Este documento fornece uma arquitetura de referência que pode usar para implementar uma topologia de rede hub-and-spoke de uma rede entre nuvens que usa dispositivos virtuais de rede (NVAs) para transmitir tráfego.
O público-alvo deste documento são os administradores de rede que criam a conetividade de rede e os arquitetos de nuvem que planeiam a forma como as cargas de trabalho são implementadas. O documento pressupõe que tem uma compreensão básica do encaminhamento, da conetividade à Internet e do software de NVA que quer implementar. Para usar esta arquitetura de referência, deve estar familiarizado com o guia de design da rede entre nuvens.
Esta arquitetura suporta várias ligações externas a localizações nas instalações ou de fornecedores de serviços na nuvem (CSP) e várias redes VPC de cargas de trabalho.
Este design pressupõe uma implementação de região única. Oferece afinidade regional, mas não comutação por falha regional. Se quiser implementar em mais de uma região, pode usar o Google Cloud arquétipo de implementação multirregional.
Esta arquitetura coloca NVAs em todos os fluxos, exceto nos fluxos dentro e entre redes VPC de cargas de trabalho. Pode fazer com que os fluxos ignorem os NVAs adicionando as rotas baseadas em políticas de ignorar adequadas. Apenas os fluxos entre a rede externa e a rede VPC de acesso aos serviços precisam de NVAs, uma vez que todos os outros fluxos podem ser inspecionados pela firewall de nova geração do Google Cloud.
Arquitetura
O diagrama seguinte mostra uma vista de alto nível da arquitetura das redes e os fluxos que esta arquitetura suporta.
A arquitetura contém os seguintes elementos de nível elevado:
| Componente | Finalidade | Interacções |
|---|---|---|
| Redes externas (nas instalações ou noutra rede de CSP) | Alojamento dos clientes de cargas de trabalho executadas nas VPCs de cargas de trabalho e nas VPCs de acesso aos serviços. As redes externas também podem alojar serviços. | Troca dados com as redes da VPC de Google Cloudatravés das NVAs alojadas na rede da VPC de encaminhamento. Liga-se à rede VPC de encaminhamento através do Cloud Interconnect ou da VPN de alta disponibilidade. Termina uma extremidade dos seguintes fluxos:
|
| Rede VPC de encaminhamento (também conhecida como rede VPC de trânsito) | Funciona como um hub para a rede externa, a rede VPC services-access e as redes VPC de cargas de trabalho. Alojamento das NVAs que são usadas para processar o tráfego entre redes. | Liga a rede externa, a rede VPC de acesso aos serviços e as redes VPC de carga de trabalho através de uma combinação do Cloud Interconnect, da VPN de alta disponibilidade e do intercâmbio da rede da VPC. Quando o tráfego das redes externas, de acesso aos serviços e de cargas de trabalho passa pela rede de encaminhamento, as rotas baseadas em políticas enviam o tráfego para as NVAs. |
| Rede da VPC de acesso a serviços | Fornece pontos de acesso a serviços geridos alojados noutras redes. A rede de acesso aos serviços também pode alojar serviços diretamente, se necessário. | Troca dados com as redes externas e de carga de trabalho através da rede de encaminhamento. Liga-se à VPC de encaminhamento através da VPN de alta disponibilidade. O encaminhamento transitivo, fornecido pela VPN de alta disponibilidade, permite que o tráfego externo alcance as VPCs de serviços geridos através da rede VPC de acesso aos serviços. Se a rede da VPC de acesso aos serviços alojar serviços diretamente, termina uma extremidade dos fluxos de todas as outras redes. |
| Rede VPC de serviços geridos | Alojamento de serviços geridos necessários para clientes noutras redes. | Troca dados com as redes externas, de acesso a serviços e de carga de trabalho. Liga-se à rede VPC de acesso aos serviços através do acesso privado aos serviços, que usa o intercâmbio da rede da VPC, ou através do Private Service Connect. Termina uma extremidade dos fluxos de todas as outras redes. |
| Redes VPC de cargas de trabalho | Alojamento de cargas de trabalho necessárias pelos clientes noutras redes. | Troca dados com as redes VPC externas e de acesso a serviços através da rede VPC de encaminhamento. Liga-se à rede de encaminhamento através do intercâmbio da rede da VPC. Liga-se a outras redes VPC de cargas de trabalho através do Centro de conetividade de rede. Termina uma extremidade dos seguintes fluxos:
|
| Rede da VPC de acesso à Internet | Fornece acesso à Internet para cargas de trabalho que o necessitam. | Oferece acesso de saída à Internet para cargas de trabalho que precisam de transferir atualizações ou outros dados da Internet. Os dados viajam através dos NVAs e saem através do Cloud NAT. Termina uma extremidade dos seguintes fluxos:
|
Descrições das associações
O diagrama seguinte mostra uma vista detalhada da arquitetura que realça as quatro ligações entre as redes:
Esta secção descreve as quatro ligações apresentadas no diagrama anterior.
Ligação 1: entre redes externas e a rede VPC de encaminhamento
Esta ligação entre redes externas e redes VPC de encaminhamento ocorre através do Cloud Interconnect ou da VPN de alta disponibilidade. Os Cloud Routers na rede VPC de encaminhamento e os routers externos na rede externa trocam rotas através do BGP.
- Os routers em redes externas anunciam os encaminhamentos para sub-redes externas aos Cloud Routers da VPC de encaminhamento. A preferência das rotas pode ser expressa através de métricas e atributos do BGP.
- Os Cloud Routers na rede VPC de encaminhamento anunciam trajetos para prefixos nas VPCs de Google Cloudpara as redes externas. Estas rotas têm de ser anunciadas através de anúncios de rotas personalizadas do Cloud Router.
Ligação 2: entre redes VPC de encaminhamento e redes VPC de acesso aos serviços
Esta ligação entre as redes da VPC de encaminhamento e as redes da VPC de acesso aos serviços ocorre através da VPN de alta disponibilidade. As rotas são trocadas através do BGP entre os Cloud Routers regionais nas redes VPC de encaminhamento e as redes VPC de acesso aos serviços.
- Encaminhamento da VPN de alta disponibilidade da VPC Os Cloud Routers anunciam rotas para prefixos de rede externos, VPCs de cargas de trabalho e outras VPCs de acesso a serviços ao Cloud Router da VPC de acesso a serviços. Estas rotas têm de ser anunciadas através de anúncios de rotas personalizadas do Cloud Router.
- A rede VPC de acesso aos serviços anuncia as respetivas sub-redes e as sub-redes de quaisquer redes VPC de serviços geridos anexadas à rede VPC de encaminhamento. As rotas da VPC de serviços geridos têm de ser anunciadas através de anúncios de rotas personalizadas do Cloud Router.
Ligação 3: entre redes VPC de encaminhamento e redes VPC de cargas de trabalho
Esta ligação entre redes da VPC de encaminhamento e redes da VPC de carga de trabalho é implementada através do intercâmbio da rede da VPC. Esta ligação permite a comunicação entre as redes VPC da carga de trabalho e as outras redes ligadas à rede VPC de encaminhamento. Estas outras redes incluem as redes externas e as redes VPC de acesso aos serviços.
- A rede VPC da carga de trabalho exporta automaticamente sub-redes para a rede VPC de encaminhamento.
Ligação 4: entre redes VPC de cargas de trabalho
As redes VPC de cargas de trabalho estão ligadas através de raios VPC do Network Connectivity Center do mesmo hub. Como tal, o tráfego de uma rede VPC de carga de trabalho para outra desloca-se diretamente entre as redes. O tráfego não transita na rede da VPC de encaminhamento.
Fluxos de tráfego
O diagrama seguinte mostra os quatro fluxos ativados por esta arquitetura de referência.
A tabela seguinte descreve os fluxos no diagrama:
| Origem | Destino | Descrição |
|---|---|---|
| Rede externa | Rede da VPC de acesso a serviços |
|
| Rede da VPC de acesso a serviços | Rede externa |
|
| Rede externa | Rede da VPC da carga de trabalho |
|
| Rede da VPC da carga de trabalho | Rede externa |
|
| Rede da VPC da carga de trabalho | Rede da VPC de acesso a serviços |
|
| Rede da VPC de acesso a serviços | Rede da VPC da carga de trabalho |
|
| Rede da VPC da carga de trabalho | Rede da VPC da carga de trabalho | O tráfego que sai de uma rede VPC de carga de trabalho segue a rota mais específica para a outra rede VPC de carga de trabalho através do Network Connectivity Center. O tráfego de retorno inverte este caminho. Este tráfego não passa pelas NVAs. |
Produtos usados
Esta arquitetura de referência usa os seguintes produtos Google Cloud :
- Nuvem virtual privada (VPC): um sistema virtual que oferece funcionalidade de rede global e escalável para as suas Google Cloud cargas de trabalho. A VPC inclui o intercâmbio da rede da VPC, o Private Service Connect, o acesso a serviços privados e a VPC partilhada.
- Network Connectivity Center: uma framework de orquestração que simplifica a conetividade de rede entre recursos spoke que estão ligados a um recurso de gestão central denominado hub.
- Cloud Interconnect: um serviço que expande a sua rede externa para a rede Google através de uma ligação de alta disponibilidade e baixa latência.
- VPN na nuvem: um serviço que estende de forma segura a sua rede ponto a ponto à rede da Google através de um canal VPN IPsec.
- Cloud Router: uma oferta distribuída e totalmente gerida que fornece capacidades de orador e respondedor do Protocolo BGP (Border Gateway Protocol). O Cloud Router funciona com o Cloud Interconnect, o Cloud VPN e os dispositivos de router para criar trajetos dinâmicos em redes VPC com base em trajetos personalizados e recebidos do BGP.
- Compute Engine: um serviço de computação seguro e personalizável que lhe permite criar e executar VMs na infraestrutura da Google.
- Cloud Load Balancing: um portefólio de balanceadores de carga globais, escaláveis e de elevado desempenho, bem como balanceadores de carga regionais.
- Firewall de nova geração da nuvem: um serviço de firewall totalmente distribuído com capacidades de proteção avançadas, microsegmentação e gestão simplificada para ajudar a proteger as suas Google Cloud cargas de trabalho de ataques internos e externos.
Considerações de design
Esta secção descreve os fatores de design, as práticas recomendadas e as recomendações de design que deve considerar quando usa esta arquitetura de referência para desenvolver uma topologia que cumpra os seus requisitos específicos de segurança, fiabilidade e desempenho.
Segurança e conformidade
A lista seguinte descreve as considerações de segurança e conformidade para esta arquitetura de referência:
- Por motivos de conformidade, pode querer implementar o Cloud Interconnect apenas numa única região. Se quiser manter todo o tráfego numa única região, pode usar uma topologia de 99,9%. Para mais informações, consulte os artigos Estabeleça uma disponibilidade de 99,9% para o Dedicated Interconnect e Estabeleça uma disponibilidade de 99,9% para o Partner Interconnect.
- Use a firewall de nova geração da nuvem para proteger o tráfego que viaja entre redes da VPC de cargas de trabalho.
- Se precisar de inspeção de tráfego da camada 7, ative o serviço de deteção e prevenção de intrusões (opcionalmente com suporte de inspeção TLS) para bloquear atividade maliciosa e proteger as suas cargas de trabalho contra ameaças. O serviço ajuda a suportar a proteção contra vulnerabilidades, anti-spyware e antivírus. O serviço funciona através da criação de pontos finais de firewall zonais geridos pela Google que usam tecnologia de interceção de pacotes para inspecionar de forma transparente as cargas de trabalho sem exigir qualquer reestruturação de rotas. A firewall de nova geração empresarial da cloud incorre em cobranças de processamento de dados e de ponto final da firewall zonal.
- Ative a inteligência contra ameaças da Google para regras de políticas de firewall para permitir ou bloquear ligações com base nos dados da inteligência contra ameaças da Google.
- Use objetos de geolocalização para regras de políticas de firewall para permitir tráfego apenas de países permitidos e bloquear países embargados.
- Ative o registo e a monitorização conforme adequado para as suas necessidades de tráfego e conformidade. Pode usar os registos de fluxo da VPC para obter estatísticas sobre os seus padrões de tráfego.
- Use o Cloud IDS para recolher estatísticas adicionais sobre o seu tráfego.
- Se as NVAs tiverem de estabelecer ligação a localizações na Internet para transferir atualizações, configure o Cloud NAT na rede VPC de acesso à Internet.
- Se quiser que os clientes na sua rede externa alcancem as APIs Google diretamente,
crie uma rota baseada em políticas na rede VPC de encaminhamento da seguinte forma:
- Intervalo de origem: um intervalo agregado para a sua rede externa.
- Intervalo de destino:
199.36.153.4/30 - Próximo salto:
default-internet-gateway
Se quiser que as suas VMs acedam às APIs Google através de ligações privadas, faça o seguinte: Google Cloud
- Em cada rede VPC, ative o acesso privado à Google.
- Em cada rede de carga de trabalho, crie uma rota baseada em políticas para aceder às APIs Google:
- Intervalo de origem: o intervalo de endereços para a sub-rede de VPC da carga de trabalho.
- Intervalo de destino:
199.36.153.4/30 - Próximo salto:
default-internet-gateway
- Crie uma política de resposta DNS para o acesso privado da Google que se aplique à rede VPC de encaminhamento e a todas as redes VPC de carga de trabalho.
Na política de resposta de DNS, crie uma regra da seguinte forma:
- Nome DNS:
*.googleapis.com. Dados locais:
name="*.googleapis.com.",type="A",ttl=3600,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
- Nome DNS:
Fiabilidade
A lista seguinte descreve as considerações de fiabilidade para esta arquitetura de referência:
- Para ter uma disponibilidade de 99,99% para o Cloud Interconnect, tem de se ligar a duas regiões diferentes, mesmo que tenha VMs apenas numa região. Google Cloud
- Para melhorar a fiabilidade e minimizar a exposição a falhas regionais, pode duplicar a sua implementação em várias regiões através do Google Cloud arquétipo de implementação multirregional.
- Para processar o tráfego esperado entre a VPC de acesso aos serviços e outras redes, crie um número suficiente de túneis de VPN. Os túneis de VPN individuais têm limites de largura de banda. As mesmas orientações aplicam-se se estiver a usar a VPN de alta disponibilidade entre as suas redes externas e a rede da VPC de encaminhamento.
Otimização do desempenho
A lista seguinte descreve as considerações de desempenho para esta arquitetura de referência:
- Pode melhorar o desempenho da rede aumentando a unidade de transmissão máxima (MTU) das suas redes e ligações. Para mais informações, consulte o artigo Unidade de transmissão máxima.
- A comunicação entre a VPC de encaminhamento e os recursos de carga de trabalho é feita através do intercâmbio das redes da VPC, que oferece débito de taxa de linha total para todas as VMs na rede sem custos adicionais. Considere as quotas e os limites da interligação de redes VPC quando planear a implementação.
- Pode ligar a sua rede externa à rede VPC de encaminhamento através da VPN de alta disponibilidade ou do Cloud Interconnect. Para mais informações sobre como equilibrar as considerações de custo e desempenho, consulte o artigo Escolher um produto de conetividade de rede.
Implementação
A arquitetura neste documento cria três conjuntos de ligações a uma rede VPC de encaminhamento central, além de uma ligação diferente entre redes VPC de carga de trabalho. Depois de todas as ligações estarem totalmente configuradas, todas as redes na implementação podem comunicar com todas as outras redes.
Esta implementação pressupõe que está a criar ligações entre a rede externa e as redes VPC de encaminhamento numa região. No entanto, as sub-redes de cargas de trabalho podem estar em qualquer região. Se estiver a colocar cargas de trabalho apenas numa região, só precisa de criar sub-redes nessa região.
Para implementar esta arquitetura de referência, conclua as seguintes tarefas:
- Identifique regiões para colocar a conetividade e as cargas de trabalho
- Crie as suas redes e sub-redes de VPC
- Crie etiquetas de recursos para reger as regras de firewall
- Crie e associe políticas de firewall de rede
- Crie ligações entre redes externas e a sua rede VPC de encaminhamento
- Crie ligações entre a sua rede VPC de encaminhamento e as redes VPC de acesso aos serviços
- Crie ligações entre a sua rede VPC de encaminhamento e as redes VPC de cargas de trabalho
- Ligue as redes VPC da carga de trabalho
- Instale NVAs
- Crie o encaminhamento de serviços
- Configure o acesso à Internet na rede de acesso à Internet
- Teste a conetividade com cargas de trabalho
Identifique regiões para colocar a conetividade e as cargas de trabalho
Em geral, é recomendável colocar a conetividade, as sub-redes VPC e as Google Cloud cargas de trabalho próximas das suas redes nas instalações ou de outros clientes na nuvem. Para mais informações sobre a colocação de cargas de trabalho, consulte o Google Cloud seletor de regiões e as práticas recomendadas para a seleção de regiões do Compute Engine.
Crie as suas redes e sub-redes de VPC
Para criar as suas redes VPC e sub-redes, conclua as seguintes tarefas:
- Crie ou identifique os projetos onde vai criar as suas redes VPC. Precisa de um projeto de encaminhamento onde a sua conetividade externa é direcionada e outro projeto para alojar as suas redes VPC de acesso aos serviços e de cargas de trabalho. Para orientações, consulte o artigo Segmentação de rede e estrutura do projeto. Se pretender usar redes de VPC partilhada, aprovisione os seus projetos como projetos anfitriões de VPC partilhada.
- Planeie as atribuições de endereços IP para as suas redes. Pode pré-atribuir e reservar os seus intervalos criando intervalos internos. A atribuição de blocos de endereços que podem ser agregados simplifica a configuração e as operações posteriores.
- Crie uma rede VPC e uma sub-rede de VPC de encaminhamento no projeto de encaminhamento. Se achar que vai ter mais do que uma região, ative o encaminhamento global.
- Crie uma rede VPC e uma sub-rede de acesso à Internet no projeto de encaminhamento.
- Crie uma rede VPC e uma sub-rede de acesso a serviços no projeto anfitrião. Se achar que vai ter mais do que uma região, ative o encaminhamento global.
- Crie redes e sub-redes de VPC de cargas de trabalho nos projetos anfitriões. Se achar que vai ter mais do que uma região, ative o encaminhamento global.
Crie etiquetas de recursos para reger as regras da firewall de nova geração da nuvem
Crie as seguintes etiquetas. Pode atribuir-lhes o nome que quiser. Os nomes apresentados são apenas exemplos.
- Para a rede da VPC de encaminhamento:
- Chave:
routing-vpc-tags - Valor:
routing-vpc-multinic - Finalidade:
GCE_FIREWALL - Purpose-data: o nome da rede VPC de encaminhamento.
- Chave:
Para cada rede de VPC de carga de trabalho:
Chave:
WORKLOAD_NAME-tagsSubstitua
WORKLOAD_NAMEpelo nome da rede VPC da carga de trabalho.Valores:
WORKLOAD_NAME-clients,WORKLOAD_NAME-wwwSubstitua
WORKLOAD_NAMEpelo nome da rede VPC da carga de trabalho.Finalidade:
GCE_FIREWALLPurpose-data: o nome da rede VPC da carga de trabalho.
Para a rede de acesso à Internet:
- Chave:
internet-tag - Valor:
internet-vpc - Finalidade:
GCE_FIREWALL - Purpose-data: o nome da rede de acesso à Internet.
- Chave:
Crie e associe políticas de firewall de rede
Esta secção mostra as regras do Cloud NGFW a criar e associar à sua implementação.
- Crie uma política de firewall de rede global no projeto de encaminhamento.
- Crie as seguintes regras de firewall na política:
- Regra para permitir o tráfego de entrada dos intervalos de IPs de verificação de funcionamento para as portas em utilização, como
tcp:80,443. - Regra para permitir tráfego do Identity-Aware Proxy.
- Regra para permitir o tráfego de entrada de intervalos internos, como as redes de acesso a serviços, de carga de trabalho e externas.
- Regra para permitir o tráfego de entrada dos intervalos de IPs de verificação de funcionamento para as portas em utilização, como
- Associe a política à rede VPC de encaminhamento.
- Com base nas cargas de trabalho nas VPCs de carga de trabalho e de acesso aos serviços, crie políticas e regras de firewall no projeto de alojamento de cargas de trabalho para reger esse tráfego.
Crie ligações entre redes externas e a sua rede VPC de encaminhamento
Esta secção pressupõe a conetividade numa única região.
- Configure a conetividade entre as redes externas e a sua rede de encaminhamento. Para compreender como abordar esta questão, consulte o artigo Conetividade externa e híbrida. Para receber orientações sobre a escolha de um produto de conetividade, consulte o artigo Escolher um produto de conetividade de rede.
- Configure o BGP da seguinte forma:
- Configure o router na localização externa indicada da seguinte forma:
- Anuncie todas as sub-redes para essa localização externa usando o mesmo BGP MED em ambas as interfaces, como 100. Se ambas as interfaces anunciarem o mesmo MED, pode usar o ECMP para equilibrar a carga do tráfego em ambas as ligações. Google Cloud
- Configure o Cloud Router virado para o exterior na VPC de encaminhamento da região ligada da seguinte forma:
- Usando anúncios de rotas personalizadas, anuncie todos os intervalos de sub-redes de todas as regiões através das interfaces do Cloud Router orientadas para o exterior. Agregue-os, se possível. Use o mesmo MED em ambas as interfaces, como 100.
- Configure o router na localização externa indicada da seguinte forma:
Crie ligações entre a sua rede VPC de encaminhamento e as redes VPC de acesso aos serviços
A VPC de acesso a serviços usa a VPN de HA para estabelecer ligação à VPC de encaminhamento. A VPN permite o encaminhamento transitivo entre a VPC de acesso aos serviços e as redes de carga de trabalho e externas.
- Estime o volume de tráfego que tem de viajar entre as VPCs de encaminhamento e de acesso aos serviços. Aumente o número esperado de túneis em conformidade.
- Configure a VPN de alta disponibilidade entre a VPC de encaminhamento e a VPC de acesso aos serviços através das instruções em Crie gateways de VPN de alta disponibilidade para ligar redes VPC. Crie um Cloud Router de VPN de alta disponibilidade dedicado na rede de encaminhamento. Deixe o router virado para a rede externa para ligações de rede externa.
- Configuração do Cloud Router da VPC de encaminhamento:
- Para anunciar sub-redes de VPC de rede externa e de carga de trabalho à VPC de acesso aos serviços, use anúncios de rotas personalizadas no Cloud Router na VPC de encaminhamento.
- Configuração do Cloud Router da VPC de acesso a serviços:
- Para anunciar sub-redes VPC de acesso a serviços à VPC de encaminhamento, use anúncios de rotas personalizadas no Cloud Router da VPC de acesso a serviços.
- Se usar o acesso a serviços privados para associar uma VPC de serviços geridos à VPC de acesso a serviços, use rotas personalizadas para anunciar também essas sub-redes.
- Configuração do Cloud Router da VPC de encaminhamento:
- Se associar uma VPC de serviços geridos à VPC de acesso a serviços através do acesso a serviços privados, depois de estabelecer a ligação de interligação de redes VPC, atualize o lado da VPC de acesso a serviços da ligação de interligação de redes VPC para exportar rotas personalizadas.
Crie ligações entre a sua rede VPC de encaminhamento e as redes VPC de cargas de trabalho
Crie ligações de intercâmbio da rede da VPC entre a VPC de encaminhamento e cada uma das VPCs de carga de trabalho:
- Ative a opção Exportar encaminhamentos personalizados no lado da VPC de encaminhamento de cada ligação.
- Ative a opção Importar encaminhamentos personalizados no lado da VPC da carga de trabalho de cada ligação.
- No cenário predefinido, apenas os encaminhamentos de sub-redes de VPC de carga de trabalho são exportados para a VPC de encaminhamento. Não precisa de exportar rotas personalizadas das VPCs da carga de trabalho.
Ligue as redes VPC da carga de trabalho
Ligue as redes VPC da carga de trabalho através de raios da VPC do Network Connectivity Center. Torne todos os raios parte do mesmo grupo de pares de raios do Network Connectivity Center. Use um grupo de pares principal para permitir a comunicação de malha completa entre as VPCs.
Use a firewall de próxima geração do Google Cloud para reger o tráfego dentro e entre as redes VPC da carga de trabalho.
A ligação do Network Connectivity Center anuncia rotas específicas entre as redes VPC de cargas de trabalho. O tráfego entre estas redes segue essas rotas.
Instale NVAs
Estas instruções pressupõem que tem uma imagem de VM que quer usar para as suas ANVs.
Crie um grupo com balanceamento de carga de NVAs. Consulte o artigo Configure o Network Load Balancer de encaminhamento interno para dispositivos de terceiros para obter mais detalhes.
Crie um modelo de instância com base na sua imagem de NVA com o seguinte parâmetro:
Etiqueta de rede:
nva-REGIONSubstitua
REGIONpelo nome da região.Etiqueta do Resource Manager:
routing-vpc-tags=routing-vpc-multinic.Uma interface de rede para a rede VPC de encaminhamento sem um endereço IP externo.
Uma interface de rede para a rede VPC de acesso à Internet sem um endereço IP externo.
Defina
can IP forwardpara a VM e o sistema operativo.Crie
ip routerotas eiptablesregras para enviar tráfego entre as redes de encaminhamento e de acesso à Internet.
Crie um grupo de instâncias geridas (GIG) regional com VMs suficientes para processar o tráfego esperado.
Crie o encaminhamento de serviços
Esta secção descreve como enviar tráfego através das ANVs ou ignorar as ANVs, conforme adequado.
- Na rede VPC de encaminhamento, crie uma rota baseada em políticas com os seguintes parâmetros:
- Intervalo de origem:
0.0.0.0/0 - Intervalo de destino:
0.0.0.0/0 - Salto seguinte: o endereço IP da regra de encaminhamento do balanceador de carga de rede de passagem interno
- Etiquetas de rede: não especifique etiquetas de rede. Estes parâmetros criam uma regra que se aplica a todo o tráfego proveniente de uma associação de VLAN, um túnel de VPN ou outra VM na rede.
- Intervalo de origem:
Na rede de encaminhamento, crie uma rota baseada em políticas de ignorância com os seguintes parâmetros:
- Intervalo de origem:
0.0.0.0/0 - Intervalo de destino:
0.0.0.0/0 - Salto seguinte: defina o salto seguinte para ignorar outras rotas baseadas em políticas e usar o encaminhamento predefinido.
Etiquetas de rede:
nva-REGIONSubstitua
REGIONpelo nome da região.
Estes parâmetros criam uma regra que se aplica apenas ao tráfego que sai das VMs da NVA. Faz com que esse tráfego ignore a primeira rota baseada em políticas que criou e, em vez disso, siga a tabela de encaminhamento da VPC.
- Intervalo de origem:
Em cada rede de carga de trabalho, crie rotas baseadas em políticas para cada sub-rede com a seguinte configuração:
- Intervalo de origem: o intervalo de endereços para a sub-rede de VPC da carga de trabalho.
- Intervalo de destino:
0.0.0.0/0 - Próximo salto: o endereço IP da regra de encaminhamento do balanceador de carga de rede de passagem interna na rede de encaminhamento
Em cada rede de carga de trabalho, crie uma rota baseada em políticas de ignorar para o tráfego interno da sub-rede:
- Intervalo de origem: o intervalo de endereços para a sub-rede de VPC da carga de trabalho.
- Intervalo de destino: o intervalo de endereços para a sub-rede de VPC da carga de trabalho.
- Salto seguinte: defina o salto seguinte para ignorar outras rotas baseadas em políticas e usar o encaminhamento predefinido.
Em cada rede de carga de trabalho, crie uma rota baseada em políticas de ignorar para o tráfego entre sub-redes. Tem de ser criada uma rota para cada sub-rede de carga de trabalho, a menos que as rotas possam ser agregadas:
- Intervalo de origem: o intervalo de endereços para a sub-rede de VPC da carga de trabalho.
- Intervalo de destino: o intervalo das sub-redes de outras cargas de trabalho.
- Salto seguinte: defina o salto seguinte para ignorar outras rotas baseadas em políticas e usar o encaminhamento predefinido.
Estas instruções partem do princípio de que todo o tráfego, exceto o tráfego numa sub-rede de VPC e entre sub-redes de VPC de carga de trabalho, é encaminhado através das NVAs. Se quiser que o tráfego entre as VPCs de cargas de trabalho e a VPC de acesso aos serviços ignore os NVAs, instale rotas de ignorar baseadas em políticas adicionais e configure regras do Cloud NGFW adicionais para este tráfego.
Configure o acesso à Internet na rede de acesso à Internet
Para configurar o acesso de saída à Internet, configure o Cloud NAT na rede de acesso à Internet.
Teste a conetividade com cargas de trabalho
Se já tiver cargas de trabalho implementadas nas suas redes VPC, teste o acesso às mesmas agora. Se associou as redes antes de implementar cargas de trabalho, pode implementá-las agora e testar.
O que se segue?
- Saiba mais sobre os Google Cloud produtos usados neste guia de design:
- Para ver mais arquiteturas de referência, diagramas e práticas recomendadas, explore o Centro de arquitetura na nuvem.
Colaboradores
Autores:
- Osvaldo Costa | Customer Engineer especialista em redes
- Deepak Michael | Customer Engineer especialista em redes
- Victor Moreno | Gestor de produtos, redes na nuvem
- Mark Schlagenhauf | Redator técnico, redes
Outro colaborador: Ammett Williams | Developer Relations Engineer