Este documento fornece uma arquitetura de referência que pode ser usada para implantar uma rede entre nuvens com topologia hub and spoke em Google Cloud. Esse design de rede permite a implantação de serviços de software em Google Cloud e redes externas, como data centers locais ou outros provedores de serviços de nuvem (CSPs, na sigla em inglês).
Esse design oferece suporte a várias conexões externas, várias redes de nuvem privada virtual (VPC) de acesso a serviços e várias redes VPC de carga de trabalho.
O público-alvo deste documento são administradores de rede que criam conectividade de rede e arquitetos de nuvem que planejam como as cargas de trabalho são implantadas. O documento pressupõe que você tenha um conhecimento básico de roteamento e conectividade da Internet.
Arquitetura
O diagrama a seguir mostra uma visão geral da arquitetura das redes e os quatro fluxos de pacotes compatíveis com essa arquitetura.
A arquitetura contém os seguintes elementos de alto nível:
| Componente | Finalidade | Interações |
|---|---|---|
| Redes externas (local ou outra rede CSP) | Hospeda os clientes de cargas de trabalho executadas nas VPCs de carga de trabalho e nas VPCs de acesso a serviços. As redes externas também podem hospedar serviços. | Troca dados com as redes de nuvem privada virtual de Google Cloudpela rede de trânsito. Conecta-se à rede de trânsito usando o Cloud Interconnect ou a VPN de alta disponibilidade. Encerra uma das extremidades dos seguintes fluxos:
|
| Rede VPC de trânsito | Atuam como um hub para a rede externa, a rede VPC de acesso a serviços e as redes VPC de carga de trabalho. | Conecta a rede externa, a rede VPC de acesso a serviços e as redes VPC de carga de trabalho usando uma combinação do Cloud Interconnect, da VPN de alta disponibilidade e do peering de rede VPC. |
| Rede VPC de acesso a serviços | Fornece acesso a serviços necessários para cargas de trabalho executadas nas redes VPC ou externas. Também oferece pontos de acesso a serviços gerenciados hospedados em outras redes. | Troca dados com as redes externas e de carga de trabalho pela rede de trânsito. Conecta-se à VPC de trânsito usando a VPN de alta disponibilidade. O roteamento transitivo fornecido pela VPN de alta disponibilidade permite que o tráfego externo acesse as VPCs de serviços gerenciados pela rede VPC de acesso a serviços. Encerra uma das extremidades dos seguintes fluxos:
|
| Rede VPC de serviços gerenciados | Hospeda serviços gerenciados necessários por clientes em outras redes. | Troca dados com as redes externas, de acesso a serviços e de carga de trabalho. Conecta-se à rede VPC de acesso a serviços usando o acesso a serviços particulares, que usa o peering de rede VPC ou o Private Service Connect. Encerra uma das extremidades dos fluxos de todas as outras redes. |
| Redes VPC de carga de trabalho | Hospeda cargas de trabalho necessárias por clientes em outras redes. | Troca dados com as redes VPC externas e de acesso a serviços pela rede VPC de trânsito. Conecta-se à rede de trânsito usando o peering de rede VPC. Conecta-se a outras redes VPC de carga de trabalho usando spokes VPC do Network Connectivity Center. Encerra uma das extremidades dos seguintes fluxos:
|
O diagrama a seguir mostra uma visão detalhada da arquitetura que destaca as quatro conexões entre as redes:
Descrições das conexões
Esta seção descreve as quatro conexões mostradas no diagrama anterior.
Conexão 1: entre redes externas e a rede VPC de trânsito
Essa conexão entre redes externas e redes VPC de trânsito acontece pelo Cloud Interconnect ou pela VPN de alta disponibilidade. As rotas são trocadas usando o BGP entre os Cloud Routers na rede VPC de trânsito e os roteadores externos na rede externa.
- Os roteadores em redes externas anunciam as rotas para sub-redes externas para os Cloud Routers da VPC de trânsito. Em geral, os roteadores externos em um determinado local anunciam rotas do mesmo local externo como mais preferidos do que rotas para outros locais externos. A preferência das rotas pode ser expressa usando métricas e atributos do BGP.
- Os Cloud Routers na rede VPC de trânsito anunciam rotas para prefixos nas VPCs de Google Cloudpara as redes externas. Essas rotas precisam ser anunciadas usando os anúncios de rota personalizados do Cloud Router.
Conexão 2: entre redes VPC de trânsito e redes VPC de acesso a serviços
Essa conexão entre redes VPC de trânsito e redes VPC de acesso a serviços acontece por VPN de alta disponibilidade com túneis separados para cada região. As rotas são trocadas usando o BGP entre os Cloud Routers regionais nas redes VPC de trânsito e as redes VPC de acesso a serviços.
- Os Cloud Routers do Transit VPC HA VPN anunciam rotas para prefixos de rede externos, VPCs de workload e outras VPCs de acesso a serviços para o Cloud Router de acesso a serviços. Essas rotas precisam ser anunciadas usando anúncios de rota personalizados do Cloud Router.
- A rede VPC de acesso a serviços anuncia as sub-redes dela e as sub-redes de todas as redes VPC de serviços gerenciados anexadas à rede VPC de trânsito. As rotas de VPC de serviços gerenciados e as rotas de sub-rede VPC de acesso a serviços precisam ser anunciadas usando anúncios de rota personalizados do Cloud Router.
Conexão 3: entre redes VPC de trânsito e redes VPC de carga de trabalho
Essa conexão entre redes VPC de trânsito e redes VPC de carga de trabalho é implementada no peering de VPC. As sub-redes e as rotas de prefixo são trocadas usando mecanismos de peering da VPC. Essa conexão permite a comunicação entre as redes VPC de carga de trabalho e as outras redes conectadas à rede VPC de trânsito, incluindo as redes externas e as redes VPC de acesso a serviços.
- A rede VPC de trânsito usa o peering de rede VPC para exportar rotas personalizadas. Essas rotas personalizadas incluem todas as rotas dinâmicas que foram aprendidas pela rede VPC de trânsito. As redes VPC de carga de trabalho importam essas rotas personalizadas.
- A rede VPC de carga de trabalho exporta sub-redes automaticamente para a rede VPC de trânsito. Nenhuma rota personalizada é exportada das VPCs de carga de trabalho para a VPC de trânsito.
Conexão 4: entre redes VPC de carga de trabalho
- As redes VPC de carga de trabalho podem ser conectadas usando spees VPC do Network Connectivity Center. Essa é uma configuração opcional. Você pode omitir esse valor se não quiser que as redes VPC de carga de trabalho se comuniquem entre si.
Fluxos de tráfego
O diagrama a seguir mostra os quatro fluxos ativados por essa arquitetura de referência.
A tabela a seguir descreve os fluxos no diagrama:
| Origem | Destino | Descrição |
|---|---|---|
| Rede externa | Rede VPC de acesso a serviços |
|
| Rede VPC de acesso a serviços | Rede externa |
|
| Rede externa | Rede VPC de carga de trabalho |
|
| Rede VPC de carga de trabalho | Rede externa |
|
| Rede VPC de carga de trabalho | Rede VPC de acesso a serviços |
|
| Rede VPC de acesso a serviços | Rede VPC de carga de trabalho |
|
| Rede VPC de carga de trabalho | Rede VPC de carga de trabalho | O tráfego que sai de uma VPC de carga de trabalho segue a rota mais específica para a outra VPC de carga de trabalho pelo Network Connectivity Center. O tráfego de retorno inverte esse caminho. |
Produtos usados
Esta arquitetura de referência usa os seguintes Google Cloud produtos:
- Nuvem privada virtual (VPC): um sistema virtual que oferece funcionalidade de rede global e escalonável para suas cargas de trabalho Google Cloud . A VPC inclui peering de rede VPC, Private Service Connect, acesso a serviços particulares e VPC compartilhada.
- Network Connectivity Center: um framework de orquestração que simplifica a conectividade de rede entre recursos spoke conectados a um recurso de gerenciamento central chamado de hub.
- Cloud Interconnect: um serviço que estende sua rede externa para a rede do Google por meio de uma conexão de alta disponibilidade e baixa latência.
- Cloud VPN: um serviço que estende com segurança sua rede de peering para a rede do Google por um túnel de VPN IPsec.
- Cloud Router: uma oferta distribuída e totalmente gerenciada que oferece recursos de alto-falante e resposta do Border Gateway Protocol (BGP). O Cloud Router funciona com o Cloud Interconnect, o Cloud VPN e os roteadores para criar rotas dinâmicas em redes VPC com base em rotas recebidas pelo BGP e aprendidas de forma personalizada.
Considerações sobre o design
Esta seção descreve os fatores de design, as práticas recomendadas e as recomendações de design que você precisa considerar ao usar essa arquitetura de referência para desenvolver uma topologia que atenda aos seus requisitos específicos de segurança, confiabilidade e desempenho.
Segurança e compliance
A lista a seguir descreve as considerações de segurança e compliance para esta arquitetura de referência:
- Por motivos de conformidade, talvez você queira implantar cargas de trabalho apenas em uma região. Se você quiser manter todo o tráfego em uma única região, use uma topologia de 99,9%. Para mais informações, consulte Estabelecer 99,9% de disponibilidade para a Interconexão dedicada e Estabelecer 99,9% de disponibilidade para a Interconexão por parceiro.
- Use o Cloud Next Generation Firewall para proteger o tráfego que entra e sai das redes de VPC de acesso a serviços e de carga de trabalho. Para proteger o tráfego que passa entre redes externas e a rede de trânsito, é necessário usar firewalls externos ou NVA.
- Ative a geração de registros e o monitoramento de acordo com suas necessidades de tráfego e compliance. É possível usar os registros de fluxo de VPC para ter insights sobre seus padrões de tráfego.
- Use o Cloud IDS para coletar mais insights sobre seu tráfego.
Confiabilidade
A lista a seguir descreve as considerações de confiabilidade para esta arquitetura de referência:
- Para ter 99,99% de disponibilidade do Cloud Interconnect, conecte-se a duas regiões Google Cloud diferentes.
- Para melhorar a confiabilidade e minimizar a exposição a falhas regionais, é possível distribuir cargas de trabalho e outros recursos da nuvem entre regiões.
- Para processar o tráfego esperado, crie um número suficiente de túneis de VPN. Os túneis VPN individuais têm limites de largura de banda.
Otimização de desempenho
A lista a seguir descreve as considerações de desempenho para esta arquitetura de referência:
- É possível melhorar o desempenho da rede aumentando a unidade de transmissão máxima (MTU) das redes e conexões. Para mais informações, consulte Unidade de transmissão máxima.
- A comunicação entre a VPC de trânsito e os recursos de carga de trabalho é feita pelo peering de rede VPC, que oferece capacidade de processamento de taxa de linha total para todas as VMs na rede sem custo extra. Considere cotas e limites de peering de rede VPC ao planejar sua implantação. Você tem várias opções para conectar sua rede externa à rede de trânsito. Para mais informações sobre como equilibrar as considerações de custo e desempenho, consulte Como escolher um produto de conectividade de rede.
Implantação
A arquitetura neste documento cria três conjuntos de conexões para uma rede VPC de trânsito central e uma conexão diferente entre redes VPC de carga de trabalho. Depois que todas as conexões são totalmente configuradas, todas as redes na implantação podem se comunicar com todas as outras.
Esta implantação pressupõe que você está criando conexões entre as redes externa e de trânsito em duas regiões. No entanto, as sub-redes de carga de trabalho podem estar em qualquer região. Se você estiver colocando cargas de trabalho apenas em uma região, só precisará criar sub-redes nesta região.
Para implantar essa arquitetura de referência, conclua as seguintes tarefas:
- Identificar regiões para colocar conectividade e cargas de trabalho
- Criar redes e sub-redes VPC
- Criar conexões entre redes externas e a rede VPC de trânsito
- Criar conexões entre a rede VPC de trânsito e as redes VPC de acesso a serviços
- Criar conexões entre a rede VPC de trânsito e as redes VPC de carga de trabalho
- Conectar suas redes VPC de carga de trabalho
- Testar a conectividade com cargas de trabalho
Identificar regiões para colocar conectividade e cargas de trabalho
Em geral, é recomendável colocar a conectividade e as cargas de trabalho Google Cloud perto das redes locais ou de outros clientes de nuvem. Para mais informações sobre como colocar cargas de trabalho, consulte Google Cloud Seletor de região e Práticas recomendadas para a seleção de regiões do Compute Engine.
Criar redes e sub-redes VPC
Para criar as redes e sub-redes VPC, siga estas etapas:
- Crie ou identifique os projetos em que você vai criar suas redes VPC. Para orientações, consulte Segmentação de rede e estrutura do projeto. Se você pretende usar redes VPC compartilhada, provisione seus projetos como projetos host da VPC compartilhada.
- Planeje as alocações de endereço IP para suas redes. É possível pré-alocar e reservar seus intervalos criando intervalos internos. A alocação de blocos de endereço que podem ser agregados torna a configuração e as operações mais simples.
- Crie uma VPC de rede de trânsito com o roteamento global ativado.
- Crie redes VPC de serviço. Se você tiver cargas de trabalho em várias regiões, ative o roteamento global.
- Crie redes VPC de carga de trabalho. Se você tiver cargas de trabalho em várias regiões, ative o roteamento global.
Criar conexões entre redes externas e sua rede VPC de trânsito
Esta seção pressupõe conectividade em duas regiões e que os locais externos estejam conectados e possam falhar um para o outro. Também pressupõe que há uma preferência para que clientes no local externo A acessem serviços na região A e assim por diante.
- Configure a conectividade entre as redes externas e a rede de trânsito. Para entender como pensar sobre isso, consulte Conectividade externa e híbrida. Para orientações sobre como escolher um produto de conectividade, consulte Como escolher um produto de conectividade de rede.
- Configure o BGP em
cada região conectada da seguinte maneira:
- Configure o roteador no local externo especificado da seguinte maneira:
- Anuncie todas as sub-redes para esse local externo usando o mesmo MED do BGP nas duas interfaces, como 100. Se as duas interfaces anunciarem o mesmo MED, o Google Cloud poderá usar o ECMP para balancear a carga do tráfego nas duas conexões.
- Anuncie todas as sub-redes do outro local externo usando um MED de prioridade inferior ao da primeira região, como 200. Anunciar o mesmo MED nas duas interfaces.
- Configure o Cloud Router voltado para a rede externa na VPC de trânsito da região conectada da seguinte maneira:
- Defina o ASN do Cloud Router como 16550.
- Usando divulgações de rota personalizadas, divulgue todos os intervalos de sub-rede de todas as regiões nas duas interfaces externas do Cloud Router. Agrupe-os, se possível. Use o mesmo MED nas duas interfaces, por exemplo, 100.
- Configure o roteador no local externo especificado da seguinte maneira:
Criar conexões entre a rede VPC de trânsito e as redes VPC de acesso a serviços
Para fornecer roteamento transitivo entre redes externas e a VPC de acesso a serviços e entre VPCs de carga de trabalho e a VPC de acesso a serviços, a VPC de acesso a serviços usa a VPN de alta disponibilidade para conectividade.
- Avalie quanto tráfego precisa ser transmitido entre as VPCs de trânsito e de acesso a serviços em cada região. Ajuste o número esperado de túneis de acordo.
- Configure a VPN de alta disponibilidade entre a VPC de trânsito
e a VPC de acesso a serviços na região A usando as instruções
em Criar gateways de VPN de alta disponibilidade para conectar
redes VPC. Crie um Cloud Router de VPN de alta disponibilidade dedicado na rede de trânsito. Deixe o roteador voltado para a rede externa para conexões de rede
externa.
- Configuração do Cloud Router da VPC de trânsito:
- Para anunciar sub-redes VPC de rede externa e de carga de trabalho para a VPC de acesso a serviços, use divulgações de rota personalizadas no Cloud Router na VPC de trânsito.
- Configuração do Cloud Router da VPC de acesso a serviços:
- Para anunciar sub-redes VPC de acesso a serviços para a VPC de trânsito, use divulgações de rota personalizadas no Cloud Router da VPC de acesso a serviços.
- Se você usa o acesso a serviços particulares para conectar uma VPC de serviços gerenciados à VPC de acesso a serviços, use rotas personalizadas para anunciar essas sub-redes também.
- Configuração do Cloud Router da VPC de trânsito:
- Se você conectar uma VPC de serviços gerenciados à VPC de acesso a serviços usando o acesso a serviços particulares, depois que a conexão de peering de rede VPC for estabelecida, atualize o lado da VPC de acesso a serviços da conexão de peering de rede VPC para exportar rotas personalizadas.
Criar conexões entre a rede VPC de trânsito e as redes VPC de carga de trabalho
Crie conexões de peering de rede VPC entre a VPC de trânsito e cada uma das VPCs de carga de trabalho:
- Ative a opção Exportar rotas personalizadas para o lado da VPC de trânsito de cada conexão.
- Ative a opção Importar rotas personalizadas para a VPC da carga de trabalho de cada conexão.
- No cenário padrão, apenas as rotas de sub-rede da VPC da carga de trabalho são exportadas para a VPC de trânsito. Não é necessário exportar rotas personalizadas das VPCs de carga de trabalho.
Conectar as redes VPC de carga de trabalho
Conecte as redes VPC da carga de trabalho usando sedes VPC do Network Connectivity Center. Inclua todos os spokes no mesmo grupo de pares de spokes do Network Connectivity Center. Use um grupo de peering principal para permitir a comunicação de malha completa entre as VPCs.
A conexão do Network Connectivity Center anuncia rotas específicas entre as redes VPC de carga de trabalho. O tráfego entre essas redes segue essas rotas.
Testar a conectividade com cargas de trabalho
Se você já tiver cargas de trabalho implantadas nas suas redes VPC, teste o acesso a elas agora. Se você conectou as redes antes de implantar os workloads, é possível implantá-las agora e testar.
A seguir
- Saiba mais sobre os Google Cloud produtos usados neste guia de design:
- Para mais arquiteturas de referência, diagramas e práticas recomendadas, confira a Central de arquitetura do Cloud.
Colaboradores
Autores:
- Deepak Michael | Engenheiro de clientes especialista em rede
- Victor Moreno | Gerente de produtos, Cloud Networking
- Osvaldo Costa | Engenheiro de clientes especialista em rede
Outros colaboradores:
- Mark Schlagenhauf | Redator técnico, Rede
- Ammett Williams | Engenheiro de relações com desenvolvedores
- Ghaleb Al-habian | Especialista em rede