Visão geral do Cloud Interconnect

O Cloud Interconnect fornece conexões de baixa latência e alta disponibilidade que permitem transferir dados de maneira confiável entre as redes de nuvem privada virtual (VPC) do Google Cloud e suas outras redes. Além disso, essas conexões do Cloud Interconnect oferecem comunicação de endereço IP interno, o que significa que os endereços IP internos são acessíveis diretamente de ambas as redes.

O Cloud Interconnect oferece as seguintes opções para estender sua rede para incluir o Google Cloud:

  • A Interconexão dedicada fornece uma conexão física direta entre a rede local e a rede do Google.
  • A Interconexão por parceiro fornece conectividade entre as redes local e VPC por meio de um provedor de serviços autorizado.
  • O Cross-Cloud Interconnect fornece uma conexão física direta entre sua rede em outra nuvem e a rede do Google.

Para uma comparação que ajudará você a escolher entre a Interconexão dedicada e a Interconexão por parceiro, consulte a seção do Cloud Interconnect em Como escolher um produto de conectividade de rede.

Para definições de termos usados nesta página, consulte Termos-chave do Cloud Interconnect.

Vantagens

O uso do Cloud Interconnect oferece os seguintes benefícios:

  • O tráfego entre a rede externa e a rede VPC não passa pela Internet pública. Ele passa por uma conexão dedicada ou um provedor de serviços com esse tipo de conexão. Ao ignorar a Internet pública, o tráfego tem menos oscilações. Portanto, há menos pontos de falha em que o tráfego pode ser reduzido ou interrompido.

  • Os endereços IP internos da rede VPC podem ser acessados diretamente da rede local. Não é preciso usar um dispositivo NAT ou túnel VPN para fazer isso. Para detalhes, consulte Endereçamento IP e rotas dinâmicas.

  • É possível escalonar a capacidade de conexão para atender às suas necessidades específicas.

    Com a Interconexão dedicada, a capacidade da conexão é fornecida por meio de uma ou mais conexões Ethernet de 10 Gbps ou 100 Gbps, com as seguintes capacidades máximas suportadas por conexão do Cloud Interconnect:

    • 8 conexões de 10 Gbps (80 Gbps no total)
    • 2 conexões de 100 Gbps (200 Gbps no total)

    No caso da Interconexão por parceiro, as seguintes capacidades de conexão para cada anexo da VLAN são compatíveis:

    • Anexos da VLAN de 50 Mbps a 50 Gbps. O tamanho máximo permitido para anexos é de 50 Gbps, mas nem todos os tamanhos podem estar disponíveis, dependendo do que é oferecido pelo parceiro escolhido no local selecionado.
  • É possível solicitar conexões de 100 Gbps em qualquer um dos locais listados em Todas as instalações de colocation.

  • A Interconexão dedicada, a Interconexão por parceiro, o peering direto e o peering por operadora podem ajudar a otimizar o tráfego de saída da rede VPC e reduzir seus custos de saída. O Cloud VPN, por si só, não reduz os custos de saída.

  • É possível usar o Cloud Interconnect com Acesso privado do Google para hosts locais para que eles possam usar endereços IP internos em vez de externos para acessar as APIs e serviços do Google. Para mais informações, consulte Opções de acesso privado para serviços na documentação da VPC.

  • É possível aplicar a criptografia IPsec ao tráfego do Cloud Interconnect implantando a VPN de alta disponibilidade no Cloud Interconnect.

Considerações

Usar o Cloud VPN sozinho

Se você não precisar de uma conexão inteira do Cloud Interconnect, use o Cloud VPN para configurar túneis IPsec VPN entre suas redes. Os túneis VPN IPsec criptografam dados usando protocolos IPsec padrão do setor. O tráfego criptografado passa pela Internet pública.

O Cloud VPN exige a configuração de um gateway de VPN de peering na rede local.

Endereçamento IP, IPv6 e rotas dinâmicas

Ao conectar a rede VPC à rede local, você possibilita a comunicação entre o espaço de endereço IP da rede local e algumas, ou todas, sub-redes da rede VPC. Quais sub-redes VPC estarão disponíveis dependerá do modo de roteamento dinâmico da rede VPC. Intervalos IP de sub-rede em redes VPC são sempre endereços IP internos.

É possível ativar a troca de tráfego IPv6 entre a rede VPC com IPv6 ativado e a rede local. Para mais informações, consulte Suporte IPv6 para Interconexão dedicada e Suporte IPv6 para Interconexão por parceiro.

O espaço de endereço IP na rede local e na rede VPC não pode se sobrepor. Caso isso aconteça, o tráfego não será roteado corretamente. Remova quaisquer endereços sobrepostos de qualquer rede.

O roteador local compartilha as rotas da rede local com o Cloud Router na rede VPC. Essa ação cria rotas dinâmicas personalizadas na sua rede VPC, cada uma com um próximo salto definido para o anexo da VLAN apropriado.

A menos que modificados por divulgações personalizadas, os Cloud Routers na rede VPC compartilham os intervalos de endereços IP da sub-rede da rede VPC com os roteadores locais de acordo com o modo de roteamento dinâmico da rede VPC.

As configurações a seguir exigem que você crie rotas divulgadas personalizadas no Cloud Router para direcionar o tráfego da rede local para determinados endereços IP internos usando uma conexão do Cloud Interconnect:

Cloud Interconnect como uma rede de transferência de dados

Antes de usar o Cloud Interconnect, leia atentamente a Seção 2 dos Termos de Serviço geral do Google Cloud.

Usando o Network Connectivity Center, você pode usar anexos da VLAN para conectar redes locais, transmitindo o tráfego entre elas como uma rede de transferência de dados. Conecte as redes anexando anexos da VLAN a um Network Connectivity Center direcionado a cada local. Depois, conecte cada spoke a um hub do Network Connectivity Center.

Para mais informações sobre a central de conectividade de rede, consulte a Visão geral do Network Connectivity Center.

Criptografar o tráfego do Cloud Interconnect

O Cloud Interconnect não criptografa o tráfego por padrão. É possível usar o MACsec para o Cloud Interconnect a fim de ajudar a proteger o tráfego entre o roteador local e os de borda do Google em circuitos de Interconexão dedicada com suporte. Para mais informações, consulte Visão geral do MACsec para o Cloud Interconnect.

Também é possível implantar a VPN de alta disponibilidade pelo Cloud Interconnect se você precisa criptografar o tráfego transmitido pelos anexos da VLAN. A VPN de alta disponibilidade pelo Cloud Interconnect tem suporte para a Interconexão dedicada e a Interconexão por parceiro. Talvez seja necessário criptografar o tráfego do Cloud Interconnect para atender a determinados requisitos regulamentares ou de segurança. Para mais informações, consulte Visão geral da VPN de alta disponibilidade pelo Cloud Interconnect.

Restringir o uso do Cloud Interconnect

Por padrão, qualquer rede VPC pode usar o Cloud Interconnect. Para controlar quais redes VPC podem usar o Cloud Interconnect, é possível definir políticas da organização. Para mais informações, consulte Como restringir o uso do Cloud Interconnect.

MTU do Cloud Interconnect

Os anexos da VLAN do Cloud Interconnect são compatíveis com os quatro tamanhos de MTU a seguir:

  • 1.440 bytes
  • 1.460 bytes
  • 1.500 bytes
  • 8.896 bytes

O Google recomenda usar a mesma MTU para todos os anexos da VLAN conectados à mesma rede VPC e definir a MTU da rede VPC com o mesmo valor. Embora essa seja a prática recomendada, você não precisa fazer a correspondência entre as MTUs do anexo da VLAN e as MTUs da rede VPC. Poderá haver pacotes descartados, especialmente para protocolos diferentes de TCP, se você realizar uma das seguintes ações:

  • Use MTUs diferentes de anexo da VLAN para anexos da VLAN conectados à mesma rede VPC.
  • Configure as MTUs do anexo da VLAN que são menores que a MTU da rede VPC que contém os anexos da VLAN.

Para informações gerais sobre como os protocolos lidam com MTUs incompatíveis, consulte MTUs incompatíveis, restrição de MSS, descoberta de MTU de caminho na documentação de MTU da VPC.

Os pacotes enviados por um anexo da VLAN são processados da seguinte maneira:

Situação Comportamento
Pacotes TCP SYN e SYN-ACK O Google Cloud realiza o MSS clamping, alterando o MSS para que os pacotes caibam na MTU do anexo da VLAN. Por exemplo, se a MTU do anexo da VLAN for de 1.500 bytes, o MSS clamping vai usar um tamanho máximo de segmento de 1.460 bytes.
Pacotes IP até (e incluindo) a MTU do anexo da VLAN O Google Cloud não faz alterações no pacote, exceto nos pacotes SYN e SYN-ACK, conforme discutido na primeira linha.
Verificações de MTU para pacotes IP
  • A MTU dos pacotes enviados pelos recursos do Google Cloud por meio de um anexo da VLAN é limitada pela MTU do anexo da VLAN. Por exemplo, quando uma instância de VM envia pacotes para um destino acessível por uma rota dinâmica que tem um anexo da VLAN como próximo salto, os pacotes que excedem a MTU do anexo da VLAN são descartados:
    • O Google Cloud descarta o pacote e envia uma mensagem de Fragmentation Needed (ICMP over IPv4) ou de pacote muito grande (ICMPv6) quando o bit Don't Fragment (DF) está ativado e também quando o bit DF está ativado.
    • É preciso configurar as regras de firewall de VPC de entrada ou as regras em políticas de firewall de modo que o ICMP (para IPv4) ou o ICMPv6 (para IPv6) sejam permitidos a partir de origens que correspondem aos destinos originais do pacote.
    • As regras de encaminhamento para o balanceador de carga de rede de passagem interna e o encaminhamento de protocolo interno precisam usar o protocolo L3_DEFAULT para que processem o ICMP para Path MTU (PMTUD) e o protocolo usado pelo pacote original.
  • O Cloud Interconnect não aplica a MTU do anexo da VLAN para pacotes recebidos de uma rede local. Em vez disso, o Google Cloud aplica a MTU no recurso do Google Cloud que recebe o pacote:
    • Se o recurso que recebe o pacote for uma instância de VM, o Google Cloud aplicará a MTU da rede VPC usada pela interface de rede da VM de recebimento, como se a VM de recebimento tivesse recebido um pacote roteado na rede VPC.
    • Os pacotes enviados no local para serviços e APIs do Google por meio de um anexo da VLAN são processados da mesma forma que os pacotes enviados de instâncias de VM para APIs e serviços do Google. Para mais informações, consulte Comunicação com APIs e serviços do Google.
Pacotes enviados pela VPN de alta disponibilidade pelo Cloud Interconnect A VPN de alta disponibilidade no Cloud Interconnect usa uma MTU de gateway de 1.440 bytes e MTUs de payload menores, dependendo das criptografias usadas. Para mais informações, consulte Considerações sobre MTU na documentação do Cloud VPN.

Suporte para tráfego GRE

O Cloud Interconnect é compatível com o tráfego GRE. A compatibilidade com GRE permite que você encerre o tráfego GRE de uma VM da Internet (endereço IP externo) e do Cloud VPN ou do Cloud Interconnect (endereço IP interno). O tráfego delimitado pode ser encaminhado para um destino acessível. O GRE permite que você use serviços como o Secure Access Service Edge (SASE) e o SD-WAN. É necessário criar uma regra de firewall para permitir o tráfego GRE.

Diferenciar o tráfego de rede

A Interconexão dedicada e a Interconexão entre nuvens oferecem suporte à diferenciação do tráfego de rede com o reconhecimento de aplicativos no Cloud Interconnect na pré-visualização. O reconhecimento de aplicativos permite mapear o tráfego de saída para diferentes classes e definir uma política de porcentagem de largura de banda ou uma política de prioridade estrita, que pode ajudar a garantir que o tráfego de rede essencial para os negócios seja priorizado em relação ao tráfego de rede de prioridade mais baixa.

Para mais informações, consulte "Configurar a diferenciação de tráfego" para Interconnect dedicado e Cross-Cloud Interconnect.

Entre em contato com a equipe da sua conta para ativar a detecção de aplicativos no Cloud Interconnect.

Visualizar e monitorar conexões do Cloud Interconnect e anexos da VLAN

A Topologia de rede é uma ferramenta de visualização que mostra a topologia das redes VPC, conectividade híbrida de e para redes locais e as métricas associadas. É possível visualizar as conexões do Cloud Interconnect e anexos da VLAN como entidades na visualização da Topologia de rede.

A entidade base é o nível mais baixo de uma determinada hierarquia e representa um recurso que pode se comunicar diretamente com outros recursos em uma rede. A Topologia de rede agrega entidades base em entidades hierárquicas que podem ser expandidas ou recolhidas. Ao visualizar um gráfico da Topologia de rede pela primeira vez, ele agrega todas as entidades base na hierarquia de nível superior dela.

Por exemplo, a Topologia de rede agrega anexos da VLAN na conexão do Cloud Interconnect, e é possível visualizar a hierarquia expandindo ou recolhendo os ícones que representam conexões do Interconnect.

Para mais informações, consulte a visão geral da Topologia de rede.

Perguntas frequentes

Para encontrar respostas para perguntas comuns sobre a arquitetura e os recursos do Cloud Interconnect, consulte as Perguntas frequentes sobre o Cloud Interconnect.

A seguir