Criar anexos da VLAN

Os anexos da VLAN (também conhecidos como interconnectAttachments) determinam quais redes de nuvem privada virtual (VPC) podem alcançar sua rede local usando uma conexão de Interconexão dedicada. É possível criar anexos da VLAN em conexões que foram aprovadas em todos os testes e estão prontas para uso.

É possível criar anexos da VLAN não criptografados ou anexos da VLAN criptografados. Os anexos da VLAN criptografados são usados na VPN de alta disponibilidade em implantações do Cloud Interconnect. É possível criar anexos da VLAN não criptografados que sejam de pilha única (somente IPv4) ou de pilha dupla (IPv4 e IPv6).

Por padrão, quando você cria um anexo da VLAN não criptografado, o anexo da VLAN é de pilha única (somente IPv4). A menos que você especifique o contrário, a interface criada para o anexo da VLAN não criptografado é uma única interface com um endereço IPv4, e a sessão do BGP resultante troca somente rotas IPv4.

Se você precisar aceitar tráfego IPv6, configure um anexo da VLAN não criptografado de pilha dupla (IPv4 e IPv6). Com um anexo da VLAN de pilha dupla, é possível criar uma sessão IPv4 do BGP, uma sessão IPv6 do BGP ou ambas.

Os anexos da VLAN criptografados são sempre configurados somente como IPv4. Se você quiser aceitar tráfego IPv6 nos seus anexos criptografados para uma VPN de alta disponibilidade pela implantação do Cloud Interconnect, implante gateways e túneis de VPN de alta disponibilidade de pilha dupla.

O faturamento dos anexos da VLAN é iniciado quando você os cria e é interrompido quando você os exclui.

Se você usa anexos da VLAN localizados em regiões diferentes sua conexão de Interconexão dedicada. Depois, altere sua Modo de roteamento dinâmico da rede VPC para Global.

Se você precisar criar um anexo da VLAN para uma conexão em outro projeto do Google Cloud, consulte Como usar conexões da Interconexão dedicada em outros projetos.

Para anexos da VLAN na Interconexão por parceiro, consulte Como criar anexos da VLAN para a Interconexão por parceiro.

Para definições de termos usados nesta página, consulte Termos-chave do Cloud Interconnect.

Para ajudar a resolver problemas comuns que você pode encontrar ao usar a Interconexão dedicada, consulte Solução de problemas.

Como associar anexos da VLAN a um Cloud Router

Na Interconexão dedicada, o anexo da VLAN aloca uma VLAN em uma interconexão e associa essa VLAN ao Cloud Router especificado. É possível associar vários anexos de VLAN diferentes ao mesmo Cloud Router.

Ao criá-los, especifique um Cloud Router localizado na região em que estão as sub-redes que você quer acessar. O anexo aloca automaticamente um código da VLAN e os endereços IP de peering do protocolo de gateway de borda (BGP). Use essas informações para configurar o roteador local e estabelecer uma sessão do BGP com o Cloud Router.

Se preferir, especifique manualmente um intervalo candidato para endereços IPv4 do BGP ao criar o anexo da VLAN. O Cloud Router seleciona endereços IPv4 desse intervalo para a interface e o peering do BGP. Esses endereços IPv4 não podem ser modificados depois de selecionados. O intervalo de endereços IPv4 do BGP especificado como candidato precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.

Não é possível especificar manualmente um intervalo candidato para endereços IPv6 ao criar o anexo da VLAN.

Para a VPN de alta disponibilidade pelo Cloud Interconnect, você precisa criar um Cloud Router que seja usado exclusivamente com anexos da VLAN criptografados. O Cloud Router troca rotas dos gateways da VPN apenas nos anexos da VLAN, o que garante que apenas o tráfego criptografado saia dos anexos. Não é possível usar esse Cloud Router para anexos da VLAN não criptografados ou para túneis VPN.

Utilizar vários anexos da VLAN

Cada anexo da VLAN é compatível com uma largura de banda máxima de 50 Gbps em incrementos descritos na página Preços, e uma taxa máxima de pacotes, conforme documentado nos limites do Cloud Interconnect. Isso é válido mesmo quando o anexo está configurado em uma conexão com capacidade de largura de banda maior que a do anexo.

Para usar totalmente a largura de banda de uma conexão, talvez seja necessário criar vários anexos da VLAN.

Para usar simultaneamente vários anexos da VLAN para o tráfego de saída em uma rede VPC, crie-os na mesma região. Em seguida, configure o roteador local para divulgar rotas com o mesmo MED. As rotas dinâmicas personalizadas, aprendidas com sessões do BGP em um ou mais Cloud Routers que gerenciam os anexos da VLAN, são aplicadas à rede VPC com uma prioridade de rota correspondente ao MED.

Quando várias rotas disponíveis têm a mesma prioridade, o Google Cloud distribui o tráfego entre elas usando um hash de cinco tuplas para afinidade, implementando um design de roteamento de vários caminhos de custo igual (ECMP, na sigla em inglês). Para mais informações, consulte Aplicação e ordem na documentação da VPC.

Criar anexos da VLAN não criptografados

Console

  1. No console do Google Cloud, acesse a guia Anexos da VLAN do Cloud Interconnect.

    Acessar anexos da VLAN

  2. Clique em Criar anexos da VLAN.

  3. Selecione conexão da Interconexão dedicada.

  4. Na seção Criptografar interconexão, selecione Configurar interconexão não criptografada e clique em Continuar.

  5. Para criar anexos no projeto, na seção Selecionar interconexões e redundância, selecione Neste projeto. Para outros projetos, consulte Como usar conexões da Interconexão dedicada em outros projetos.

  6. Selecione uma conexão da Interconexão dedicada atual no seu projeto e clique em Continuar.

  7. Selecione Adicionar anexo da VLAN e especifique os seguintes detalhes:

    • Nome: um nome para o anexo. Esse nome é exibido no Console do Google Cloud e é usado pela Google Cloud CLI para fazer referência ao anexo, como my-attachment.
    • Descrição (opcional): é uma descrição do anexo.
  8. Selecione um tipo de pilha para o anexo: IPv4 (pilha única) ou IPv4 e IPv6 (pilha dupla).

  9. Selecione um Cloud Router para associar a este anexo. O Cloud Router precisa estar na rede VPC à qual você quer se conectar.

    Se você não tiver um Cloud Router, selecione Criar novo roteador. Para o número do SA do BGP, use qualquer ASN privado (64512-65535 ou 4200000000-4294967294) ou 16550.

  10. Para especificar um ID da VLAN, um intervalo de endereços IP específico para a sessão do BGP, a capacidade do anexo da VLAN ou a unidade de transmissão máxima (MTU), clique em ID da VLAN, IPs do BGP, capacidade, MTU.

    • Para especificar um ID da VLAN, na seção ID da VLAN, selecione Personalizar.

      Por padrão, o Google gera automaticamente um ID da VLAN. Você pode especificar um ID da VLAN no intervalo de 2 a 4093. Não é possível especificar um ID da VLAN que já esteja em uso na conexão. Se seu ID da VLAN estiver em uso, você precisará escolher outro.

      Se você não o especificar, um código da VLAN aleatório não utilizado será selecionado automaticamente para o anexo da VLAN.

    • Para especificar um intervalo de endereços IPv4 para a sessão do BGP, na seção Alocar endereço IPv4 do BGP, selecione Manualmente.

      O intervalo de endereços IPv4 do BGP especificado precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.

      Os endereços IPv4 usados para a sessão do BGP entre o Cloud Router e seu roteador local são alocados do espaço de endereço IPv4 link-local (169.254.0.0/16). Por padrão, o Google seleciona endereços IPv4 não usados a partir do espaço de endereços IPv4 link-local.

      Para restringir o intervalo de IPv4 que o Google seleciona, é possível especificar até 16 prefixos a partir do espaço de endereços IPv4 link-local. Todos os prefixos precisam estar em 169.254.0.0/16 e ter um comprimento de prefixo de /30 ou menos, por exemplo, /29 ou /28. Um intervalo /29 não utilizado é automaticamente selecionado do prefixo especificado. A solicitação de alocação de endereço falha quando todos os intervalos /29 possíveis estão em uso pelo Google Cloud.

      Se você não fornecer um intervalo de prefixos, o Google Cloud escolherá uma alocação de endereço /29 de 169.254.0.0/16 que ainda não esteja sendo usada por nenhuma sessão do BGP na sua rede VPC. Se você fornecer um ou mais prefixos, o Google Cloud escolherá uma alocação de endereço /30 não utilizada entre os prefixos fornecidos.

      Depois que o intervalo de endereços /30 for selecionado, o Google Cloud atribuirá um endereço ao Cloud Router e outro endereço ao roteador local. O resto do espaço de endereços no prefixo /30 é reservado para uso do Google.

    • Para especificar a largura de banda máxima, no campo Capacidade, selecione um valor. Se você não fizer isso, o Cloud Interconnect usará 10 Gbps.

      Se você tiver vários anexos da VLAN em uma conexão, a configuração de capacidade ajudará a controlar a largura de banda que cada anexo pode usar. A largura de banda máxima é aproximada. Portanto, é possível que os anexos da VLAN usem mais largura de banda do que a capacidade selecionada.

    • Para especificar a unidade máxima de transmissão (MTU) para o anexo, selecione um valor no campo.

      Para usar uma MTU de 1.460, 1.500 ou 8.896 bytes, a rede VPC que usa o anexo precisa definir uma MTU com o mesmo valor. Além disso, as instâncias de máquina virtual (VM) local e os roteadores precisam definir a MTU com o mesmo valor. Se a rede tiver a MTU padrão de 1460, selecione uma MTU de 1460 para o anexo.

  11. Se você quiser conectar várias redes VPC (por exemplo, para criar redundância), clique em + Adicionar anexo da VLAN para anexar outras VLANs à conexão. Escolha um Cloud Router diferente para cada anexo da VLAN. Para mais informações, consulte a seção "Redundância" na visão geral.

  12. Depois de criar todos os anexos da VLAN necessários, clique em Criar. A criação do anexo leva algum tempo.

    A página Configurar sessões do BGP mostra cada anexo da VLAN e o respectivo status de configuração.

  13. Para cada anexo da VLAN, para criar uma sessão do BGP para trocar rotas do BGP entre sua rede do Cloud Router e o roteador local, clique em Configurar e insira as seguintes informações:

    • Nome: um nome para a sessão do BGP.
    • ASN de peering: o ASN público ou privado do seu roteador local.
    • Prioridade de rota anunciada (MED) (opcional): o valor base que o Cloud Router usa para calcular as métricas de rota. Todas as rotas anunciadas para esta sessão usarão esse valor base. Para mais informações, consulte Prefixos e prioridades anunciados.
    • Par do BGP: permite ativar ou desativar a sessão do BGP com esse peering. Se desativado, o Cloud Router não envia solicitações de conexão do BGP e rejeita todas as solicitações de conexão do BGP deste peering.
    • Autenticação MD5 (opcional): permite autenticar sessões do BGP entre o Cloud Router e seus pares. Para instruções sobre como usar a autenticação MD5, consulte Usar a autenticação MD5.
    • Rotas divulgadas personalizadas (opcional): permite escolher quais rotas o Cloud Router divulgará para o roteador local pelo BGP. Para ver as etapas de configuração, consulte a visão geral de rotas divulgadas personalizadas.
    • Rotas aprendidas personalizadas: permite definir manualmente mais rotas aprendidas para uma sessão do BGP. O Cloud Router se comporta como se tivesse aprendido as rotas do par do BGP.
    • Detecção de encaminhamento bidirecional (BFD, na sigla em inglês) para o Cloud Router (opcional): detecta falhas temporárias de caminho de encaminhamento, como eventos de link inferior, permitindo mais Redes híbridas resilientes. Para instruções sobre como atualizar uma sessão do BGP para usar a BFD, consulte Como configurar a BFD.

  14. Clique em Salvar e continuar.

  15. Depois de adicionar sessões do BGP para todos os anexos da VLAN, clique em Salvar configuração. As sessões do BGP configuradas ficam inativas até você configurar o BGP no roteador local.

gcloud

Antes de criar um anexo da VLAN, você precisa ter um Cloud Router atual na rede e na região que quer acessar a partir da rede local. Se você não tem um Cloud Router, crie um. O Cloud Router precisa ter um ASN do BGP de 16550 ou você pode usar qualquer ASN privado (64512-65535 ou 4200000000-4294967294).

  1. Crie um anexo da VLAN especificando os nomes da conexão de Interconexão dedicada e do Cloud Router. O anexo aloca uma VLAN na sua conexão que se conecta ao Cloud Router.

    O exemplo a seguir cria um anexo para a conexão do Interconnect my-interconnect que se conecta ao Cloud Router my-router, que está na região us-central1.

    gcloud compute interconnects attachments dedicated create my-attachment \
        --region us-central1 \
        --router my-router \
        --interconnect my-interconnect
    

    Anexo da VLAN de pilha dupla (IPv4 e IPv6)

    Para criar um anexo da VLAN de pilha dupla que aceita tráfego IPv4 e IPv6, especifique --stack-type IPV4_IPV6.

    gcloud compute interconnects attachments dedicated create my-attachment \
        --region us-central1 \
        --router my-router \
        --interconnect my-interconnect
        --stack-type IPV4_IPV6
    

    Quando você cria um anexo da VLAN com o tipo de pilha IPV4_IPV6 (pilha dupla), o Google Cloud atribui automaticamente um CIDR /125 não utilizado do intervalo 2600:2d00:0:1::/64 como o endereço IPv6 do anexo da VLAN.

    Se você selecionar o tipo de pilha IPV4_IPV6 (pilha dupla), poderá configurar o anexo da VLAN mais tarde com uma sessão IPv4 do BGP, uma sessão IPv6 do BGP ou ambas.

    Se você omitir a sinalização --stack-type, o anexo da VLAN será configurado como um anexo somente IPv4 (pilha única). Um anexo da VLAN IPV4_ONLY (pilha única) pode trocar apenas rotas IPv4. https://developers.google.com/devsite/author-databases. Também é possível alterar o tipo de pilha de uma depois de criá-lo. Consulte Modificar tipo de pilha.

    Alocar endereços IPv4 para peering do BGP

    Para peering do BGP, o Google pode alocar endereços IPv4 não utilizados do espaço de endereço IPv4 link-local (169.254.0.0/16). Para restringir o intervalo de endereços IPv4 que o Google pode selecionar, use a flag --candidate-subnets, conforme mostrado no exemplo a seguir.

    O intervalo de endereços IPv4 de peering do BGP especificado precisa ser exclusivo entre todos os Cloud Routers em todas as regiões de uma rede VPC.

    gcloud compute interconnects attachments dedicated create my-attachment \
        --router my-router \
        --interconnect my-interconnect \
        --candidate-subnets 169.254.0.0/29,169.254.10.0/24 \
        --region us-central1
    

    É possível especificar um intervalo de até 16 prefixos a partir do espaço de endereço IPv4 link-local. Todos os prefixos precisam estar em 169.254.0.0/16 e ser /29 ou menos, por exemplo, /28 ou /27. Um /29 não utilizado é selecionado automaticamente no intervalo de prefixos que você especificou. A solicitação de alocação de endereço falha quando todos os prefixos /29 possíveis estão em uso pelo Google Cloud.

    É possível especificar intervalos candidatos de sub-rede somente para endereços IPv4. Não é possível especificar um intervalo de endereços candidatos para endereços IPv6.

    Configuração do ID da VLAN

    Para especificar um ID de VLAN, use a sinalização --vlan, conforme mostrado no exemplo a seguir:

    gcloud compute interconnects attachments dedicated create my-attachment \
        --router my-router \
        --interconnect my-interconnect \
        --vlan 5 \
        --region us-central1
    

    Por padrão, o Google gera automaticamente um ID da VLAN. Você pode especificar um ID da VLAN no intervalo de 2 a 4093. Não é possível especificar um ID que já esteja em uso na conexão da Interconexão dedicada. Se seu código da VLAN estiver em uso, você precisará escolher outro.

    Se você não o especificar, um ID da VLAN aleatório não utilizado será selecionado automaticamente para o anexo da VLAN.

    Configuração da largura de banda máxima

    Para especificar a largura de banda máxima do anexo, use a sinalização --bandwidth, conforme mostrado no exemplo a seguir. Se você tiver vários anexos da VLAN em uma conexão do Interconnect, a configuração de capacidade ajudará a controlar a largura de banda que cada anexo pode usar. A largura de banda máxima é aproximada. Portanto, é possível que os anexos da VLAN usem mais largura de banda do que a capacidade selecionada.

    gcloud compute interconnects attachments dedicated create my-attachment \
        --router my-router \
        --interconnect my-interconnect \
        --bandwidth 500M \
        --region us-central1
    

    Se uma capacidade não for especificada, o Cloud Interconnect usará o padrão de 10 Gbps. Para mais informações, consulte a referência gcloud compute interconnects attachments dedicated create.

    Configuração da MTU

    A MTU padrão de um anexo é 1.440 bytes. Também é possível especificar uma MTU de anexo de 1.460, 1.500 bytes ou 8.896. Para especificar uma MTU de 1.460, 1.500 ou 8.896 bytes para o anexo, use a flag --mtu, conforme mostrado no exemplo a seguir:

    gcloud compute interconnects attachments dedicated create my-attachment \
        --router my-router \
        --interconnect my-interconnect \
        --mtu 1500 \
        --region us-central1
    

    Para usar uma MTU de 1.460, 1.500 ou 8.896 bytes, a rede VPC que usa o anexo e os sistemas e roteadores locais precisam ter o mesmo valor de MTU definido. ,

  2. Descreva o anexo para recuperar os recursos que ele alocou, incluindo o código da VLAN e os endereços de peering do BGP, conforme mostrado no exemplo a seguir. Use esses valores para configurar o Cloud Router e o roteador local.

    gcloud compute interconnects attachments describe my-attachment \
        --region us-central1
    

    Saída:

    cloudRouterIpAddress: 169.254.180.81/29
    creationTimestamp: '2022-03-22T10:31:40.829-07:00'
    customerRouterIpAddress: 169.254.180.82/29
    dataplaneVersion: 2
    id: '2973197662755397267'
    interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/myinterconnect
    kind: compute#interconnectAttachment
    mtu: 1500
    name: my-attachment
    operationalStatus: ACTIVE
    privateInterconnectInfo:
      tag8021q: 1000
    region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/my-router
    stackType: IPV4_ONLY
    state: ACTIVE
    type: DEDICATED
    vlanTag8021q: 1000
    

    • A tag VLAN (1000) identifica o tráfego que passa por esse anexo. Esse valor é necessário para configurar uma subinterface com tag VLAN no roteador local.
    • O endereço do Cloud Router (169.254.180.81/29) é um endereço IPv4 link-local. Quando você cria uma interface do Cloud Router para esse anexo, a interface usa esse endereço IP. Você usa o mesmo endereço para o vizinho BGP no roteador local.
    • O endereço do roteador do cliente (169.254.180.82/29) é um endereço IPv4 link-local. Configure um peering do BGP com esse endereço no Cloud Router pela interface que tem o endereço do Cloud Router atribuído a ela. Você atribui esse endereço à subinterface da VLAN no roteador local.
    • O tipo de pilha IPV4_ONLY (pilha única) indica o tipo de tráfego compatível com o anexo da VLAN.
  3. No Cloud Router, adicione a interface ou as interfaces que se conectam ao anexo da VLAN.

    • Se o anexo da VLAN for somente IPv4, crie uma interface com um endereço IPv4.

    • Se o anexo da VLAN usa o tipo de pilha IPV4_IPV6 (pilha dupla), é possível criar uma interface com um endereço IPv4, uma interface com um endereço IPv6 ou ambos.

      Criar uma interface com um endereço IPv4 e uma interface com um endereço IPv6 permite executar duas sessões do BGP em paralelo no mesmo anexo da VLAN. Para mais informações, consulte Estabelecer sessões do BGP na documentação do Cloud Router.

      Para criar uma interface com um endereço IPv4, execute o seguinte comando.

      gcloud compute routers add-interface my-router \
      --region us-central1 \
      --interface-name my-router-intf-v4 \
      --interconnect-attachment my-attachment
      

      O endereço IPv4 de uma interface é configurado automaticamente usando o cloudRouterIpAddress do anexo.

      Para criar uma interface com um endereço IPv6, execute o seguinte comando.

      gcloud beta compute routers add-interface my-router \
       --region us-central1 \
       --interface-name my-router-intf-v6 \
       --interconnect-attachment my-attachment
       --ip-version=IPV6
      

      O endereço IPv6 de uma interface é configurado automaticamente usando o cloudRouterIpv6Address do anexo.

  4. Adicione um peering do BGP para cada interface que você criou. No valor do par ASN, use o mesmo número que você configura no roteador local.

    gcloud compute routers add-bgp-peer my-router \
        --interface my-router-intf-v4 \
        --region us-central1 \
        --peer-name bgp-for-my-interconnect-v4 \
        --peer-asn 65201
    

    O endereço IPv4 de peering do BGP é configurado automaticamente usando o customerRouterIpAddress do anexo.

    gcloud compute routers add-bgp-peer my-router \
       --interface my-router-intf-v6 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect-v6 \
       --peer-asn 65201
    

    O endereço IPv6 do peering é configurado automaticamente usando o customerRouterIpv6Address do anexo.

    Configuração do BGP multiprotocolo (MP-BGP)

    Se você configurou o anexo da VLAN com o tipo de pilha IPV4_IPV6 (pilha dupla), é possível usar o BGP multiprotocolo (MP-BGP) na sua única sessão IPv4 do BGP ou IPv6 do BGP. Não será possível usar o MP-BGP se você usar as duas sessões do BGP.

    Com o MP-BGP, é possível trocar rotas IPv6 em uma sessão IPv4 do BGP ou trocar rotas IPv4 em uma sessão IPv6 do BGP.

    Para ativar a troca de rotas IPv6 em uma sessão IPv4 do BGP, execute o comando a seguir.

    gcloud compute routers add-bgp-peer my-router \
       --interface my-router-intf-v4 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect-v4 \
       --peer-asn 65201 \
       --enable-ipv6
    

    Se você omitir a flag --enable-ipv6, a sessão IPv4 do BGP trocará somente rotas IPv4. Também será possível ativar a troca de rotas IPv6 na sessão do BGP mais tarde.

    Para ativar a troca de rotas IPv4 em uma sessão IPv6 do BGP, execute o comando a seguir.

    gcloud beta compute routers add-bgp-peer my-router \
       --interface my-router-intf-v6 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect \
       --peer-asn 65201 \
       --enable-ipv4
    

    Para mais informações, consulte Configurar o BGP de vários protocolos em sessões IPv4 ou IPv6 do BGP.

    Se você ativar a troca de rotas IPv6 na sessão IPv4 do BGP, será necessário configurar o roteador local para divulgar as rotas IPv6 com o customerRouterIpv6Address do anexo como o próximo salto.

    Se você ativar a troca de rotas IPv4 na sessão IPv6 do BGP, será necessário configurar o roteador local para divulgar as rotas IPv4 com o customerRouterIpAddress do anexo como o próximo salto.

    Descreva o anexo para recuperar o endereço IPv4 ou IPv6 do próximo salto.

    gcloud compute interconnects attachments describe my-attachment \
        --region us-central1
    

    Saída:

    cloudRouterIpAddress: 169.254.180.81/29
    cloudRouterIpv6Address: 2600:2d00:0:1:8000:12:0:299/125
    creationTimestamp: '2022-03-22T10:31:40.829-07:00'
    customerRouterIpAddress: 169.254.180.82/29
    customerRouterIpv6Address: 2600:2d00:0:1:8000:12:0:29a/125
    dataplaneVersion: 2
    id: '2973197662755397267'
    interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/myinterconnect
    kind: compute#interconnectAttachment
    mtu: 1500
    name: my-attachment
    operationalStatus: ACTIVE
    privateInterconnectInfo:
      tag8021q: 1000
    region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/my-router
    stackType: IPV4_IPV6
    state: ACTIVE
    type: DEDICATED
    vlanTag8021q: 1000
    

    Configuração de prioridade de rota e rota divulgada personalizada (MED)

    Para especificar um valor de prioridade básica, use a sinalização --advertised-route-priority. O Cloud Router usa esse valor para calcular as métricas de todas as rotas que ele anuncia para esta sessão. Para mais informações, consulte Prefixos e prioridades anunciados na documentação do Cloud Router.

    Também é possível usar a flag --advertisement-mode para ativar o modo de divulgação personalizado para essa sessão do BGP. Use --advertisement-groups e --advertisement-ranges para definir as rotas divulgadas personalizadas para a sessão do BGP. Com as rotas divulgadas personalizadas, você escolhe quais rotas o Cloud Router divulga para seu roteador local pelo BGP. É possível especificar rotas divulgadas personalizadas IPv4 e IPv6. No entanto, as rotas divulgadas personalizadas IPv6 são divulgadas apenas nas sessões do BGP em que a troca de rotas IPv6 está ativada. As rotas divulgadas personalizadas IPv4 são divulgadas apenas nas sessões do BGP em que a troca de rotas IPv4 está ativada.

    Para ver as etapas de configuração, consulte a visão geral de rotas divulgadas personalizadas.

    Configuração de rota aprendida personalizada

    Se você quiser configurar rotas aprendidas personalizadas, use a sinalização --set-custom-learned-route-ranges. Também é possível usar a sinalização --custom-learned-route-priority para definir um valor de prioridade entre 0 e 65535 (incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que você configurou para a sessão. Quando você usa esse recurso, o Cloud Router se comporta como se tivesse aprendido essas rotas com o par do BGP. Para mais informações, consulte Rotas aprendidas personalizadas.

    gcloud compute routers add-bgp-peer my-router \
        --interface my-router-i1-intf-v4 \
        --region us-central1 \
        --peer-name bgp-for-my-interconnect \
        --peer-asn 65201 \
        --set-custom-learned-route-ranges 1.2.3.4,6.7.0.0/16 \
        --custom-learned-route-priority 200
    

    Configuração de autenticação MD5

    Se você quiser usar a autenticação MD5, adicione a sinalização md5-authentication-key. Para mais informações sobre esse recurso, consulte Usar a autenticação MD5.

    gcloud compute routers add-bgp-peer my-router \
       --interface my-router-i1-intf-v4 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect \
       --peer-asn 65201 \
       --md5-authentication-key 'secret_key_value'
    

    Detecção de encaminhamento bidirecional (BFD)

    Se você quiser adicionar a detecção de encaminhamento bidirecional (BFD, na sigla em inglês) ao Cloud Router, configure seu peering do BGP com uma sessão da BFD. A BFD detecta interrupções do serviço no caminho de encaminhamento, como eventos de link inativo, permitindo redes híbridas mais resilientes. Para atualizar sua sessão do BGP para usar a BFD, consulte Como configurar a BFD para o Cloud Router.

Se você estiver criando redundância com uma conexão de interconexão duplicada, repita essas etapas na segunda conexão e especifique o mesmo Cloud Router. Para mais informações, consulte Redundância e SLA.

Criar anexos da VLAN criptografados

Console

  1. No console do Google Cloud, acesse a guia Anexos da VLAN do Cloud Interconnect.

    Acessar anexos da VLAN

  2. Clique em Criar anexos da VLAN.

  3. Selecione conexão da Interconexão dedicada.

  4. Na seção Criptografar interconexão, selecione Configurar VPN de alta disponibilidade por interconexão e clique em Continuar.

  5. Na seção Selecionar interconexões, selecione duas conexões de Interconexão dedicada existentes em que você quer implantar a VPN de alta disponibilidade pelo Cloud Interconnect.

    • Para usar conexões no projeto atual, selecione Neste projeto.
    • Para usar conexões em outro projeto, selecione Em outro projeto e insira o ID do projeto.
    • No campo Interconnect 1, selecione a primeira conexão.
    • No campo Interconnect 2, selecione a segunda conexão. Selecione uma conexão hospedada na mesma área metropolitana (metro), mas em um domínio de disponibilidade de borda diferente da primeira conexão. Por exemplo, se a primeira conexão estiver em ord-zone1, verifique se a segunda conexão está em ord-zone2.
  6. Depois de selecionar duas conexões de Interconexão dedicada, clique em Continuar.

  7. Na página Criar anexos da VLAN, selecione Rede VPC.

  8. No campo Roteador criptografado de interconexão, selecione um Cloud Router para associar aos dois anexos da VLAN criptografados. O Cloud Router precisa estar na rede VPC à qual você quer se conectar. Além disso, o Cloud Router especificado só pode ser usado com anexos da VLAN criptografados. Esse roteador divulga apenas as rotas para interfaces de túnel de VPN de alta disponibilidade e de peering.

    Se você não tiver um Cloud Router criptografado que possa usar, selecione Criar novo roteador e especifique uma Região que seja compatível com o Dataplane v2. Para ver quais regiões são compatíveis com o Dataplane V2 no seu local, consulte a tabela de locais. Para o número do SA do BGP, use qualquer ASN privado (64512-65535 ou 4200000000-4294967294) ou 16550.

  9. Configure os dois anexos da VLAN. No anexo da VLAN 1 e no anexo da VLAN 2, configure os seguintes campos:

    • Nome: um nome para o anexo. Esse nome é exibido no Console do Google Cloud e é usado pela Google Cloud CLI para fazer referência ao anexo, como my-attachment.
    • Descrição: digite uma descrição opcional.
  10. Para configurar um ID de VLAN ou um intervalo de endereços IP específico para a sessão do BGP, clique em ID da VLAN e IPs do BGP.

    • Para especificar um ID da VLAN, na seção ID da VLAN, selecione Personalizar.
    • Para especificar um intervalo de endereços IPv4 para a sessão do BGP, na seção Alocar endereço IP do BGP, selecione Manualmente.

    Se você não especificar um ID da VLAN ou alocar manualmente endereços IPv4 do BGP, o Google Cloud atribuirá automaticamente esses valores por você.

  11. No campo Capacidade, selecione a largura de banda máxima para cada anexo da VLAN. O valor selecionado para o anexo da VLAN 1 é aplicado automaticamente ao anexo da VLAN 2. Se você não fizer isso, o Cloud Interconnect usará 10 Gbps. A capacidade selecionada determina quantos túneis de VPN de alta disponibilidade precisam ser implantados.

  12. Na seção Endereços IP do gateway de VPN, selecione o tipo de endereço IP a ser usado para as interfaces do túnel de VPN de alta disponibilidade.

    • Se você selecionar Endereços IP regionais internos, clique em Adicionar novo intervalo de endereços IP e insira um Nome e um Intervalo de IP. Em Intervalo de IP, especifique um intervalo IPv4 interno regional com um tamanho de prefixo entre 26 e 29. O tamanho do prefixo determina o número de endereços IPv4 disponíveis para as interfaces do túnel VPN e precisa ser baseado na capacidade do anexo. Para mais informações, consulte Atribuir intervalos de endereços IP internos a gateways da VPN de alta disponibilidade.
    • Se você selecionar Endereços IP regionais externos, o Cloud Interconnect atribuirá automaticamente os endereços IP externos regionais às interfaces do túnel de VPN de alta disponibilidade que você criar no anexo da VLAN.

    Os dois anexos da VLAN precisam usar o mesmo tipo de endereçamento interno ou externo para os endereços IPv4 do gateway da VPN.

  13. Depois de criar os dois anexos da VLAN, clique em Criar. A criação dos anexos leva alguns instantes.

  14. A página Configurar roteador de interconexão mostra cada anexo da VLAN e o status de configuração deles.

  15. Para cada anexo da VLAN, para criar uma sessão do BGP para trocar rotas entre sua rede do Cloud Router e o roteador local, clique em Configurar e insira as seguintes informações:

    • Nome: um nome para a sessão do BGP.
    • ASN de peering: o ASN público ou privado do seu roteador local.
    • Prioridade de rota anunciada (MED) (opcional): o valor base que o Cloud Router usa para calcular as métricas de rota. Todas as rotas anunciadas para esta sessão usarão esse valor base. Para mais informações, consulte Prefixos e prioridades anunciados.

      Esse Cloud Router só divulga rotas para interfaces de túnel de VPN de alta disponibilidade e do peering.

    • Par do BGP: permite ativar ou desativar a sessão do BGP com esse peering. Se desativado, o Cloud Router não envia solicitações de conexão do BGP e rejeita todas as solicitações de conexão do BGP deste peering.

    • Autenticação MD5 (opcional): permite autenticar sessões do BGP entre o Cloud Router e seus pares. Para instruções sobre como usar a autenticação MD5, consulte Usar a autenticação MD5.

    Não ative a detecção de encaminhamento bidirecional (BFD). Ativar a BFD no nível do Cloud Interconnect não fornece uma detecção de falha mais rápida para o tráfego do túnel da VPN de alta disponibilidade.

  16. Clique em Salvar e continuar.

  17. Depois de adicionar sessões do BGP para todos os anexos da VLAN, clique em Salvar configuração. As sessões do BGP configuradas ficam inativas até você configurar o BGP no roteador local.

  18. Na página Criar gateways de VPN, conclua a implantação da VPN de alta disponibilidade pelo Cloud Interconnect configurando a VPN de alta disponibilidade para os anexos da VLAN. Consulte Configurar VPN de alta disponibilidade pelo Cloud Interconnect) e clique em Criar e continuar.

  19. Na página Criar túneis de VPN, crie dois túneis de VPN para cada gateway de VPN de alta disponibilidade, um túnel em cada interface. Especifique o lado de peering do túnel da VPN como a interface correspondente no gateway da VPN de peering e clique em Criar e continuar.

  20. Na página Configurar roteador VPN, clique em Configurar sessão do BGP para configurar a sessão do BGP no Cloud Router para cada túnel VPN de alta disponibilidade (consulte Especificar e gerenciar rotas aprendidas personalizadas).

gcloud

  1. Criar um Cloud Router criptografado para o Cloud Interconnect.

    Crie o Cloud Router na rede e na região que você quer acessar a partir da rede local. Especifique a sinalização --encrypted-interconnect-router para identificar esse roteador a ser usado com a VPN de alta disponibilidade na implantação do Cloud Interconnect. O Cloud Router precisa ter um ASN do BGP de 16550 ou você pode usar qualquer ASN privado (64512-65535 ou 4200000000-4294967294).

    O exemplo a seguir cria um roteador chamado interconnect-router na região us-central1 com um ASN de 65001.

     gcloud compute routers create interconnect-router \
        --region us-central1 \
        --network network-a \
        --asn 65001 \
        --encrypted-interconnect-router
    
  2. Opcional: reserve um intervalo IPv4 interno regional com um tamanho de prefixo entre 26 e 29.

    O tamanho do prefixo determina o número de endereços IPv4 disponíveis para as interfaces do gateway da VPN. O número de endereços IPv4 que você precisa reservar depende da capacidade do anexo da VLAN associado.

    Por exemplo, para reservar um intervalo para o primeiro anexo da VLAN com uma capacidade de 10 Gbps:

     gcloud compute addresses create ip-range-1 \
        --region us-central1 \
        --addresses=192.168.1.0 \
        --prefix-length=29 \
        --network=network-a \
        --purpose=IPSEC_INTERCONNECT
    

    Para reservar um intervalo de endereços para o segundo anexo da VLAN:

    gcloud compute addresses create ip-range-2 \
       --region us-central1 \
       --addresses=192.168.2.0 \
       --prefix-length=29 \
       --network=network-a \
       --purpose=IPSEC_INTERCONNECT
    

    Para mais informações sobre como reservar endereços internos regionais, consulte Atribuir intervalos de endereços IP internos a gateways da VPN de alta disponibilidade.

  3. Crie o primeiro anexo da VLAN criptografado, especificando os nomes da primeira conexão e do Cloud Router criptografado.

    O exemplo a seguir cria um anexo criptografado para a conexão my-interconnect-ead-1 que se conecta ao interconnect-router do Cloud Router criptografado na região us-central1. O comando também especifica o intervalo de endereços IPv4 internos regionais, ip-range-1, para usar em todas as interfaces do túnel de VPN de alta disponibilidade que são criadas nesse anexo.

    gcloud compute interconnects attachments dedicated create ha-vpn-attachment-1 \
        --region us-central1 \
        --router interconnect-router \
        --interconnect my-interconnect-ead-1 \
        --bandwidth=10g \
        --encryption IPSEC \
        --ipsec-internal-addresses ip-range-1
    

    Se você quiser usar endereços IPv4 externos regionais para as interfaces de gateway da VPN de alta disponibilidade no anexo, omita a flag --ipsec-internal-addresses. Todas as interfaces de gateway da VPN de alta disponibilidade recebem automaticamente endereços IPv4 externos regionais.

    gcloud compute interconnects attachments dedicated create my-attachment-1 \
        --region us-central1 \
        --router interconnect-router \
        --interconnect my-interconnect-ead-1 \
        --bandwidth=10g \
        --encryption IPSEC
    

    Não é possível definir uma MTU personalizada (--mtu) com anexos da VLAN criptografados. Todos os anexos da VLAN criptografados precisam usar uma MTU de 1.440 bytes, que é o valor padrão.

    Além disso, não é possível criar anexos da VLAN de pilha dupla para a VPN de alta disponibilidade pelo Cloud Interconnect. Os anexos da VLAN criptografados são compatíveis apenas com o tipo de pilha IPV4_ONLY (pilha única).

  4. Crie o segundo anexo da VLAN criptografado, especificando os nomes da segunda conexão do Cloud Interconnect e o Cloud Router para Cloud Interconnect.

    O exemplo a seguir cria um anexo criptografado para a conexão da Interconexão dedicada my-interconnect-ead-2 que se conecta ao interconnect-router criptografado do Cloud Router na região us-central1. O comando também especifica o intervalo de endereços IPv4 internos regionais, ip-range-2, a ser usado em todas as interfaces de gateway da VPN de alta disponibilidade que são criadas nesse anexo.

    gcloud compute interconnects attachments dedicated create my-attachment-2 \
        --region us-central1 \
        --router interconnect-router \
        --interconnect my-interconnect-ead-2 \
        --bandwidth=10g \
        --encryption IPSEC \
        --ipsec-internal-addresses ip-range-2
    

    Ao criar o segundo anexo da VLAN, especifique o mesmo tipo de esquema de endereçamento IPv4, interno ou externo, usado ao criar o primeiro anexo. Se você tiver especificado um intervalo de endereços internos para o primeiro anexo, especifique outro intervalo de endereços IPv4 internos reservados.

  5. Descreva o anexo para recuperar os recursos alocados, como o ID da VLAN e os endereços IPv4 de peering do BGP, conforme mostrado no exemplo a seguir. Use esses valores para configurar o Cloud Router e o roteador local.

    Para o primeiro anexo da VLAN:

    gcloud compute interconnects attachments describe my-attachment-1 \
      --region us-central1
    

    Saída:

    adminEnabled: true
    bandwidth: BGP_10G
    cloudRouterIpAddress: 169.254.61.89/29
    creationTimestamp: '2022-05-22T10:31:40.829-07:00'
    customerRouterIpAddress: 169.254.61.90/29
    dataplaneVersion: 2
    encryption: IPSEC
    id: '2973197662755397267'
    interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/my-interconnect-ead-1
    kind: compute#interconnectAttachment
    name: my-attachment-1
    operationalStatus: OS_ACTIVE
    privateInterconnectInfo:
      tag8021q: 1000
    region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/interconnect-router
    selfLink: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/interconnectAttachments/my-attachment-1
    stackType: IPV4_ONLY
    state: ACTIVE
    type: DEDICATED
    vlanTag8021q: 1000
    

    Para o segundo anexo da VLAN:

    gcloud compute interconnects attachments describe my-attachment-2 \
       --region us-central1
    

    Saída:

    adminEnabled: true
    bandwidth: BGP_10G
    cloudRouterIpAddress: 169.254.116.185/29
    creationTimestamp: '2022-05-22T10:31:40.829-07:00'
    customerRouterIpAddress: 169.254.116.186/29
    dataplaneVersion: 2
    encryption: IPSEC
    id: '2973197662755397269'
    interconnect: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnects/my-interconnect-ead-2
    kind: compute#interconnectAttachment
    name: my-attachment-2
    operationalStatus: OS_ACTIVE
    privateInterconnectInfo:
      tag8021q: 1000
    region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/routers/interconnect-router
    selfLink: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-central1/interconnectAttachments/my-attachment-2
    stackType: IPV4_ONLY
    state: ACTIVE
    type: DEDICATED
    vlanTag8021q: 1000
    

    • A tag VLAN (1000) identifica o tráfego que passa por esse anexo. Esse valor é necessário para configurar uma subinterface com tag VLAN no roteador local.
    • Os endereços IPv4 do Cloud Router (169.254.61.89/29 e 169.254.116.185/29) são endereços IPv4 link-local. Quando você cria interfaces do Cloud Router para esses anexos, as interfaces usam esses endereços IPv4. Use esses mesmos endereços para os vizinhos do BGP no seu roteador local.
    • Os endereços IPv4 do roteador do cliente (169.254.61.90/29 e 169.254.116.186/29) também são endereços IPv4 link-local. No Cloud Router, configure dois pares do BGP com esses endereços nas interfaces que tenham o endereço do Cloud Router atribuído a ele. Atribua esses endereços às subinterfaces da VLAN no roteador local.
  6. No Cloud Router, adicione duas interfaces.

    Cada interface se conecta a um dos anexos da VLAN. O endereço IP da interface é configurado automaticamente usando o cloudRouterIpAddress do seu anexo.

    gcloud compute routers add-interface interconnect-router \
        --region us-central1 \
        --interface-name interconnect-router-int-1 \
        --interconnect-attachment my-attachment-1
    
    gcloud compute routers add-interface interconnect-router \
        --region us-central1 \
        --interface-name interconnect-router-int-2 \
        --interconnect-attachment my-attachment-2
    
  7. Adicione pares do BGP às interfaces.

    No valor do par ASN, use o mesmo número que você configura no roteador local. Os endereços IPv4 de peering são configurados automaticamente usando o customerRouterIpAddress dos anexos.

    gcloud compute routers add-bgp-peer my-router \
       --interface interconnect-router-int-1 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect-1 \
       --peer-asn 65201
    

    Para especificar um valor de prioridade básica, use a sinalização --advertised-route-priority. O Cloud Router usa esse valor para calcular as métricas de todas as rotas que ele anuncia para esta sessão. Para mais informações, consulte Prefixos e prioridades anunciados na documentação do Cloud Router.

    Se você quiser configurar rotas aprendidas personalizadas, use a sinalização --set-custom-learned-route-ranges. Também é possível usar a sinalização --custom-learned-route-priority para definir um valor de prioridade entre 0 e 65535 (incluso) para as rotas. Cada sessão do BGP pode ter um valor de prioridade que se aplica a todas as rotas aprendidas personalizadas que você configurou para a sessão. Quando você usa esse recurso, o Cloud Router se comporta como se tivesse aprendido essas rotas com o par do BGP. Para mais informações, consulte Rotas aprendidas personalizadas.

    gcloud compute routers add-bgp-peer my-router \
       --interface interconnect-router-int-1 \
       --region us-central1 \
       --peer-name bgp-for-my-interconnect-1 \
       --peer-asn 65201 \
       --set-custom-learned-route-ranges 1.2.3.4,6.7.0.0/16 \
       --custom-learned-route-priority 200
    

    Se você quiser usar a autenticação MD5, adicione a sinalização md5-authentication-key. Para mais informações sobre esse recurso, consulte Usar a autenticação MD5.

    Não ative a detecção de encaminhamento bidirecional (BFD, na sigla em inglês). Ativar a BFD no nível do Cloud Interconnect não fornece uma detecção de falha mais rápida para o tráfego do túnel da VPN de alta disponibilidade.

  8. Conclua a VPN de alta disponibilidade na implantação do Cloud Interconnect configurando a VPN de alta disponibilidade para seus anexos da VLAN.

    Consulte Configurar a VPN de alta disponibilidade pelo Cloud Interconnect.

Restringir uso da Interconexão dedicada

Por padrão, qualquer rede VPC pode usar o Cloud Interconnect. Para controlar quais redes VPC podem usar o Cloud Interconnect, é possível definir políticas da organização. Para mais informações, consulte Como restringir o uso do Cloud Interconnect.

A seguir