Este documento fornece uma arquitetura de referência que pode ser usada para implantar uma rede entre nuvens com topologia hub-and-spoke no Google Cloud. Esse design de rede permite a implantação de serviços de software no Google Cloud e redes externas, como data centers locais ou outros provedores de serviços em nuvem (CSPs, na sigla em inglês).
Esse design oferece suporte a várias conexões externas, várias redes de nuvem privada virtual (VPC) de acesso a serviços e várias redes VPC de carga de trabalho.
O público-alvo deste documento são administradores de rede que criam conectividade de rede e arquitetos de nuvem que planejam como as cargas de trabalho são implantadas. No documento, pressupomos que você tenha uma compreensão básica de roteamento e conectividade de Internet.
Arquitetura
O diagrama a seguir mostra uma visão geral da arquitetura das redes e os quatro fluxos de pacotes compatíveis com essa arquitetura.
A arquitetura contém os seguintes elementos de alto nível:
| Componente | Finalidade | Interações |
|---|---|---|
| Redes externas (no local ou em outra rede CSP) | Hospeda os clientes de cargas de trabalho executadas nas VPCs de carga de trabalho e nas VPCs de acesso a serviços. As redes externas também podem hospedar serviços. | Troca dados com as redes de nuvem privada virtual do Google Cloudpela rede de trânsito. Conecta-se à rede de trânsito usando o Cloud Interconnect ou VPN de alta disponibilidade. Encerra uma das extremidades dos seguintes fluxos:
|
| Rede VPC de trânsito | Funciona como um hub para a rede externa, a rede VPC de acesso a serviços e as redes VPC de workloads. | Conecta a rede externa, a rede VPC de acesso a serviços e as redes VPC de carga de trabalho usando uma combinação de Cloud Interconnect, VPN de alta disponibilidade e peering de rede VPC. |
| Rede VPC de acesso a serviços | Fornece acesso a serviços necessários para cargas de trabalho executadas nas redes VPC ou externas da carga de trabalho. Também fornece pontos de acesso a serviços gerenciados hospedados em outras redes. | Troca dados com as redes externas e de carga de trabalho pela rede de trânsito. Conecta-se à VPC de trânsito usando a VPN de alta disponibilidade. O roteamento transitivo fornecido pela VPN de alta disponibilidade permite que o tráfego externo acesse VPCs de serviços gerenciados pela rede VPC de acesso a serviços. Encerra uma das extremidades dos seguintes fluxos:
|
| Rede VPC de serviços gerenciados | Hospeda serviços gerenciados necessários por clientes em outras redes. | Troca dados com as redes externas, de acesso a serviços e de carga de trabalho. Conecta-se à rede VPC de acesso a serviços usando o acesso a serviços particulares, que usa o peering de rede VPC ou o Private Service Connect. Encerra uma das extremidades dos fluxos de todas as outras redes. |
| Redes VPC de carga de trabalho | Hospeda cargas de trabalho necessárias por clientes em outras redes. | Troca dados com as redes VPC externas e de acesso a serviços pela rede VPC de trânsito. Conecta-se à rede de trânsito usando o peering de rede VPC. Conecta-se a outras redes VPC de workloads usando spokes VPC do Network Connectivity Center. Encerra uma das extremidades dos seguintes fluxos:
|
O diagrama a seguir mostra uma visão detalhada da arquitetura que destaca as quatro conexões entre as redes:
Descrições das conexões
Esta seção descreve as quatro conexões mostradas no diagrama anterior.
Conexão 1: entre redes externas e a rede VPC de trânsito
Essa conexão entre redes externas e redes VPC de trânsito acontece pelo Cloud Interconnect ou pela VPN de alta disponibilidade. As rotas são trocadas usando o BGP entre os Cloud Routers na rede VPC de trânsito e os roteadores externos na rede externa.
- Os roteadores em redes externas anunciam as rotas de sub-redes externas para os Cloud Routers da VPC de trânsito. Em geral, os roteadores externos em um determinado local anunciam rotas do mesmo local externo como mais preferidos do que rotas para outros locais externos. A preferência das rotas pode ser expressa usando métricas e atributos do BGP.
- Os Cloud Routers na rede VPC de trânsito anunciam rotas de prefixos nas VPCs do Google Cloudpara as redes externas. Essas rotas precisam ser anunciadas usando anúncios de rota personalizados do Cloud Router.
Conexão 2: entre redes VPC de trânsito e redes VPC de acesso a serviços
Essa conexão entre redes VPC de trânsito e redes VPC de acesso a serviços acontece por meio de VPN de alta disponibilidade com túneis separados para cada região. As rotas são trocadas usando o BGP entre os Cloud Routers regionais nas redes VPC de trânsito e nas redes VPC de acesso a serviços.
- Os Cloud Routers do Transit VPC HA VPN anunciam rotas para prefixos de rede externos, VPCs de workload e outras VPCs de acesso a serviços para o Cloud Router de acesso a serviços. Essas rotas precisam ser anunciadas usando anúncios de rota personalizada do Cloud Router.
- A rede VPC de acesso a serviços anuncia as sub-redes e as sub-redes de qualquer rede VPC de serviços gerenciados anexada à rede VPC de trânsito. As rotas de VPC de serviços gerenciados e as rotas de sub-rede de acesso à VPC precisam ser anunciadas usando divulgações de rota personalizadas do Cloud Router.
Conexão 3: entre redes VPC de trânsito e redes VPC de carga de trabalho
Essa conexão entre redes VPC de trânsito e redes VPC de carga de trabalho é implementada no peering de VPC. As sub-redes e as rotas de prefixo são trocadas usando mecanismos de peering da VPC. Essa conexão permite a comunicação entre as redes VPC de workloads e as outras redes conectadas à rede VPC de trânsito, incluindo as redes externas e as redes VPC de acesso a serviços.
- A rede VPC de trânsito usa o peering de rede VPC para exportar rotas personalizadas. Essas rotas personalizadas incluem todas as rotas dinâmicas que foram aprendidas pela rede VPC de trânsito. As redes VPC da carga de trabalho importam essas rotas personalizadas.
- A rede VPC da carga de trabalho exporta sub-redes automaticamente para a rede VPC de trânsito. Nenhuma rota personalizada é exportada das VPCs de carga de trabalho para a VPC de trânsito.
Conexão 4: entre redes VPC de carga de trabalho
- As redes VPC de workloads podem ser conectadas usando spokes VPC do Network Connectivity Center. Essa é uma configuração opcional. Você pode omitir esse valor se não quiser que as redes VPC de carga de trabalho se comuniquem entre si.
Fluxos de tráfego
O diagrama a seguir mostra os quatro fluxos ativados por essa arquitetura de referência.
A tabela a seguir descreve os fluxos no diagrama:
| Origem | Destino | Descrição |
|---|---|---|
| Rede externa | Rede VPC de acesso a serviços |
|
| Rede VPC de acesso a serviços | Rede externa |
|
| Rede externa | Rede VPC de carga de trabalho |
|
| Rede VPC de carga de trabalho | Rede externa |
|
| Rede VPC de carga de trabalho | Rede VPC de acesso a serviços |
|
| Rede VPC de acesso a serviços | Rede VPC de carga de trabalho |
|
| Rede VPC de carga de trabalho | Rede VPC de carga de trabalho | O tráfego que sai de uma VPC de workload segue a rota mais específica para a outra VPC de workload pelo Network Connectivity Center. O tráfego de retorno inverte esse caminho. |
Produtos usados
Esta arquitetura de referência usa os seguintes produtos do Google Cloud :
- Nuvem privada virtual (VPC, na sigla em inglês): um sistema virtual que oferece funcionalidades de rede globais e escalonáveis para suas cargas de trabalho do Google Cloud . A VPC inclui peering de rede VPC, Private Service Connect, acesso a serviços particulares e VPC compartilhada.
- Network Connectivity Center: um framework de orquestração que simplifica a conectividade de rede entre recursos spoke conectados a um recurso de gerenciamento central chamado de hub.
- Cloud Interconnect: um serviço que estende sua rede externa para a rede do Google por meio de uma conexão de alta disponibilidade e baixa latência.
- Cloud VPN: um serviço que estende com segurança sua rede de pareamento para a rede do Google por um túnel de VPN IPsec.
- Cloud Router: uma oferta distribuída e totalmente gerenciada que oferece recursos de locutor e de resposta do protocolo de gateway de borda (BGP). O Cloud Router funciona com o Cloud Interconnect, o Cloud VPN e os roteadores para criar rotas dinâmicas em redes VPC com base em rotas aprendidas personalizadas e recebidas pelo BGP.
Considerações sobre o design
Esta seção descreve os fatores de design, as práticas recomendadas e as recomendações de design que você precisa considerar ao usar essa arquitetura de referência para desenvolver uma topologia que atenda aos seus requisitos específicos de segurança, confiabilidade e desempenho.
Segurança e compliance
A lista a seguir descreve as considerações de segurança e compliance para esta arquitetura de referência:
- Por motivos de compliance, talvez você queira implantar cargas de trabalho apenas em uma região. Se você quiser manter todo o tráfego em uma única região, use uma topologia de 99,9%. Para mais informações, consulte Estabelecer 99,9% de disponibilidade para a Interconexão dedicada e Estabelecer 99,9% de disponibilidade para a Interconexão por parceiro.
- Use o Cloud Next Generation Firewall para proteger o tráfego que entra e sai das redes VPC de acesso a serviços e de carga de trabalho. Para proteger o tráfego que passa entre redes externas e a rede de trânsito, use firewalls externos ou NVA.
- Ative a geração de registros e o monitoramento de acordo com suas necessidades de tráfego e conformidade. Use os registros de fluxo de VPC para ter insights sobre seus padrões de tráfego.
- Use o Cloud IDS para coletar mais insights sobre seu tráfego.
Confiabilidade
A lista a seguir descreve as considerações de confiabilidade para esta arquitetura de referência:
- Para ter disponibilidade de 99,99% no Cloud Interconnect, conecte-se a duas regiões diferentes do Google Cloud .
- Para melhorar a confiabilidade e minimizar a exposição a falhas regionais, é possível distribuir cargas de trabalho e outros recursos da nuvem entre as regiões.
- Para processar o tráfego esperado, crie um número suficiente de túneis VPN. Os túneis VPN individuais têm limites de largura de banda.
Otimização de desempenho
A lista a seguir descreve as considerações de desempenho para esta arquitetura de referência:
- É possível melhorar o desempenho da rede aumentando a unidade de transmissão máxima (MTU, na sigla em inglês) das suas redes e conexões. Para mais informações, consulte Unidade de transmissão máxima.
- A comunicação entre a VPC de trânsito e os recursos de carga de trabalho é feita pelo peering de rede VPC, que fornece throughput de taxa de linha total para todas as VMs na rede sem custo extra. Considere as cotas e os limites de peering de rede VPC ao planejar sua implantação. Você tem várias opções para conectar sua rede externa à rede de transporte público. Para mais informações sobre como equilibrar as considerações de custo e desempenho, consulte Como escolher um produto de conectividade de rede.
Implantação
A arquitetura neste documento cria três conjuntos de conexões para uma rede VPC de trânsito central e uma conexão diferente entre redes VPC de carga de trabalho. Depois que todas as conexões são totalmente configuradas, todas as redes na implantação podem se comunicar com todas as outras.
Esta implantação pressupõe que você está criando conexões entre as redes externa e de trânsito em duas regiões. No entanto, as sub-redes de carga de trabalho podem estar em qualquer região. Se você estiver colocando cargas de trabalho em apenas uma região, só precisará criar sub-redes nesta região.
Para implantar essa arquitetura de referência, conclua as seguintes tarefas:
- Identificar regiões para colocar conectividade e cargas de trabalho
- Criar redes e sub-redes VPC
- Criar conexões entre redes externas e a rede VPC de trânsito
- Criar conexões entre a rede VPC de trânsito e as redes VPC de acesso a serviços
- Criar conexões entre a rede VPC de trânsito e as redes VPC de workload
- Conectar suas redes VPC de workloads
- Testar a conectividade com cargas de trabalho
Identificar regiões para colocar conectividade e cargas de trabalho
Em geral, é recomendável colocar a conectividade e as cargas de trabalho do Google Cloud perto das redes locais ou de outros clientes de nuvem. Para mais informações sobre como posicionar cargas de trabalho, consulte Google Cloud Seletor de regiões e Práticas recomendadas para seleção de regiões do Compute Engine.
Criar as redes e sub-redes da VPC
Para criar redes e sub-redes da VPC, conclua as seguintes tarefas:
- Crie ou identifique os projetos em que você vai criar suas redes VPC. Para orientações, consulte Segmentação de rede e estrutura do projeto. Se você pretende usar redes VPC compartilhada, provisione seus projetos como projetos host da VPC compartilhada.
- Planeje as alocações de endereços IP para suas redes. É possível pré-alocar e reservar seus intervalos criando intervalos internos. A alocação de blocos de endereço que podem ser agregados torna a configuração e as operações mais simples.
- Crie uma VPC de rede de trânsito com o roteamento global ativado.
- Crie redes VPC de serviço. Se você tiver cargas de trabalho em várias regiões, ative o roteamento global.
- Crie redes VPC de workloads. Se você tiver cargas de trabalho em várias regiões, ative o roteamento global.
Criar conexões entre redes externas e sua rede VPC de trânsito
Esta seção pressupõe conectividade em duas regiões e que os locais externos estejam conectados e possam ser transferidos entre si. Ele também pressupõe que há uma preferência para que clientes no local externo A acessem serviços na região A e assim por diante.
- Configure a conectividade entre as redes externas e a rede de trânsito. Para entender como pensar sobre isso, consulte Conectividade externa e híbrida. Para orientações sobre como escolher um produto de conectividade, consulte Como escolher um produto de conectividade de rede.
- Configure o BGP em
cada região conectada da seguinte maneira:
- Configure o roteador no local externo especificado da seguinte maneira:
- Anuncie todas as sub-redes para esse local externo usando o mesmo MED do BGP nas duas interfaces, como 100. Se as duas interfaces anunciarem o mesmo MED, o Google Cloud poderá usar ECMP para balancear o tráfego entre as duas conexões.
- Anuncie todas as sub-redes do outro local externo usando um MED de prioridade mais baixa do que o da primeira região, como 200. Anunciar o mesmo MED nas duas interfaces.
- Configure o Cloud Router voltado para a rede externa na VPC de trânsito da região conectada da seguinte maneira:
- Defina o ASN do Cloud Router como 16550.
- Usando anúncios de rota personalizados, anuncie todos os intervalos de sub-redes de todas as regiões nas duas interfaces externas do Cloud Router. Agrupe-os, se possível. Use o mesmo MED nas duas interfaces, por exemplo, 100.
- Configure o roteador no local externo especificado da seguinte maneira:
Criar conexões entre a rede VPC de trânsito e as redes VPC de acesso a serviços
Para fornecer roteamento transitivo entre redes externas e a VPC de acesso a serviços e entre VPCs de carga de trabalho e a VPC de acesso a serviços, a VPC de acesso a serviços usa a VPN de alta disponibilidade para conectividade.
- Faça uma estimativa de quanto tráfego precisa ser transmitido entre as VPCs de trânsito e de acesso a serviços em cada região. Ajuste o número esperado de túneis de acordo.
- Configure a VPN de alta disponibilidade entre a VPC de trânsito e a VPC de acesso a serviços na região A usando as instruções em Criar gateways de VPN de alta disponibilidade para conectar redes VPC. Crie um
Cloud Router de VPN de alta disponibilidade dedicado na rede de trânsito. Deixe o roteador voltado para a rede externa para conexões de rede
externa.
- Configuração do Cloud Router da VPC de trânsito:
- Para anunciar sub-redes de rede externa e VPC de carga de trabalho para a VPC de acesso a serviços, use divulgações de rota personalizadas no Cloud Router na VPC de trânsito.
- Configuração do Cloud Router da VPC de acesso a serviços:
- Para anunciar sub-redes de acesso a serviços da VPC para a VPC de trânsito, use anúncios de rota personalizados no Cloud Router da VPC de acesso a serviços.
- Se você usar o acesso a serviços particulares para conectar uma VPC de serviços gerenciados à VPC de acesso a serviços, use rotas personalizadas para anunciar essas sub-redes também.
- Configuração do Cloud Router da VPC de trânsito:
- Se você conectar uma VPC de serviços gerenciados à VPC de acesso a serviços usando o acesso a serviços particulares, depois que a conexão de peering de rede da VPC for estabelecida, atualize o lado da VPC de acesso a serviços da conexão de peering de rede da VPC para exportar rotas personalizadas.
Criar conexões entre a rede VPC de trânsito e as redes VPC de workloads
Crie conexões de peering de rede VPC entre a VPC de trânsito e cada uma das VPCs de carga de trabalho:
- Ative a opção Exportar rotas personalizadas para o lado da VPC de trânsito de cada conexão.
- Ative a opção Import custom routes para a VPC da carga de trabalho de cada conexão.
- No cenário padrão, apenas as rotas de sub-rede da VPC da carga de trabalho são exportadas para a VPC de trânsito. Não é necessário exportar rotas personalizadas das VPCs de carga de trabalho.
Conectar suas redes VPC de workloads
Conecte as redes VPC de workloads usando sedes VPC do Network Connectivity Center. Inclua todos os spokes no mesmo grupo de pares de spokes do Network Connectivity Center. Use um grupo de pares principal para permitir a comunicação de malha completa entre as VPCs.
A conexão do Network Connectivity Center anuncia rotas específicas entre as redes VPC de carga de trabalho. O tráfego entre essas redes segue essas rotas.
Testar a conectividade com as cargas de trabalho
Se você já tiver implantado workloads nas suas redes VPC, teste o acesso a elas agora. Se você conectou as redes antes de implantar cargas de trabalho, é possível implantá-las agora e testar.
A seguir
- Saiba mais sobre os produtos do Google Cloud usados neste guia de design:
- Para mais arquiteturas de referência, diagramas e práticas recomendadas, confira a Central de arquitetura do Cloud.
Colaboradores
Autores:
- Deepak Michael | Engenheiro de clientes especialista em rede
- Victor Moreno | Gerente de produtos, Cloud Networking
- Osvaldo Costa | Engenheiro de clientes especialista em rede
Outros colaboradores:
- Mark Schlagenhauf | Redator técnico, Rede
- Ammett Williams | Engenheiro de relações com desenvolvedores
- Ghaleb Al-habian | Especialista em rede