de fluxo.
• Use o Cloud IDS ou o serviço de prevenção de intrusões do Cloud NGFW Enterprise no modo de alerta para recolher estatísticas adicionais sobre o seu tráfego.

Fiabilidade

A lista seguinte descreve as considerações de fiabilidade para esta arquitetura de referência:

• Para ter uma disponibilidade de 99,99% para o Cloud Interconnect, tem de se ligar a duas Google Cloud regiões diferentes de diferentes áreas metropolitanas em duas zonas distintas.
• Para melhorar a fiabilidade e minimizar a exposição a falhas regionais, pode distribuir cargas de trabalho e outros recursos da nuvem por várias regiões.
• Para processar o tráfego esperado, crie um número suficiente de túneis de VPN. Os túneis VPN individuais têm limites de largura de banda.

Otimização do desempenho

A lista seguinte descreve as considerações de desempenho para esta arquitetura de referência:

• Pode melhorar o desempenho da rede aumentando a unidade de transmissão máxima (MTU) das suas redes e ligações. Para mais informações, consulte Unidade de transmissão máxima.
• A comunicação entre a VPC de trânsito e os recursos de carga de trabalho é feita através de uma ligação do Centro de conetividade de rede. Esta ligação oferece um débito de velocidade total para todas as VMs na rede sem custos adicionais. Tem várias opções para ligar a sua rede externa à rede de trânsito. Para mais informações sobre como equilibrar as considerações de custo e desempenho, consulte o artigo Escolher um produto de conetividade de rede.

Implementação

Esta secção aborda a implementação da conetividade entre VPCs da rede entre nuvens através da arquitetura do Network Connectivity Center descrita neste documento.

A arquitetura neste documento cria três tipos de ligações a uma VPC de trânsito central, além de uma ligação entre redes VPC de cargas de trabalho e redes VPC de cargas de trabalho. Depois de o Network Connectivity Center estar totalmente configurado, estabelece comunicação entre todas as redes.

Esta implementação pressupõe que está a criar ligações entre as redes externas e de trânsito em duas regiões, embora as sub-redes de cargas de trabalho possam estar noutras regiões. Se as cargas de trabalho forem colocadas apenas numa região, as sub-redes têm de ser criadas apenas nessa região.

Para implementar esta arquitetura de referência, conclua as seguintes tarefas:

1. Crie uma segmentação de rede com o Network Connectivity Center
2. Identifique regiões para colocar a conetividade e as cargas de trabalho
3. Crie as suas redes e sub-redes de VPC
4. Crie ligações entre redes externas e a sua rede da VPC de trânsito
5. Crie ligações entre a sua rede VPC de trânsito e as redes VPC de acesso aos serviços
6. Estabeleça a conetividade entre a sua rede VPC de trânsito e as redes VPC de cargas de trabalho
7. Configure políticas do NGFW na nuvem
8. Teste a conetividade com cargas de trabalho

Crie a segmentação de rede com o Network Connectivity Center

Antes de criar um hub do Network Connectivity Center pela primeira vez, tem de decidir se quer usar uma topologia de malha completa ou uma topologia em estrela. A decisão de optar por uma malha completa de VPCs interligadas ou uma topologia em estrela de VPCs é irreversível. Use as seguintes diretrizes gerais para tomar esta decisão irreversível:

• Se a arquitetura empresarial da sua organização permitir o tráfego entre qualquer uma das suas redes VPC, use a malha do Network Connectivity Center.
• Se os fluxos de tráfego entre determinados raios da VPC não forem permitidos, mas estes raios da VPC puderem estabelecer ligação a um grupo principal de raios da VPC, use uma topologia em estrela do Centro de conectividade de rede.

Identifique regiões para colocar a conetividade e as cargas de trabalho

Em geral, é recomendável colocar a conetividade e as Google Cloud cargas de trabalho próximas das suas redes nas instalações ou de outros clientes na nuvem. Para mais informações sobre o posicionamento de cargas de trabalho, consulte o Google Cloud Selecionador de regiões e as Práticas recomendadas para a seleção de regiões do Compute Engine.

Crie as suas redes e sub-redes de VPC

Para criar as suas redes VPC e sub-redes, conclua as seguintes tarefas:

1. Crie ou identifique os projetos onde vai criar as suas redes VPC. Para obter orientações, consulte o artigo Segmentação de rede e estrutura do projeto. Se pretender usar redes de VPC partilhada, aprovisione os seus projetos como projetos anfitriões de VPC partilhada.

2. Planeie as atribuições de endereços IP para as suas redes. Pode pré-atribuir e reservar os seus intervalos criando intervalos internos. Ao fazê-lo, a configuração e as operações posteriores tornam-se mais simples.

3. Crie uma VPC de rede de trânsito com o encaminhamento global ativado.

4. Crie redes VPC de acesso a serviços. Se planeia ter cargas de trabalho em várias regiões, ative o encaminhamento global.

5. Crie redes VPC de cargas de trabalho. Se tiver cargas de trabalho em várias regiões, ative o encaminhamento global.

Crie ligações entre redes externas e a sua rede de VPC de trânsito

Esta secção pressupõe a conetividade em duas regiões e que as localizações externas estão ligadas e podem fazer failover entre si. Também pressupõe que existe uma preferência para que os clientes numa localização externa alcancem serviços na região onde a localização externa existe.

1. Configure a conetividade entre redes externas e a sua rede de trânsito. Para compreender como abordar esta questão, consulte o artigo Conetividade externa e híbrida. Para orientações sobre a escolha de um produto de conetividade, consulte o artigo Escolher um produto de conetividade de rede.

2. Configure o BGP em cada região ligada da seguinte forma:

   • Configure o router na localização externa indicada da seguinte forma:
     • Anuncie todas as sub-redes para essa localização externa usando o mesmo BGP MED em ambas as interfaces, como 100. Se ambas as interfaces anunciarem o mesmo MED, o dispositivo pode usar o ECMP para equilibrar a carga do tráfego em ambas as ligações. Google Cloud
     • Anunciar todas as sub-redes da outra localização externa através de um MED de prioridade inferior ao da primeira região, como 200. Anunciar o mesmo MED a partir de ambas as interfaces.
   • Configure o Cloud Router virado para o exterior na VPC de trânsito da região ligada da seguinte forma:
     • Defina o router na nuvem com um ASN privado.
     • Use anúncios de rotas personalizadas, para anunciar todos os intervalos de sub-redes de todas as regiões em ambas as interfaces do Cloud Router viradas para o exterior. Agregue-os, se possível. Use o mesmo MED em ambas as interfaces, como 100.

3. Trabalhe com o hub do Network Connectivity Center e os raios híbridos, use os parâmetros predefinidos.

   • Crie um hub do Network Connectivity Center. Se a sua organização permitir o tráfego entre todas as redes VPC, use a configuração de malha completa predefinida.
   • Se estiver a usar o Partner Interconnect, o Dedicated Interconnect, a HA-VPN ou um dispositivo Router para alcançar prefixos no local, configure estes componentes como raios híbridos diferentes do Network Connectivity Center.
     • Para anunciar as sub-redes da tabela de rotas do hub do Network Connectivity Center aos pares BGP remotos, defina um filtro para incluir todos os intervalos de endereços IPv4.
     • Se a conetividade híbrida terminar num Cloud Router numa região que suporte a transferência de dados, configure o spoke híbrido com a transferência de dados entre sites ativada. Ao fazê-lo, suporta a transferência de dados de site para site que usa a rede principal da Google.

Crie ligações entre a sua rede VPC de trânsito e as redes VPC de acesso aos serviços

Para fornecer encaminhamento transitivo entre redes externas e a VPC de acesso aos serviços, e entre VPCs de cargas de trabalho e a VPC de acesso aos serviços, a VPC de acesso aos serviços usa a VPN de alta disponibilidade para a conetividade.

1. Estime a quantidade de tráfego que tem de viajar entre as VPCs de trânsito e de acesso aos serviços em cada região. Aumente o número esperado de túneis em conformidade.

2. Configure a VPN de alta disponibilidade entre a rede VPC de trânsito e a rede VPC de acesso aos serviços na região A através das instruções em Crie gateways de VPN de alta disponibilidade para ligar redes VPC. Crie um Cloud Router de alta disponibilidade (HA) VPN dedicado na rede VPC de trânsito. Deixe o router virado para a rede externa para ligações de rede externas.

   • Configuração do Cloud Router da VPC de trânsito:
     • Para anunciar sub-redes VPC de rede externa e carga de trabalho à VPC de acesso aos serviços, use anúncios de rotas personalizadas no Cloud Router na VPC de trânsito.
   • Configuração do Cloud Router da VPC de acesso a serviços:
     • Para anunciar sub-redes da rede VPC de acesso a serviços à VPC de trânsito, use anúncios de rotas personalizadas no Cloud Router da rede VPC de acesso a serviços.
     • Se usar o acesso privado aos serviços para ligar uma rede VPC de serviços geridos à VPC de acesso aos serviços, use rotas personalizadas para anunciar essas sub-redes também.
   • No lado da VPC de trânsito do túnel de VPN de alta disponibilidade, configure o par de túneis como um raio híbrido do Network Connectivity Center:
     • Para suportar a transferência de dados entre regiões, configure o spoke híbrido com a transferência de dados site a site ativada.
     • Para anunciar as sub-redes da tabela de rotas do hub do Network Connectivity Center a vizinhos BGP remotos, defina um filtro para incluir todos os intervalos de endereços IPv4. Esta ação anuncia todas as rotas de sub-rede IPv4 ao vizinho.
       • Para instalar rotas dinâmicas quando a capacidade é limitada no router externo, configure o Cloud Router para anunciar uma rota de resumo com um anúncio de rota personalizado. Use esta abordagem em vez de anunciar a tabela de rotas completa do hub do Network Connectivity Center.

3. Se associar uma VPC de serviços geridos à VPC de acesso aos serviços através do acesso privado aos serviços após a ligação de interligação de redes VPC ser estabelecida, também tem de atualizar o lado da VPC de acesso aos serviços da ligação de interligação de redes VPC para exportar rotas personalizadas.

Estabeleça a conetividade entre a sua rede VPC de trânsito e as redes VPC de carga de trabalho

Para estabelecer a conetividade entre VPCs em grande escala, use o Network Connectivity Center com raios de VPC. O Network Connectivity Center suporta dois tipos diferentes de modelos de plano de dados: o modelo de plano de dados de malha completa ou o modelo de plano de dados de topologia em estrela.

• Se todas as suas redes puderem comunicar entre si, estabeleça uma conetividade de malha completa.
• Se a arquitetura da sua empresa exigir uma topologia ponto a multiponto, então estabeleça a conetividade de topologia em estrela.

Estabeleça conetividade de malha completa

Os raios da VPC do Network Connectivity Center incluem as VPCs de trânsito, as VPCs de consumidor do Private Service Connect e todas as VPCs de carga de trabalho.

• Embora o Network Connectivity Center crie uma rede totalmente interligada de raios de VPC, os operadores de rede têm de permitir fluxos de tráfego entre as redes de origem e as redes de destino através de regras de firewall ou políticas de firewall.
• Configure todas as VPCs de carga de trabalho, trânsito e consumidor do Private Service Connect como raios de VPC do Network Connectivity Center. Não pode haver sobreposições de sub-redes entre os raios da VPC.
  • Quando configurar o spoke da VPC, anuncie intervalos de sub-redes de endereços IP não sobrepostos à tabela de rotas do hub do Network Connectivity Center:
    • Inclua intervalos de sub-redes de exportação.
    • Exclua intervalos de sub-redes de exportação.
• Se os raios da VPC estiverem em projetos diferentes e forem geridos por administradores que não sejam os administradores do hub do Network Connectivity Center, os administradores dos raios da VPC têm de iniciar um pedido para aderir ao hub do Network Connectivity Center nos outros projetos.
  • Use as autorizações da gestão de identidade e de acesso (IAM) no projeto do hub do Network Connectivity Center para conceder a função roles/networkconnectivity.groupUser a esse utilizador.
• Para permitir que as ligações de serviços privados sejam acessíveis de forma transitiva e global a partir de outros raios do Network Connectivity Center, ative a propagação de ligações do Private Service Connect no hub do Network Connectivity Center.

Se a comunicação de malha completa entre VPCs de carga de trabalho não for permitida, considere usar uma topologia de estrela do Network Connectivity Center.

Estabeleça a conetividade de topologia em estrela

As arquiteturas empresariais centralizadas que requerem uma topologia ponto a multiponto podem usar uma topologia em estrela do Network Connectivity Center.

Para usar uma topologia em estrela do Network Connectivity Center, conclua as seguintes tarefas:

1. No Network Connectivity Center, crie um hub do Network Connectivity Center e especifique uma topologia em estrela.
2. Para permitir que as ligações de serviços privados sejam acessíveis de forma transitiva e global a partir de outros raios do Network Connectivity Center, ative a propagação de ligações do Private Service Connect no hub do Network Connectivity Center.
3. Quando configura o hub do Network Connectivity Center para uma topologia em estrela, pode agrupar VPCs num de dois grupos predeterminados: grupos centrais ou grupos periféricos.

4. Para agrupar VPCs no grupo central, configure a VPC de trânsito e as VPCs de consumidor do Private Service Connect como um spoke da VPC do Network Connectivity Center como parte do grupo central.

   O Network Connectivity Center cria uma rede totalmente interligada entre os raios da VPC que estão colocados no grupo central.

5. Para agrupar as VPCs de carga de trabalho no grupo de limite, configure cada uma destas redes como raios da VPC do Network Connectivity Center nesse grupo.

   O Network Connectivity Center cria um caminho de dados ponto a ponto de cada spoke da VPC do Network Connectivity Center para todas as VPCs no grupo central.

Configure políticas do NGFW da nuvem

Além das orientações em Segurança e conformidade, considere as práticas recomendadas para regras de firewall.

Outras considerações:

• Recomendamos que use políticas de firewall de rede em vez de regras de firewall de VPC se as suas cargas de trabalho forem executadas em VMs do Compute Engine. As políticas de firewall de rede têm vantagens, como segurança detalhada e controlo de acesso através de etiquetas, gestão de regras simplificada, facilidade de operações, conjunto de funcionalidades mais completo e residência de dados flexível. Se já tiver regras de firewall da VPC, pode usar a ferramenta de migração de regras de firewall da VPC para ajudar na migração para uma política de firewall de rede global.
• O Google Kubernetes Engine cria e gere automaticamente determinadas regras de firewall da VPC para permitir o tráfego essencial. Por isso, recomendamos que não modifique nem elimine essas regras. No entanto, as políticas de firewall de rede podem continuar a ser usadas juntamente com as regras de firewall da VPC e, opcionalmente, alterar a ordem de aplicação das políticas.
• Recomendamos que use etiquetas em vez de etiquetas de rede com regras de firewall devido aos controlos da IAM, à escalabilidade melhorada e ao suporte para políticas de firewall de rede. No entanto, as etiquetas não são suportadas por políticas de firewall hierárquicas nem em redes com peering do Network Connectivity Center. Por isso, nesses casos, tem de criar regras baseadas em intervalos CIDR.

1. Se quiser ativar a inspeção L7 no Cloud NGFW, configure o serviço de prevenção de intrusões, incluindo perfis de segurança, o ponto final da firewall e a associação da VPC.
2. Crie uma política de firewall de rede global e todas as regras de firewall necessárias. Tenha em consideração as regras implícitas existentes para permitir o tráfego de saída e negar o tráfego de entrada presentes em todas as redes VPC.
3. Associe a política às redes VPC.
4. Se já estiver a usar regras de firewall da VPC nas suas redes, pode alterar a ordem de avaliação das políticas e regras para que as novas regras sejam avaliadas antes das regras de firewall da VPC.
5. Opcionalmente, ative o registo de regras de firewall.

Teste a conetividade com cargas de trabalho

Se tiver cargas de trabalho já implementadas nas suas redes VPC, teste o acesso às mesmas agora. Se associou as redes antes de implementar as cargas de trabalho, pode implementá-las agora e testar.

O que se segue?

• Saiba mais sobre os Google Cloud produtos usados neste guia de design:
  • Redes VPC
  • Network Connectivity Center
  • Cloud Interconnect
  • HA VPN
• Para ver mais arquiteturas de referência, diagramas e práticas recomendadas, explore o Centro de arquitetura na nuvem.

Colaboradores

Autores:

• Eric Yu | Customer Engineer especialista em redes
• Deepak Michael | Customer Engineer especialista em redes
• Victor Moreno | Gestor de produtos, redes na nuvem
• Osvaldo Costa | Customer Engineer especialista em redes

Outros colaboradores:

• Mark Schlagenhauf | Redator técnico, redes
• Ammett Williams | Developer Relations Engineer
• Ghaleb Al-habian | Especialista em redes
• Tony Sarathchandra | Senior Product Manager