Google Cloud Platform para profissionais de data centers: rede

Neste artigo, descrevemos os serviços de rede do Google Cloud Platform, fazendo uma comparação com as tecnologias tradicionais de data centers. Além disso, apresentamos as diferenças entre os dois modelos de serviço e descrevemos em detalhes os recursos de rede VPC do Cloud Platform.

Comparação do modelo de serviço

Em um data center tradicional, você gerencia uma configuração de rede complexa composta de racks de servidores, dispositivos de armazenamento, diversas camadas de chaves, roteadores, balanceadores de carga, dispositivos de firewall e muito mais. Além desses componentes de hardware, é preciso configurar, manter e monitorar o software subjacente da rede, além das configurações detalhadas do dispositivo para o ambiente. E a sobrecarga gerencial não para por aí. Você também precisa se preocupar com a segurança e a disponibilidade de sua rede, bem como planejar as atualizações e expansões da rede, um processo longo e demorado.

Por outro lado, a infraestrutura de rede VPC do Cloud Platform é criada em torno de um modelo de rede definida por software (SDN, na sigla em inglês). Grande parte da sobrecarga gerencial e de manutenção mencionada acima é eliminada por esse modelo, o que lhe permite personalizar e escalonar os serviços mais rapidamente para atender às necessidades da crescente base de clientes.

Comparação de arquiteturas de data center e da rede VPC do Cloud Platform
Figura 1: comparação de arquiteturas de rede do data center e VPC do Cloud Platform

Os serviços de rede VPC do Cloud Platform são projetados para proporcionar:

Com o Cloud Platform, não é necessário gerenciar componentes de rede do data center físico. No entanto, muitos conceitos familiares de rede, incluindo sub-redes, rotas, regras de firewall, DNS, balanceamento de carga, VPN, NAT e DHCP continuam aplicáveis. O conhecimento prévio dessas áreas reduzirá a curva de aprendizado quando for preciso lidar com a rede VPC e ajudará a conduzir as práticas recomendadas no ambiente de nuvem.

Rede VPC

A rede VPC abrange as tecnologias de rede fundamentais do Cloud Platform, incluindo redes, sub-redes, endereços IP, rotas, firewalls, Cloud VPN e Cloud Router. Essa base permite criar instâncias de computação e contêineres que compartilham uma única rede VPC global e são adicionadas a sub-redes regionais. Com o Cloud Platform, você tem a flexibilidade de oferecer serviços de baixa latência em regiões e zonas próximas aos usuários finais e distribuir serviços por diversos domínios de falha de acordo com a disponibilidade.

Redes VPC

No Cloud Platform, uma rede VPC é um espaço de IP RFC 1918 particular, global. Como as redes VPC do Cloud Platform são globais por padrão, você não precisa mais conectar e gerenciar diversas redes privadas separadamente para alcançar disponibilidade global. Ao usar uma rede VPC global, as instâncias de máquina virtual (VM, na sigla em inglês) do Google Compute Engine são endereçadas na rede VPC pelo endereço IP e pelo nome, porque os nomes das instâncias de VM são rastreados automaticamente como nomes de host pelo DNS interno do Compute Engine.

Sub-redes

É possível usar sub-redes na rede VPC para agrupar as instâncias por região ou zona e controlar a segmentação dos espaços de endereço IP. Gerencie sub-redes próprias usando qualquer intervalo privado de IPs RFC 1918 ou use uma rede VPC de modo automático para criar automaticamente sub-redes em cada região do Cloud Platform. Os intervalos de IP entre sub-redes são dinamicamente expansíveis e não precisam ser contíguos.

Para controlar o isolamento entre sub-redes, adicione tags de instância a instâncias de VMs individuais ou a modelos de instância e configure as rotas e regras de firewall para usar essas tags.

 Redes VPC, sub-redes, regiões e zonas
Figura 2: redes VPC, sub-redes, regiões e zonas

Endereços IP

As instâncias são compatíveis com até dois endereços IP: um interno efêmero, usado para comunicação na rede VPC e um externo opcional, usado para comunicação fora da rede VPC. Por padrão, os endereços IP externos são efêmeros e estáticos em alguns casos. Para mais informações sobre como os endereços IP funcionam no Cloud Platform, veja Endereços IP.

Controle

O Cloud Platform oferece mecanismos robustos de controle que ajudam os administradores de segurança e rede de toda a organização a proteger os recursos, gerenciar as redes VPC e autorizar acesso a pontos de extremidade externos. No Cloud Platform, é possível usar papéis, firewalls e rotas do Cloud Identity and Access Management (Cloud IAM) que ajudam a implementar políticas e padrões para controlar e proteger suas redes VPC.

Cloud IAM específico de rede

O Cloud IAM fornece vários papéis relacionados à rede, incluindo administrador de rede, visualizador de rede, administrador de segurança e administrador de instâncias do Compute, para separar claramente o controle de recursos. Para mais informações sobre o Cloud IAM e o gerenciamento de identidades no Cloud Platform, veja o artigo Gerenciamento.

Firewalls

Semelhante à DMZ do data center, cada rede VPC tem um firewall que, por padrão, bloqueia todo o tráfego de entrada externo a essa rede para as instâncias. Permita esse acesso configurando as regras de firewall. Entretanto, ao contrário das DMZs tradicionais, os firewalls do Cloud Platform são distribuídos globalmente para ajudar a evitar problemas relacionados ao escalonamento do tráfego.

Por padrão, as regras de firewall são aplicadas a toda a rede VPC. No entanto, é possível aplicar uma regra de firewall a um conjunto de instâncias. Basta adicionar uma tag específica a instâncias e aplicar a regra de firewall a instâncias com essa tag. Use também as regras de firewall para controlar o tráfego interno entre instâncias, definindo um conjunto de máquinas de origem permitidas na regra.

Rotas

Rotas, ou regras de encaminhamento de tráfego, são recursos globais vinculados a uma única rede VPC. Elas são aplicáveis a uma ou mais instâncias na rede VPC, incluindo tags de instância de destino ao criar essas rotas. Com isso, as rotas são adicionadas a todas as instâncias que também usam as tags.

Ao inicializar o Compute Engine ou criar uma nova rede VPC, determinadas rotas são criadas automaticamente por padrão. É possível também pode adicionar rotas criadas pelo usuário a uma rede VPC, conforme necessário. Por exemplo, é possível adicionar uma rota que encaminhe o tráfego de uma instância para outra na mesma rede VPC, mesmo entre sub-redes, sem a necessidade de endereços IP externos.

Ao configurar sub-redes em uma rede VPC, o GCP cria rotas entre as sub-redes por padrão. Contudo, a menos que você esteja usando a rede VPC default, é necessário criar regras de firewall para permitir o tráfego entre as instâncias na rede VPC.

As rotas também permitem a implementação de funções de rede mais avançadas nas instâncias de VM. Por exemplo, a configuração de NAT muitos para um e proxies transparentes. As rotas padrão são projetadas para que a rede VPC saiba como enviar tráfego para a Internet e para todas as instâncias criadas.

Escalonamento

Em ambientes de data centers tradicionais, os balanceadores de carga criam complexidade operacional e geralmente não têm escalabilidade global. Para permitir a escalabilidade e a disponibilidade dos serviços, use o Cloud Load Balancing, que distribui os recursos de computação por trás de um único IP anycast global. O Cloud Load Balancing é compatível com balanceamento de carga HTTP(S), TCP/SSL e UDP, além do descarregamento de SSL, da afinidade da sessão, das verificações de integridade e da geração de registros.

Balanceamento de carga da camada 7

O balanceamento de carga HTTP(S) da camada 7 faz automaticamente o balanceamento de tráfego entre as regiões, direcionando o tráfego para as instâncias mais próximas e afastando-o de instâncias não íntegras. Com ele, você também adiciona o balanceamento de carga com base em conteúdo para distribuir o tráfego a instâncias otimizadas para conteúdo específico, como vídeo. Para ajudar a reduzir a latência e a melhorar o desempenho dos usuários, combine o Cloud CDN, serviço de rede de distribuição de conteúdo do Cloud Platform, com o balanceamento de carga HTTP(S).

Balanceamento de carga entre regiões
Figura 3: balanceamento de carga entre regiões

Balanceamento de carga da camada 4

O balanceamento de carga de rede da camada 4 também está disponível sempre que os serviços TCP/UDP requerem outras instâncias para picos de tráfego. Com o balanceamento de carga de rede, é possível balancear a carga de outros protocolos, como o tráfego SMTP, adicionar afinidade de sessão e inspecionar pacotes. O proxy SSL oferece encerramento de SSL para tráfego não HTTPS com balanceamento de carga. Já o descarregamento de SSL permite gerenciar os certificados SSL e a descriptografia de modo centralizado, desobrigando as instâncias desse trabalho que consome muito do processador.

Balanceamento de carga de rede
Figura 4: balanceamento de carga de rede

Escalonamento automático

A base do balanceamento de carga é o escalonamento automático do Compute Engine, que adiciona e remove automaticamente as instâncias de um grupo de instâncias de acordo com a política de escalonamento automático. Escolha uma das políticas de escalonamento automático predefinidas do autoescalador ou defina uma política personalizada com base nas métricas do Stackdriver Monitoring.

Google Cloud DNS

Use o Google Cloud DNS para disponibilizar seus aplicativos e serviços globalmente para usuários com disponibilidade muito alta e baixa latência. O Cloud DNS escalona para grandes números de zonas DNS e registros, assim você pode criar e atualizar, de maneira confiável, milhões de registros de DNS.

Conectividade

Se estiver criando uma arquitetura híbrida, em que manterá alguns recursos no Cloud Platform e outros em outro lugar, o Cloud Platform oferece várias maneiras de integração com seu ambiente externo.

Cloud VPN

O serviço gerenciado do Cloud VPN permite que os dados da nuvem particular sejam alimentados nos serviços hospedados pelo Cloud Platform por meio de túneis IPSec seguros. Cada gateway do Cloud VPN pode sustentar até 1,5 Gbps nesses túneis. Para orientações sobre como configurar o Cloud VPN, consulte os guias de interoperabilidade do Cloud VPN.

Google Cloud Router

À medida que você expande suas sub-redes de nuvem, cria aplicativos de nuvem adicionais ou faz alterações nas sub-redes de nuvem privada, é possível usar o Cloud Router para descobrir e anunciar automaticamente suas alterações de rede. O Cloud Router é compatível com vários túneis VPN por meio de roteamento de ECMP ou configuração principal/de backup. Os eventos do Cloud Router, do BGP e de rota são exibidos no Stackdriver Logging. O Cloud Router publica métricas no Stackdriver Monitoring.

Arquitetura de rede híbrida
Figura 5: arquitetura de rede híbrida

Cloud Interconnect

Para clientes que exigem uma conexão de categoria corporativa com maior disponibilidade e menor latência do que as conexões que já têm, o Cloud Platform oferece o Cloud Interconnect. Seu tráfego de rede será encaminhado diretamente para o Cloud Platform, evitando tráfego desnecessário por redes de terceiros. O Cloud Interconnect oferece os seguintes serviços:

  • Serviços de peering de operadora, que são fornecidos por meio de um grupo de parceiros provedores de serviços.
  • Serviços de peering direto. É possível parear com o Google em qualquer um de seus mais de 70 locais de pareamento para alternar o tráfego da nuvem de alta capacidade, desde que você encontre o Google no local de pareamento e atenda aos requisitos exigidos por ele.
  • Interconexão de CDN, que permite que determinados provedores estabeleçam links diretos de interconexão com a rede do ponto de extremidade do Google. Essa conexão de ponto de extremidade permite otimizar o tráfego e armazenar grandes arquivos de dados em cache perto dos usuários, além de reduzir a latência do acesso para o conteúdo atualizado com frequência.

Desempenho

O tráfego de saída de determinada instância de VM está sujeito a limites máximos de capacidade de saída da rede. Esses limites são dependentes do número de vCPUs que a instância de VM tem. Cada vCPU está sujeita a um limite de 2 Gbps para o máximo desempenho. Cada vCPU adicional aumenta o limite de rede, até um máximo teórico de 32 Gbps para cada instância. O desempenho real percebido varia de acordo com a carga de trabalho. Todos os limites significam o máximo desempenho possível, e não o desempenho mantido.

Para medir o desempenho do Cloud Platform e de outras ofertas de nuvem em relação ao desempenho do ambiente nativo do data center, use o PerfKit Benchmarker, uma ferramenta de comparativo de mercado de código aberto. Para avaliar o desempenho do Cloud Platform, execute o conjunto nomeado google_set, que inclui os benchmarks iperf, netperf e ping. Veja um exemplo simples de como usar o PerfKit Benchmarker para medir a capacidade da rede em Como medir a capacidade da rede.

Custos

Para detalhes de preços específicos dos produtos, consulte as seguintes páginas:

Também é possível usar a calculadora de preços do Cloud Platform para modelar os custos de cenários específicos.

E agora?

A seguir: computação no Cloud Platform

Revisar as práticas recomendadas

Consulte Rede e segurança e Práticas recomendadas de DDoS para dicas sobre como proteger sua rede VPC e os recursos virtuais.

Testar alguns tutoriais práticos

Pronto para colocar a mão na massa? Veja os codelabs Rede 101 e Rede 102. Neles, você encontrará orientações para executar tarefas de rede básicas e intermediárias usando os serviços da rede VPC do Cloud Platform.

Ler sobre a pilha de rede do Google

Por mais de uma década, o Google investiu pesado para inovar em redes definidas por software na nuvem e alcançar os benefícios ideais de desempenho e custo. Os artigos e os documentos de pesquisa a seguir oferecem insight sobre vários aspectos da pilha de rede do Google: