Este documento fornece uma arquitetura de referência que pode ser usada para implantar uma topologia de rede hub e spoke de rede entre nuvens que usa dispositivos virtuais de rede (NVAs, na sigla em inglês) para transmitir tráfego.
O público-alvo deste documento são administradores de rede que criam conectividade de rede e arquitetos de nuvem que planejam como as cargas de trabalho são implantadas. Neste documento, presumimos que você tenha uma compreensão básica de roteamento, conectividade com a Internet e o software de NVA que quer implantar. Para usar esta arquitetura de referência, você precisa conhecer o guia de design do Cross-Cloud Network.
Esse design oferece suporte a várias conexões externas com locais no local ou de provedor de serviços na nuvem (CSP) e várias redes VPC de carga de trabalho.
Esse design pressupõe uma implantação de região única. Ele oferece afinidade regional, mas não failover regional. Se você quiser implantar em mais de uma região, use o arquétipo de implantação multirregionalGoogle Cloud .
Esse design coloca NVAs em todos os fluxos, exceto aqueles dentro e entre redes VPC de carga de trabalho. É possível fazer com que os fluxos ignorem os NVAs adicionando as rotas com base em política de pulo adequadas. Somente os fluxos entre a rede externa e a rede VPC de acesso a serviços precisam de NVAs. Todos os outros fluxos podem ser inspecionados pelo Cloud Next Generation Firewall.
Arquitetura
O diagrama a seguir mostra uma visão geral da arquitetura das redes e dos fluxos que ela oferece suporte.
A arquitetura contém os seguintes elementos de alto nível:
| Componente | Finalidade | Interações |
|---|---|---|
| Redes externas (no local ou de outro CSP) | Hospeda os clientes de cargas de trabalho executadas nas VPCs de carga de trabalho e nas VPCs de acesso a serviços. As redes externas também podem hospedar serviços. | Troca dados com as redes VPC de Google Cloudpor meio das NVAs hospedadas na rede VPC de roteamento. Conecta-se à rede VPC de roteamento usando o Cloud Interconnect ou a VPN de alta disponibilidade. Encerra uma extremidade dos seguintes fluxos:
|
| Rede VPC de roteamento (também conhecida como rede VPC de trânsito) | Atua como um hub para a rede externa, a rede VPC de acesso a serviços e as redes VPC de carga de trabalho. Hospeda as NVAs usadas para processar o tráfego entre redes. | Conecta a rede externa, a rede VPC de acesso a serviços e as redes VPC de carga de trabalho usando uma combinação de Cloud Interconnect, VPN de alta disponibilidade e peering de rede VPC. Quando o tráfego das redes externas, de acesso a serviços e de carga de trabalho passa pela rede de roteamento, as rotas baseadas em políticas enviam o tráfego para os NVAs. |
| Rede VPC de acesso a serviços | Fornece pontos de acesso a serviços gerenciados hospedados em outras redes. A rede de acesso a serviços também pode hospedar serviços diretamente, se necessário. | Troca dados com as redes externas e de carga de trabalho pela rede de roteamento. Conecta-se à VPC de roteamento usando a VPN de alta disponibilidade. O roteamento transitivo, fornecido pela VPN de alta disponibilidade, permite que o tráfego externo alcance as VPCs de serviços gerenciados pela rede VPC de acesso a serviços. Se a rede VPC de acesso a serviços hospedar serviços diretamente, ela vai encerrar uma extremidade dos fluxos de todas as outras redes. |
| Rede VPC de serviços gerenciados | Hospeda serviços gerenciados necessários para clientes em outras redes. | Troca dados com as redes externas, de acesso a serviços e de carga de trabalho. Conecta-se à rede VPC de acesso a serviços usando o acesso a serviços particulares, que usa o peering de rede VPC, ou o Private Service Connect. Encerra uma extremidade dos fluxos de todas as outras redes. |
| Redes VPC de carga de trabalho | Hospeda cargas de trabalho necessárias para clientes em outras redes. | Troca dados com as redes VPC externas e de acesso a serviços pela rede VPC de roteamento. Conecta-se à rede de roteamento usando o peering de rede VPC. Conecta-se a outras redes VPC de carga de trabalho usando o Network Connectivity Center. Encerra uma extremidade dos seguintes fluxos:
|
| Rede VPC de acesso à Internet | Fornece acesso à Internet para cargas de trabalho que precisam dela. | Fornece acesso externo à Internet para cargas de trabalho que precisam fazer o download de atualizações ou outros dados da Internet. Os dados passam pelas NVAs e saem pelo Cloud NAT. Encerra uma extremidade dos seguintes fluxos:
|
Descrições de conexões
O diagrama a seguir mostra uma visão detalhada da arquitetura que destaca as quatro conexões entre as redes:
Esta seção descreve as quatro conexões mostradas no diagrama anterior.
Conexão 1: entre redes externas e a rede VPC de roteamento
Essa conexão entre redes externas e redes VPC de roteamento acontece pelo Cloud Interconnect ou pela VPN de alta disponibilidade. Os Cloud Routers na rede VPC de roteamento e os roteadores externos na rede externa trocam rotas usando o BGP.
- Os roteadores em redes externas anunciam as rotas para sub-redes externas aos Cloud Routers de roteamento da VPC. A preferência das rotas pode ser expressa usando métricas e atributos do BGP.
- Os Cloud Routers na rede VPC de roteamento anunciam rotas para prefixos nas VPCs de Google Cloudpara as redes externas. Essas rotas precisam ser anunciadas usando os anúncios de rota personalizada do Cloud Router.
Conexão 2: entre redes VPC de roteamento e redes VPC de acesso a serviços
Essa conexão entre as redes VPC de roteamento e as redes VPC de acesso a serviços acontece pela VPN de alta disponibilidade. As rotas são trocadas usando o BGP entre os Cloud Routers regionais nas redes VPC de roteamento e nas redes VPC de acesso a serviços.
- Roteamento de VPN de alta disponibilidade da VPC Os Cloud Routers anunciam rotas para prefixos de rede externa, VPCs de carga de trabalho e outras VPCs de acesso a serviços para o Cloud Router da VPC de acesso a serviços. Essas rotas precisam ser anunciadas usando os anúncios de rota personalizada do Cloud Router.
- A rede VPC de acesso a serviços anuncia as sub-redes dela e as sub-redes de todas as redes VPC de serviços gerenciados anexadas à rede VPC de roteamento. As rotas da VPC de serviços gerenciados precisam ser anunciadas usando anúncios de rotas personalizadas do Cloud Router.
Conexão 3: entre redes VPC de roteamento e redes VPC de carga de trabalho
Essa conexão entre redes VPC de roteamento e de carga de trabalho é implementada usando o peering de rede VPC. Essa conexão permite a comunicação entre as redes VPC de carga de trabalho e as outras redes conectadas à rede VPC de roteamento. Essas outras redes incluem as externas e as redes VPC de acesso a serviços.
- A rede VPC de carga de trabalho exporta automaticamente as sub-redes para a rede VPC de roteamento.
Conexão 4: entre redes VPC de carga de trabalho
As redes VPC de carga de trabalho são conectadas usando spokes VPC do Network Connectivity Center do mesmo hub. Assim, o tráfego de uma rede VPC de carga de trabalho para outra viaja diretamente entre as redes. O tráfego não passa pela rede VPC de roteamento.
Fluxos de tráfego
O diagrama a seguir mostra os quatro fluxos ativados por essa arquitetura de referência.
A tabela a seguir descreve os fluxos no diagrama:
| Origem | Destino | Descrição |
|---|---|---|
| Rede externa | Rede VPC de acesso a serviços |
|
| Rede VPC de acesso a serviços | Rede externa |
|
| Rede externa | Rede VPC de carga de trabalho |
|
| Rede VPC de carga de trabalho | Rede externa |
|
| Rede VPC de carga de trabalho | Rede VPC de acesso a serviços |
|
| Rede VPC de acesso a serviços | Rede VPC de carga de trabalho |
|
| Rede VPC de carga de trabalho | Rede VPC de carga de trabalho | O tráfego que sai de uma rede VPC de carga de trabalho segue a rota mais específica para a outra rede VPC de carga de trabalho pelo Network Connectivity Center. O tráfego de retorno inverte esse caminho. Esse tráfego não passa pelas NVAs. |
Produtos usados
Esta arquitetura de referência usa os seguintes produtos do Google Cloud :
- Nuvem privada virtual: um sistema virtual que oferece funcionalidade de rede global e escalonável para suas cargas de trabalho do Google Cloud . A VPC inclui o peering de rede VPC, o Private Service Connect, o acesso a serviços particulares e a VPC compartilhada.
- Network Connectivity Center: um framework de orquestração que simplifica a conectividade de rede entre recursos spoke conectados a um recurso de gerenciamento central chamado hub.
- Cloud Interconnect: um serviço que estende sua rede externa para a rede do Google por meio de uma conexão de alta disponibilidade e baixa latência.
- Cloud VPN: um serviço que estende com segurança sua rede de peering para a rede do Google por um túnel de VPN IPsec.
- Cloud Router: uma oferta distribuída e totalmente gerenciada que oferece recursos de resposta a incidentes e alto-falante do Border Gateway Protocol (BGP). O Cloud Router funciona com o Cloud Interconnect, o Cloud VPN e os roteadores para criar rotas dinâmicas em redes VPC com base em rotas recebidas pelo BGP e aprendidas de forma personalizada.
- Compute Engine: um serviço de computação seguro e personalizável que permite criar e executar VMs na infraestrutura do Google.
- Cloud Load Balancing: um portfólio de balanceadores de carga globais, regionais, escalonáveis, globais e de alto desempenho.
- Firewall do Cloud de última geração: um serviço de firewall totalmente distribuído com recursos avançados de proteção, microssegmentação e gerenciamento simplificado para ajudar a proteger suas cargas de trabalho do Google Cloud contra ataques internos e externos.
Considerações sobre o design
Nesta seção, descrevemos fatores de design, práticas recomendadas e recomendações de design que você precisa considerar ao usar essa arquitetura de referência para desenvolver uma topologia que atenda aos seus requisitos específicos de segurança, confiabilidade e desempenho.
Segurança e compliance
A lista a seguir descreve as considerações de segurança e compliance para essa arquitetura de referência:
- Por motivos de compliance, talvez você queira implantar o Cloud Interconnect em uma única região. Se você quiser manter todo o tráfego em uma única região, use uma topologia de 99,9%. Para mais informações, consulte Estabelecer 99,9% de disponibilidade para a Interconexão dedicada e Estabelecer 99,9% de disponibilidade para a Interconexão por parceiro.
- Use o Cloud Next Generation Firewall para proteger o tráfego que viaja entre as redes VPC de carga de trabalho.
- Se você precisar de inspeção de tráfego L7, ative o serviço de detecção e prevenção contra invasões (opcionalmente com suporte à inspeção de TLS) para bloquear atividades maliciosas e proteger suas cargas de trabalho contra ameaças. O serviço ajuda a oferecer suporte a proteção contra vulnerabilidades, antispyware e antivírus. O serviço cria endpoints de firewall zonais gerenciados pelo Google que usam a tecnologia de interceptação de pacotes para inspecionar de maneira transparente as cargas de trabalho sem exigir uma nova arquitetura de rotas. O Cloud Next Generation Firewall Enterprise gera custos de endpoint de firewall zonal e de processamento de dados.
- Ative a Inteligência contra ameaças do Google para regras de política de firewall e permita ou bloqueie conexões com base nos dados da Inteligência contra ameaças do Google.
- Use objetos de geolocalização para regras de política de firewall e permita o tráfego apenas de países permitidos e bloqueie países embargados.
- Ative a geração de registros e o monitoramento conforme apropriado para suas necessidades de tráfego e conformidade. É possível usar os registros de fluxo de VPC para gerar insights sobre seus padrões de tráfego.
- Use o Cloud IDS para reunir mais insights sobre seu tráfego.
- Se as NVAs precisarem se conectar a locais da Internet para baixar atualizações, configure o Cloud NAT na rede VPC de acesso à Internet.
- Se você quiser que os clientes na sua rede externa alcancem as APIs do Google diretamente,
crie uma rota com base em políticas na rede VPC de roteamento da seguinte maneira:
- Intervalo de origem: um intervalo agregado para sua rede externa.
- Intervalo de destino:
199.36.153.4/30 - próximo salto:
default-internet-gateway
Se você quiser que suas VMs Google Cloud acessem as APIs do Google por conexões particulares, faça o seguinte:
- Em cada rede VPC, ative o Acesso privado do Google.
- Em cada rede de carga de trabalho, crie uma rota baseada em políticas para acessar as APIs do Google:
- Intervalo de origem: o intervalo de endereços da sub-rede VPC da carga de trabalho.
- Intervalo de destino:
199.36.153.4/30 - próximo salto:
default-internet-gateway
- Crie uma política de resposta de DNS para o Acesso privado do Google que se aplique à rede VPC de roteamento e a todas as redes VPC de carga de trabalho.
Na política de resposta do DNS, crie uma regra da seguinte maneira:
- Nome DNS:
*.googleapis.com. Dados locais:
name="*.googleapis.com.",type="A",ttl=3600,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
- Nome DNS:
Confiabilidade
A lista a seguir descreve as considerações de confiabilidade para esta arquitetura de referência:
- Para ter 99,99% de disponibilidade do Cloud Interconnect, conecte-se a duas regiões Google Cloud diferentes, mesmo que você tenha VMs em apenas uma região.
- Para melhorar a confiabilidade e minimizar a exposição a falhas regionais, duplique sua implantação em várias regiões usando o Google Cloud arquétipo de implantação multirregional.
- Para processar o tráfego esperado entre a VPC de acesso a serviços e outras redes, crie um número suficiente de túneis VPN. Os túneis de VPN individuais têm limites de largura de banda. A mesma orientação se aplica se você estiver usando a VPN de alta disponibilidade entre suas redes externas e a rede VPC de roteamento.
Otimização de desempenho
A lista a seguir descreve as considerações de desempenho para esta arquitetura de referência:
- É possível melhorar o desempenho da rede aumentando a unidade máxima de transmissão (MTU) das redes e conexões. Para mais informações, consulte Unidade de transmissão máxima.
- A comunicação entre a VPC de roteamento e os recursos de carga de trabalho é feita por peering de rede VPC, que oferece capacidade de processamento de taxa de linha completa para todas as VMs na rede sem custo adicional. Considere as cotas e os limites do peering de rede VPC ao planejar sua implantação.
- É possível conectar sua rede externa à rede VPC de roteamento usando a VPN de alta disponibilidade ou o Cloud Interconnect. Para mais informações sobre como equilibrar considerações de custo e desempenho, consulte Como escolher um produto de conectividade de rede.
Implantação
A arquitetura neste documento cria três conjuntos de conexões com uma rede VPC de roteamento central e uma conexão diferente entre redes VPC de carga de trabalho. Depois que todas as conexões estiverem totalmente configuradas, todas as redes na implantação poderão se comunicar entre si.
Essa implantação pressupõe que você está criando conexões entre a rede externa e as redes VPC de roteamento em uma região. No entanto, as sub-redes de carga de trabalho podem estar em qualquer região. Se você estiver colocando cargas de trabalho em apenas uma região, só precisará criar sub-redes nessa região.
Para implantar essa arquitetura de referência, conclua as seguintes tarefas:
- Identificar regiões para colocar conectividade e cargas de trabalho
- Crie suas redes e sub-redes VPC
- Criar tags de recursos para controlar regras de firewall
- Criar e associar políticas de firewall de rede
- Crie conexões entre redes externas e sua rede VPC de roteamento
- Crie conexões entre a rede VPC de roteamento e as redes VPC de acesso a serviços
- Crie conexões entre sua rede VPC de roteamento e as redes VPC de carga de trabalho
- Conecte suas redes VPC de carga de trabalho
- Instalar NVAs
- Criar roteamento de serviço
- Configurar o acesso à Internet na rede de acesso à Internet
- Testar a conectividade com cargas de trabalho
Identificar regiões para colocar conectividade e cargas de trabalho
Em geral, é recomendável colocar a conectividade, as sub-redes VPC e as cargas de trabalho Google Cloud próximas às redes locais ou a outros clientes de nuvem. Para mais informações sobre como colocar cargas de trabalho, consulte o Google Cloud Seletor de região e Práticas recomendadas para a seleção de regiões do Compute Engine.
Criar redes e sub-redes VPC
Para criar redes e sub-redes VPC, conclua as seguintes tarefas:
- Crie ou identifique os projetos em que você vai criar as redes VPC. Você precisa de um projeto de roteamento para a conectividade externa e outro para hospedar as redes VPC de acesso a serviços e de carga de trabalho. Para orientações, consulte Segmentação de rede e estrutura do projeto. Se você pretende usar redes de VPC compartilhada, provisione seus projetos como projetos host de VPC compartilhada.
- Planeje as alocações de endereços IP para suas redes. É possível pré-alocar e reservar seus intervalos criando intervalos internos. Alocar blocos de endereços que podem ser agregados facilita a configuração e as operações posteriores.
- Crie uma rede e uma sub-rede VPC de roteamento no projeto de roteamento. Se você acha que terá mais de uma região, ative o roteamento global.
- Crie uma rede e uma sub-rede VPC de acesso à Internet no projeto de roteamento.
- Crie uma rede VPC e uma sub-rede de acesso a serviços no projeto host. Se você acha que terá mais de uma região, ative o roteamento global.
- Crie redes e sub-redes VPC de carga de trabalho nos projetos host. Se você acha que terá mais de uma região, ative o roteamento global.
Criar tags de recursos para controlar as regras do Cloud Next Generation Firewall
Crie as seguintes tags. Você pode dar o nome que quiser. Os nomes listados são apenas exemplos.
- Para a rede VPC de roteamento:
- Chave:
routing-vpc-tags - Valor:
routing-vpc-multinic - Finalidade:
GCE_FIREWALL - Purpose-data: o nome da rede VPC de roteamento.
- Chave:
Para cada rede VPC de carga de trabalho:
Chave:
WORKLOAD_NAME-tagsSubstitua
WORKLOAD_NAMEpelo nome da rede VPC da carga de trabalho.Valores:
WORKLOAD_NAME-clients,WORKLOAD_NAME-wwwSubstitua
WORKLOAD_NAMEpelo nome da rede VPC da carga de trabalho.Finalidade:
GCE_FIREWALLPurpose-data: o nome da rede VPC da carga de trabalho.
Para a rede de acesso à Internet:
- Chave:
internet-tag - Valor:
internet-vpc - Finalidade:
GCE_FIREWALL - Finalidade-dados: o nome da rede de acesso à Internet.
- Chave:
Criar e associar políticas de firewall de rede
Nesta seção, mostramos as regras do Cloud NGFW para criar e associar à sua implantação.
- Crie uma política de firewall de rede global no projeto de roteamento.
- Crie as seguintes regras de firewall na política:
- Regra para permitir o tráfego de entrada dos intervalos de IP de verificação de integridade para as portas em uso, como
tcp:80,443. - Regra para permitir o tráfego do Identity-Aware Proxy.
- Regra para permitir o tráfego de entrada de intervalos internos, como as redes de acesso a serviços, de carga de trabalho e externas.
- Regra para permitir o tráfego de entrada dos intervalos de IP de verificação de integridade para as portas em uso, como
- Associe a política à rede VPC de roteamento.
- Com base nas cargas de trabalho nas VPCs de acesso a serviços e de carga de trabalho, crie políticas e regras de firewall no projeto de hospedagem de carga de trabalho para governar esse tráfego.
Criar conexões entre redes externas e sua rede VPC de roteamento
Esta seção pressupõe conectividade em uma única região.
- Configure a conectividade entre as redes externas e sua rede de roteamento. Para entender como pensar sobre isso, consulte Conectividade externa e híbrida. Para orientações sobre como escolher um produto de conectividade, consulte Como escolher um produto de conectividade de rede.
- Configure o BGP da seguinte maneira:
- Configure o roteador no local externo especificado da seguinte maneira:
- Anuncie todas as sub-redes desse local externo usando a mesma MED do BGP nas duas interfaces, como 100. Se as duas interfaces anunciarem o mesmo MED, o Google Cloud poderá usar o ECMP para balancear a carga do tráfego nas duas conexões.
- Configure o Cloud Router externo na VPC de roteamento da região conectada da seguinte maneira:
- Usando divulgações de rota personalizadas, anuncie todos os intervalos de sub-rede de todas as regiões nas duas interfaces do Cloud Router voltadas para o ambiente externo. Agregue-os, se possível. Use o mesmo MED nas duas interfaces, como 100.
- Configure o roteador no local externo especificado da seguinte maneira:
Crie conexões entre sua rede VPC de roteamento e as redes VPC de acesso a serviços
A VPC de acesso a serviços usa a VPN de alta disponibilidade para se conectar à VPC de roteamento. A VPN permite o roteamento transitivo entre a VPC de acesso a serviços e as redes externas e de carga de trabalho.
- Estime quanto tráfego precisa viajar entre as VPCs de roteamento e de acesso a serviços. Ajuste o número esperado de túneis de acordo com isso.
- Configure a VPN de alta disponibilidade entre a VPC de roteamento e a VPC de acesso a serviços usando as instruções em Criar gateways de VPN de alta disponibilidade para conectar redes VPC. Crie um Cloud Router de VPN de alta disponibilidade dedicado na rede de roteamento. Deixe o roteador voltado para a rede externa para conexões de rede externa.
- Configuração do Cloud Router da VPC de roteamento:
- Para anunciar sub-redes VPC de rede externa e de carga de trabalho à VPC de acesso a serviços, use divulgações de rota personalizadas no Cloud Router da VPC de roteamento.
- Configuração do Cloud Router da VPC de acesso a serviços:
- Para anunciar sub-redes VPC de acesso a serviços para a VPC de roteamento, use anúncios de rota personalizados no Cloud Router da VPC de acesso a serviços.
- Se você usar o acesso a serviços particulares para conectar uma VPC de serviços gerenciados à VPC de acesso a serviços, use rotas personalizadas para anunciar essas sub-redes também.
- Configuração do Cloud Router da VPC de roteamento:
- Se você conectar uma VPC de serviços gerenciados à VPC de acesso a serviços usando o acesso a serviços particulares, depois que a conexão de peering de rede VPC for estabelecida, atualize o lado da VPC de acesso a serviços da conexão de peering de rede VPC para exportar rotas personalizadas.
Crie conexões entre a rede VPC de roteamento e as redes VPC de carga de trabalho
Crie conexões de peering de rede VPC entre a VPC de roteamento e cada uma das VPCs de carga de trabalho:
- Ative a opção Exportar rotas personalizadas para o lado da VPC de roteamento de cada conexão.
- Ative a opção Importar rotas personalizadas no lado da VPC de carga de trabalho de cada conexão.
- No cenário padrão, apenas as rotas de sub-rede da VPC de carga de trabalho são exportadas para a VPC de roteamento. Não é necessário exportar rotas personalizadas das VPCs de carga de trabalho.
Conecte suas redes VPC de carga de trabalho
Conecte as redes VPC de carga de trabalho usando spokes de VPC do Network Connectivity Center. Faça com que todos os spokes façam parte do mesmo grupo de peers de spoke do Network Connectivity Center. Use um grupo de peers principais para permitir a comunicação de malha completa entre as VPCs.
Use o Cloud Firewall de próxima geração para controlar o tráfego dentro e entre as redes VPC de carga de trabalho.
A conexão do Network Connectivity Center anuncia rotas específicas entre as redes VPC da carga de trabalho. O tráfego entre essas redes segue essas rotas.
Instalar NVAs
Estas instruções pressupõem que você tenha uma imagem de VM que quer usar para suas NVAs.
Crie um grupo de NVAs com balanceamento de carga. Consulte Configurar um balanceador de carga de rede de passagem interna para dispositivos de terceiros para mais detalhes.
Crie um modelo de instância com base na imagem da NVA com o seguinte parâmetro:
Tag de rede:
nva-REGIONSubstitua
REGIONpelo nome da região.Tag do Resource Manager:
routing-vpc-tags=routing-vpc-multinic.Uma interface de rede para a rede VPC de roteamento sem endereço IP externo.
Uma interface de rede para a rede VPC de acesso à Internet sem um endereço IP externo.
Defina
can IP forwardpara a VM e o sistema operacional.Crie rotas
ip routee regrasiptablespara enviar tráfego entre as redes de roteamento e de acesso à Internet.
Crie um grupo gerenciado de instâncias (MIG) regional com VMs suficientes para lidar com o tráfego esperado.
Criar roteamento de serviço
Esta seção descreve como enviar tráfego pelas NVAs ou ignorá-las, conforme necessário.
- Na rede VPC de roteamento, crie uma rota com base em políticas com os seguintes parâmetros:
- Intervalo de origem:
0.0.0.0/0 - Intervalo de destino:
0.0.0.0/0 - Próximo salto: o endereço IP da regra de encaminhamento do balanceador de carga de rede de passagem interna
- Tags de rede: não especifique nenhuma tag de rede. Esses parâmetros criam uma regra que se aplica a todo o tráfego proveniente de um anexo da VLAN, um túnel de VPN ou outra VM na rede.
- Intervalo de origem:
Na rede de roteamento, crie uma rota com base em política de skip com os seguintes parâmetros:
- Intervalo de origem:
0.0.0.0/0 - Intervalo de destino:
0.0.0.0/0 - Próximo salto: defina o próximo salto para ignorar outras rotas com base em políticas e usar o roteamento padrão.
Tags de rede:
nva-REGIONSubstitua
REGIONpelo nome da região.
Esses parâmetros criam uma regra que se aplica apenas ao tráfego que sai das VMs da NVA. Isso faz com que esse tráfego pule a primeira rota com base em políticas criada e siga a tabela de roteamento da VPC.
- Intervalo de origem:
Em cada rede de carga de trabalho, crie rotas com base em políticas para cada sub-rede com a seguinte configuração:
- Intervalo de origem: o intervalo de endereços da sub-rede VPC da carga de trabalho.
- Intervalo de destino:
0.0.0.0/0 - Próximo salto: o endereço IP da regra de encaminhamento do balanceador de carga de rede de passagem interna na rede de roteamento
Em cada rede de carga de trabalho, crie uma rota com base em políticas de skip para o tráfego intrasub-rede:
- Intervalo de origem: o intervalo de endereços da sub-rede VPC da carga de trabalho.
- Intervalo de destino: o intervalo de endereços da sub-rede VPC da carga de trabalho.
- Próximo salto: defina o próximo salto para ignorar outras rotas com base em políticas e usar o roteamento padrão.
Em cada rede de carga de trabalho, crie uma rota com base em políticas de salto para o tráfego entre sub-redes. É necessário criar uma rota para cada sub-rede de carga de trabalho, a menos que seja possível agregar as rotas:
- Intervalo de origem: o intervalo de endereços da sub-rede VPC da carga de trabalho.
- Intervalo de destino: o intervalo das outras sub-redes de carga de trabalho.
- Próximo salto: defina o próximo salto para ignorar outras rotas com base em políticas e usar o roteamento padrão.
Estas instruções pressupõem que todo o tráfego, exceto o tráfego em uma sub-rede VPC e entre sub-redes VPC de carga de trabalho, seja roteado pelas NVAs. Se você quiser que o tráfego entre as VPCs de carga de trabalho e a VPC de acesso a serviços ignore as NVAs, instale outras rotas de ignorar o roteamento com base na política e configure outras regras do Cloud NGFW para esse tráfego.
Configurar o acesso à Internet na rede de acesso à Internet
Para configurar o acesso de saída à Internet, configure o Cloud NAT na rede de acesso à Internet.
Testar a conectividade com cargas de trabalho
Se você já tiver cargas de trabalho implantadas nas redes VPC, teste o acesso a elas agora. Se você conectou as redes antes de implantar as cargas de trabalho, faça isso agora e teste.
A seguir
- Saiba mais sobre os produtos do Google Cloud usados neste guia de design:
- Para mais arquiteturas de referência, diagramas e práticas recomendadas, confira a Central de arquitetura do Cloud.
Colaboradores
Autores:
- Osvaldo Costa | Engenheiro de clientes especialista em rede
- Deepak Michael | Engenheiro de clientes especialista em rede
- Victor Moreno | Gerente de produtos, Cloud Networking
- Mark Schlagenhauf | Redator técnico, Rede
Outro colaborador: Ammett Williams | Engenheiro de relações com desenvolvedores