Este documento fornece uma arquitetura de referência que pode usar para implementar uma topologia de rede de hub e raios de uma rede entre nuvens no Google Cloud. Esta arquitetura de rede permite a implementação de serviços de software em redes Google Cloud e externas, como centros de dados no local ou outros fornecedores de serviços na nuvem (CSPs).
Esta arquitetura suporta várias ligações externas, várias redes da nuvem virtual privada (VPC) de acesso a serviços e várias redes da VPC de cargas de trabalho.
O público-alvo deste documento são os administradores de rede que criam a conetividade de rede e os arquitetos de nuvem que planeiam a forma como as cargas de trabalho são implementadas. Este documento pressupõe que tem uma compreensão básica do encaminhamento e da conetividade à Internet.
Arquitetura
O diagrama seguinte mostra uma vista de alto nível da arquitetura das redes e os quatro fluxos de pacotes que esta arquitetura suporta.
A arquitetura contém os seguintes elementos de nível elevado:
| Componente | Finalidade | Interacções |
|---|---|---|
| Redes externas (nas instalações ou noutra rede de CSP) | Alojamento dos clientes de cargas de trabalho executadas nas VPCs de cargas de trabalho e nas VPCs de acesso aos serviços. As redes externas também podem alojar serviços. | Troca dados com as redes de nuvem privada virtual de Google Cloudatravés da rede de trânsito. Liga-se à rede de trânsito através do Cloud Interconnect ou da VPN de alta disponibilidade. Termina uma extremidade dos seguintes fluxos:
|
| Rede da VPC de trânsito | Funciona como um hub para a rede externa, a rede VPC de acesso aos serviços e as redes VPC de cargas de trabalho. | Liga a rede externa, a rede VPC de acesso aos serviços e as redes VPC de carga de trabalho através de uma combinação do Cloud Interconnect, da VPN de alta disponibilidade e do intercâmbio da rede da VPC. |
| Rede da VPC de acesso a serviços | Fornece acesso a serviços necessários para cargas de trabalho que estão a ser executadas nas redes VPC de cargas de trabalho ou em redes externas. Também fornece pontos de acesso a serviços geridos alojados noutras redes. | Troca dados com as redes externas e de carga de trabalho através da rede de trânsito. Liga-se à VPC de trânsito através da VPN de alta disponibilidade. O encaminhamento transitivo fornecido pela VPN de alta disponibilidade permite que o tráfego externo alcance as VPCs de serviços geridos através da rede VPC de acesso a serviços. Termina uma extremidade dos seguintes fluxos:
|
| Rede VPC de serviços geridos | Alojamento de serviços geridos necessários para clientes noutras redes. | Troca dados com as redes externas, de acesso a serviços e de carga de trabalho. Liga-se à rede VPC de acesso aos serviços através do acesso privado aos serviços, que usa o intercâmbio da rede da VPC, ou através do Private Service Connect. Termina uma extremidade dos fluxos de todas as outras redes. |
| Redes VPC de cargas de trabalho | Alojamento de cargas de trabalho necessárias pelos clientes noutras redes. | Troca dados com as redes VPC externas e de acesso a serviços através da rede VPC de trânsito. Liga-se à rede de trânsito através da interligação de redes VPC. Liga-se a outras redes VPC de cargas de trabalho através de raios de VPC do Network Connectivity Center. Termina uma extremidade dos seguintes fluxos:
|
O diagrama seguinte mostra uma vista detalhada da arquitetura que realça as quatro ligações entre as redes:
Descrições das associações
Esta secção descreve as quatro ligações apresentadas no diagrama anterior.
Ligação 1: entre redes externas e a rede VPC de trânsito
Esta ligação entre redes externas e redes VPC de trânsito ocorre através do Cloud Interconnect ou da VPN de alta disponibilidade. Os trajetos são trocados através do BGP entre os Cloud Routers na rede VPC de trânsito e os routers externos na rede externa.
- Os routers em redes externas anunciam os encaminhamentos para sub-redes externas aos routers do Cloud Router da VPC de trânsito. Em geral, os routers externos numa determinada localização anunciam rotas da mesma localização externa como mais preferenciais do que as rotas para outras localizações externas. A preferência das rotas pode ser expressa através de métricas e atributos do BGP.
- Os routers na nuvem na rede de VPC de trânsito anunciam rotas para prefixos nas VPCs de Google Cloudpara as redes externas. Estas rotas têm de ser anunciadas através de anúncios de rotas personalizadas do Cloud Router.
Ligação 2: entre redes VPC de trânsito e redes VPC de acesso a serviços
Esta ligação entre redes da VPC de trânsito e redes da VPC de acesso aos serviços ocorre através da VPN de alta disponibilidade com túneis separados para cada região. As rotas são trocadas através do BGP entre os Cloud Routers regionais nas redes VPC de trânsito e as redes VPC de acesso aos serviços.
- VPN de alta disponibilidade da VPC de trânsito Os Cloud Routers anunciam rotas para prefixos de rede externos, VPCs de cargas de trabalho e outras VPCs de acesso a serviços ao Cloud Router da VPC de acesso a serviços. Estas rotas têm de ser anunciadas através de anúncios de rotas personalizadas do Cloud Router.
- A rede VPC de acesso aos serviços anuncia as respetivas sub-redes e as sub-redes de quaisquer redes VPC de serviços geridos anexadas à rede VPC de trânsito. As rotas da VPC de serviços geridos e as rotas da sub-rede da VPC de acesso aos serviços têm de ser anunciadas através de anúncios de rotas personalizadas do Cloud Router.
Ligação 3: entre redes VPC de trânsito e redes VPC de cargas de trabalho
Esta ligação entre redes da VPC de trânsito e redes da VPC de carga de trabalho é implementada através do intercâmbio das redes da VPC. As sub-redes e os trajetos de prefixos são trocados através de mecanismos de interligação de VPCs. Esta ligação permite a comunicação entre as redes VPC da carga de trabalho e as outras redes ligadas à rede VPC de trânsito, incluindo as redes externas e as redes VPC de acesso aos serviços.
- A rede VPC de trânsito usa o intercâmbio da rede VPC para exportar rotas personalizadas. Estas rotas personalizadas incluem todas as rotas dinâmicas que foram aprendidas pela rede da VPC de trânsito. As redes VPC da carga de trabalho importam esses encaminhamentos personalizados.
- A rede VPC da carga de trabalho exporta automaticamente sub-redes para a rede VPC de trânsito. Não são exportados encaminhamentos personalizados das VPCs da carga de trabalho para a VPC de trânsito.
Ligação 4: entre redes VPC de cargas de trabalho
- As redes VPC de cargas de trabalho podem ser ligadas entre si através de raios VPC do Network Connectivity Center. Esta é uma configuração opcional. Pode omiti-lo se não quiser que as redes VPC de cargas de trabalho comuniquem entre si.
Fluxos de tráfego
O diagrama seguinte mostra os quatro fluxos ativados por esta arquitetura de referência.
A tabela seguinte descreve os fluxos no diagrama:
| Origem | Destino | Descrição |
|---|---|---|
| Rede externa | Rede da VPC de acesso a serviços |
|
| Rede da VPC de acesso a serviços | Rede externa |
|
| Rede externa | Rede da VPC da carga de trabalho |
|
| Rede da VPC da carga de trabalho | Rede externa |
|
| Rede da VPC da carga de trabalho | Rede da VPC de acesso a serviços |
|
| Rede da VPC de acesso a serviços | Rede da VPC da carga de trabalho |
|
| Rede da VPC da carga de trabalho | Rede da VPC da carga de trabalho | O tráfego que sai de uma VPC de carga de trabalho segue a rota mais específica para a outra VPC de carga de trabalho através do Centro de conetividade de rede. O tráfego de retorno inverte este caminho. |
Produtos usados
Esta arquitetura de referência usa os seguintes produtos Google Cloud :
- Nuvem virtual privada (VPC): um sistema virtual que oferece funcionalidade de rede global e escalável para as suas Google Cloud cargas de trabalho. A VPC inclui o intercâmbio da rede da VPC, o Private Service Connect, o acesso a serviços privados e a VPC partilhada.
- Network Connectivity Center: uma framework de orquestração que simplifica a conetividade de rede entre recursos spoke que estão ligados a um recurso de gestão central denominado hub.
- Cloud Interconnect: um serviço que expande a sua rede externa para a rede Google através de uma ligação de alta disponibilidade e baixa latência.
- VPN na nuvem: um serviço que estende de forma segura a sua rede ponto a ponto à rede da Google através de um canal VPN IPsec.
- Cloud Router: uma oferta distribuída e totalmente gerida que fornece capacidades de orador e respondedor do Protocolo BGP (Border Gateway Protocol). O Cloud Router funciona com o Cloud Interconnect, o Cloud VPN e os dispositivos de router para criar trajetos dinâmicos em redes VPC com base em trajetos personalizados e recebidos do BGP.
Considerações de design
Esta secção descreve os fatores de design, as práticas recomendadas e as recomendações de design que deve considerar quando usa esta arquitetura de referência para desenvolver uma topologia que cumpra os seus requisitos específicos de segurança, fiabilidade e desempenho.
Segurança e conformidade
A lista seguinte descreve as considerações de segurança e conformidade para esta arquitetura de referência:
- Por motivos de conformidade, pode querer implementar cargas de trabalho apenas numa única região. Se quiser manter todo o tráfego numa única região, pode usar uma topologia de 99,9%. Para mais informações, consulte os artigos Estabeleça uma disponibilidade de 99,9% para o Dedicated Interconnect e Estabeleça uma disponibilidade de 99,9% para o Partner Interconnect.
- Use a firewall de nova geração do Google Cloud para proteger o tráfego que entra e sai das redes VPC de acesso aos serviços e de cargas de trabalho. Para proteger o tráfego que passa entre redes externas e a rede de trânsito, tem de usar firewalls externas ou firewalls de NVA.
- Ative o registo e a monitorização conforme adequado para as suas necessidades de tráfego e conformidade. Pode usar os registos de fluxo da VPC para obter estatísticas sobre os seus padrões de tráfego.
- Use o Cloud IDS para recolher estatísticas adicionais sobre o seu tráfego.
Fiabilidade
A lista seguinte descreve as considerações de fiabilidade para esta arquitetura de referência:
- Para ter uma disponibilidade de 99,99% para o Cloud Interconnect, tem de estabelecer ligação a duas Google Cloud regiões diferentes.
- Para melhorar a fiabilidade e minimizar a exposição a falhas regionais, pode distribuir cargas de trabalho e outros recursos da nuvem por várias regiões.
- Para processar o tráfego esperado, crie um número suficiente de túneis de VPN. Os túneis de VPN individuais têm limites de largura de banda.
Otimização do desempenho
A lista seguinte descreve as considerações de desempenho para esta arquitetura de referência:
- Pode melhorar o desempenho da rede aumentando a unidade de transmissão máxima (MTU) das suas redes e ligações. Para mais informações, consulte o artigo Unidade de transmissão máxima.
- A comunicação entre a VPC de trânsito e os recursos de carga de trabalho é feita através do intercâmbio das redes da VPC, que oferece débito de taxa de linha total para todas as VMs na rede sem custos adicionais. Considere as quotas e os limites da interligação de redes VPC quando planear a implementação. Tem várias opções para ligar a sua rede externa à rede de trânsito. Para mais informações sobre como equilibrar as considerações de custo e desempenho, consulte o artigo Escolher um produto de conetividade de rede.
Implementação
A arquitetura neste documento cria três conjuntos de ligações a uma rede VPC de trânsito central, além de uma ligação diferente entre redes VPC de carga de trabalho. Depois de todas as ligações estarem totalmente configuradas, todas as redes na implementação podem comunicar com todas as outras redes.
Esta implementação pressupõe que está a criar ligações entre as redes externas e de trânsito em duas regiões. No entanto, as sub-redes de cargas de trabalho podem estar em qualquer região. Se estiver a colocar cargas de trabalho apenas numa região, só precisa de criar sub-redes nessa região.
Para implementar esta arquitetura de referência, conclua as seguintes tarefas:
- Identifique regiões para colocar a conetividade e as cargas de trabalho
- Crie as suas redes e sub-redes de VPC
- Crie ligações entre redes externas e a sua rede da VPC de trânsito
- Crie ligações entre a sua rede VPC de trânsito e as redes VPC de acesso aos serviços
- Crie ligações entre a sua rede VPC de trânsito e as redes VPC de cargas de trabalho
- Ligue as redes VPC da carga de trabalho
- Teste a conetividade com cargas de trabalho
Identifique regiões para colocar a conetividade e as cargas de trabalho
Em geral, é recomendável colocar a conetividade e as Google Cloud cargas de trabalho próximas das suas redes nas instalações ou de outros clientes na nuvem. Para mais informações sobre a colocação de cargas de trabalho, consulte o Google Cloud seletor de regiões e as práticas recomendadas para a seleção de regiões do Compute Engine.
Crie as suas redes e sub-redes de VPC
Para criar as suas redes VPC e sub-redes, conclua as seguintes tarefas:
- Crie ou identifique os projetos onde vai criar as suas redes VPC. Para orientações, consulte o artigo Segmentação de rede e estrutura do projeto. Se pretender usar redes de VPC partilhada, aprovisione os seus projetos como projetos anfitriões de VPC partilhada.
- Planeie as atribuições de endereços IP para as suas redes. Pode pré-atribuir e reservar os seus intervalos criando intervalos internos. A atribuição de blocos de endereços que podem ser agregados simplifica a configuração e as operações posteriores.
- Crie uma VPC de rede de trânsito com o encaminhamento global ativado.
- Crie redes de VPC de serviço. Se tiver cargas de trabalho em várias regiões, ative o encaminhamento global.
- Crie redes VPC de cargas de trabalho. Se tiver cargas de trabalho em várias regiões, ative o encaminhamento global.
Crie ligações entre redes externas e a sua rede de VPC de trânsito
Esta secção pressupõe a conetividade em duas regiões e que as localizações externas estão ligadas e podem fazer failover entre si. Também pressupõe que existe uma preferência para que os clientes na localização externa A alcancem os serviços na região A e assim sucessivamente.
- Configure a conetividade entre as redes externas e a sua rede de trânsito. Para compreender como abordar esta questão, consulte o artigo Conetividade externa e híbrida. Para receber orientações sobre a escolha de um produto de conetividade, consulte o artigo Escolher um produto de conetividade de rede.
- Configure o BGP em cada região ligada da seguinte forma:
- Configure o router na localização externa indicada da seguinte forma:
- Anuncie todas as sub-redes para essa localização externa usando o mesmo BGP MED em ambas as interfaces, como 100. Se ambas as interfaces anunciarem o mesmo MED, pode usar o ECMP para equilibrar a carga do tráfego em ambas as ligações. Google Cloud
- Anunciar todas as sub-redes da outra localização externa através de um MED de prioridade inferior ao da primeira região, como 200. Anunciar o mesmo MED a partir de ambas as interfaces.
- Configure o Cloud Router virado para o exterior na VPC de trânsito da região associada da seguinte forma:
- Defina o ASN do router na nuvem como 16550.
- Usando anúncios de rotas personalizadas, anuncie todos os intervalos de sub-redes de todas as regiões através das interfaces do Cloud Router orientadas para o exterior. Agregue-os, se possível. Use o mesmo MED em ambas as interfaces, como 100.
- Configure o router na localização externa indicada da seguinte forma:
Crie ligações entre a sua rede VPC de trânsito e as redes VPC de acesso aos serviços
Para fornecer encaminhamento transitivo entre redes externas e a VPC de acesso aos serviços, e entre VPCs de cargas de trabalho e a VPC de acesso aos serviços, a VPC de acesso aos serviços usa a VPN de alta disponibilidade para a conetividade.
- Estime a quantidade de tráfego que tem de viajar entre as VPCs de trânsito e de acesso aos serviços em cada região. Aumente o número esperado de túneis em conformidade.
- Configure a VPN de alta disponibilidade entre a VPC de trânsito e a VPC de acesso aos serviços na região A através das instruções em Crie gateways de VPN de alta disponibilidade para ligar redes VPC. Crie um Cloud Router de VPN de alta disponibilidade dedicado na rede de trânsito. Deixe o router virado para a rede externa para ligações de rede externa.
- Configuração do Cloud Router da VPC de trânsito:
- Para anunciar sub-redes de VPC de carga de trabalho e de rede externa à VPC de acesso aos serviços, use anúncios de rotas personalizadas na Cloud Router na VPC de trânsito.
- Configuração do Cloud Router da VPC de acesso a serviços:
- Para anunciar sub-redes VPC de acesso a serviços à VPC de trânsito, use anúncios de rotas personalizadas no Cloud Router da VPC de acesso a serviços.
- Se usar o acesso a serviços privados para associar uma VPC de serviços geridos à VPC de acesso a serviços, use rotas personalizadas para anunciar também essas sub-redes.
- Configuração do Cloud Router da VPC de trânsito:
- Se associar uma VPC de serviços geridos à VPC de acesso a serviços através do acesso a serviços privados, depois de estabelecer a ligação de interligação de redes VPC, atualize o lado da VPC de acesso a serviços da ligação de interligação de redes VPC para exportar rotas personalizadas.
Crie ligações entre a sua rede VPC de trânsito e as redes VPC de cargas de trabalho
Crie ligações de intercâmbio da rede da VPC entre a VPC de trânsito e cada uma das VPCs de carga de trabalho:
- Ative a opção Exportar encaminhamentos personalizados para o lado da VPC de trânsito de cada associação.
- Ative a opção Importar encaminhamentos personalizados no lado da VPC da carga de trabalho de cada ligação.
- No cenário predefinido, apenas os encaminhamentos de sub-redes da VPC de carga de trabalho são exportados para a VPC de trânsito. Não precisa de exportar rotas personalizadas das VPCs da carga de trabalho.
Ligue as redes VPC da carga de trabalho
Ligue as redes VPC da carga de trabalho através de raios da VPC do Network Connectivity Center. Torne todos os raios parte do mesmo grupo de pares de raios do Network Connectivity Center. Use um grupo de pares principal para permitir a comunicação de malha completa entre as VPCs.
A ligação do Network Connectivity Center anuncia rotas específicas entre as redes VPC de cargas de trabalho. O tráfego entre estas redes segue essas rotas.
Teste a conetividade com cargas de trabalho
Se já tiver cargas de trabalho implementadas nas suas redes VPC, teste o acesso às mesmas agora. Se associou as redes antes de implementar cargas de trabalho, pode implementá-las agora e testar.
O que se segue?
- Saiba mais sobre os Google Cloud produtos usados neste guia de design:
- Para ver mais arquiteturas de referência, diagramas e práticas recomendadas, explore o Centro de arquitetura na nuvem.
Colaboradores
Autores:
- Deepak Michael | Customer Engineer especialista em redes
- Victor Moreno | Gestor de produtos, redes na nuvem
- Osvaldo Costa | Customer Engineer especialista em redes
Outros colaboradores:
- Mark Schlagenhauf | Redator técnico, redes
- Ammett Williams | Developer Relations Engineer
- Ghaleb Al-habian | Especialista em redes