Perguntas frequentes sobre o Cloud Interconnect

Neste documento, você verá perguntas frequentes sobre os recursos e a arquitetura do Cloud Interconnect, agrupados nas seguintes seções principais:

Tráfego no Cloud Interconnect

Nesta seção, abordaremos perguntas sobre tipos de tráfego, largura de banda e criptografia por meio do Cloud Interconnect.

Que tipo de pacotes são transportados pelo Cloud Interconnect?

O circuito Cloud Interconnect transporta frames Ethernet 802.1q com pacotes IPv4 no payload. Eles também são conhecidos como frames Ethernet com tags VLAN.

O valor do campo ID da VLAN (VID) de 12 bits do cabeçalho 802.1q é igual ao valor atribuído pelo Google Cloud quando um anexo da VLAN é criado. Para mais informações, consulte estes documentos:

Como criptografar o tráfego no Cloud Interconnect?

Dependendo do serviço acessado usando o Cloud Interconnect, seu tráfego talvez já esteja criptografado sem ser necessário que você faça algo especial. Por exemplo, se você estiver acessando uma das APIs do Google Cloud pelo Cloud Interconnect, esse tráfego já estará criptografado TLS. Isso é feito como se as APIs estivessem acessado pela Internet pública.

Você também pode usar a solução TLS para os serviços que cria. por exemplo, um serviço oferecido em uma instância do Compute Engine ou em um pod do Google Kubernetes Engine compatível com o protocolo HTTPS;

Se você precisar de criptografia apenas entre o roteador local e os roteadores de borda do Google, recomendamos o MACsec para Cloud Interconnect.

Se você precisar de criptografia na camada do IP, a solução recomendada é implantar a VPN de alta disponibilidade pelo Cloud Interconnect.

Se, por algum motivo, não for possível implantar a VPN de alta disponibilidade pelo Cloud Interconnect, será possível criar um ou mais gateways de VPN autogerenciados (que não sejam do Google Cloud) na sua rede de nuvem privada virtual (VPC) e atribuir um endereço IP particular a cada gateway. Por exemplo, é possível executar uma VPN strongSwan em uma instância do Compute Engine. É possível encerrar os túneis IPsec para esses gateways VPN por meio do Cloud Interconnect de um ambiente local.

Para mais informações, consulte Criptografia em trânsito.

Posso criar uma conexão de 100 Gbps na Interconexão dedicada?

Sim, é possível escalonar a conexão com o Google de acordo com as necessidades.

Uma conexão do Cloud Interconnect consiste em um ou mais circuitos implantados como um grupo de links de canal de porta Ethernet (LAG). Os circuitos em uma conexão são de 10 Gbps ou 100 Gbps, mas não ambos.

Uma conexão tem uma das seguintes capacidades máximas:

  • 8 circuitos de 10 Gbps (80 Gbps no total)
  • 2 circuitos de 100 Gbps (200 Gbps no total)

A Interconexão dedicada ou o Partner Interconnect são compatíveis com capacidades de anexo da VLAN de 50 Mbps a 50 Gbps. Embora o tamanho máximo de anexo compatível com a Interconexão por parceiro seja de 50 Gbps, nem todos os tamanhos estão disponíveis, dependendo do que é oferecido pelo parceiro escolhido no local selecionado.

É possível solicitar mais de uma conexão e usá-las de maneira ativa-ativa usando os recursos de roteamento do protocolo do gateway de borda (BGP, na sigla em inglês) do Cloud Router.

Para uma lista detalhada de capacidades, cotas e limites, consulte Preços e Cotas e limites do Cloud Interconnect.

Posso acessar minhas instâncias usando IPv6 no Cloud Interconnect?

A Interconexão dedicada oferece suporte a conexões IPv6 com redes locais por meio de anexos da VLAN IPv4 e IPv6 (pilha dupla).

É possível ativar a troca de rotas IPv6 no seu anexo da VLAN de pilha dupla configurando uma sessão IPv6 do BGP Visualização ou ativando a troca de rotas IPv6 em uma sessão IPv4 do BGP. Para informações sobre como criar um anexo da VLAN de pilha dupla, consulte Criar anexos da VLAN.

Para informações sobre como desativar a troca de rotas IPv6 em uma sessão IPv4 do BGP, consulte Configurar o BGP com vários protocolos em sessões IPv4 ou IPv6 do BGP.

Posso especificar o endereço IP de peering do BGP?

  • No Partner Interconnect, não. O Google escolhe os endereços IP de peering.
  • Na Interconexão dedicada, é possível especificar um intervalo de endereços IPv4 candidato (bloco CIDR) que o Google seleciona quando cria um anexo da VLAN. Esse bloco CIDR precisa estar no intervalo de endereços de link-local IPv4 169.254.0.0/16. Não é possível especificar um intervalo de endereços IPv6 candidato. O Google escolhe um intervalo do intervalo 2600:2d00:0:1::/64 de endereços unicast globais de propriedade do Google (GUA, na sigla em inglês).

Posso acessar as APIs do Google por meio do Cloud Interconnect no local? Quais serviços ou APIs estão disponíveis?

As seguintes opções estão disponíveis:

Posso usar o Cloud Interconnect como um canal privado para acessar todos os serviços do Google Workspace por meio de um navegador?

Não é possível acessar aplicativos do Google Workspace no Cloud Interconnect.

Por que minhas sessões de BGP oscilam continuamente após determinado intervalo?

Verifique se há uma máscara de sub-rede incorreta no intervalo de IP do BGP no local. Por exemplo, talvez você tenha definido 169.254.10.0/30, em vez de configurar 169.254.10.0/29.

É possível enviar e aprender valores MED por meio de uma conexão de Interconexão por parceiro L3?

Se você estiver usando uma conexão do Partner Interconnect em que um provedor de serviços da Camada 3 gerencia o BGP para você, o Cloud Router não aprende valores MED do seu roteador local nem envia valores MED a esse roteador. Isso ocorre porque os valores MED não são transmitidos por meio de sistemas autônomos. Nesse tipo de conexão, não é possível definir prioridades de rota anunciadas pelo Cloud Router para seu roteador local. Além disso, não é possível definir prioridades para rota divulgadas pelo roteador local para sua rede VPC.

Arquitetura do Cloud Interconnect

Nesta seção, abordamos perguntas comuns que surgem ao projetar ou usar uma arquitetura do Cloud Interconnect.

Posso renomear conexões da interconexão dedicada ou movê-las para um projeto diferente?

Não. Depois de nomear uma conexão de interconexão dedicada, não será possível renomeá-la ou movê-la para outro projeto do Google Cloud. Em vez disso, é preciso excluir a conexão e recriá-la com um novo nome ou em um projeto diferente.

Posso usar o Cloud Interconnect para me conectar à Internet pública?

As rotas da Internet não são divulgadas pelo Cloud Interconnect.

Como posso me conectar ao Google Cloud se eu estiver em um local do PoP não listado nos locais da instalação de colocation?

Você tem duas opções, após as quais é possível passar pelo processo normal de pedido e provisionamento da Interconexão dedicada:

  • Opção 1: é possível pedir linhas em lease de uma operadora para se conectar do seu ponto de presença a uma das instalações de colocation do Cloud Interconnect do Google. Geralmente, é melhor entrar em contato com o provedor da instalação de colocation atual e conseguir uma lista de provedores "na rede". Um provedor "on-net" é aquele que já tem uma infraestrutura no edifício em que você está localizado. Usar um provedor on-net é mais barato e rápido do que usar outro provedor que precise desenvolver a infraestrutura para encontrar você na sua PoP atual.
  • Opção 2: use o Partner Interconnect com um provedor de serviços que possa fornecer um circuito Last Mile (última milha) para localizar você. Provedores de colocation geralmente não podem fornecer esse tipo de serviço porque têm locais fixos onde você já precisa estar presente.

Se eu usar o Partner Interconnect, posso ver a conexão no projeto em que crio o anexo da VLAN?

Quando você usa o serviço de Interconexão por parceiro, o objeto da conexão é criado no projeto do provedor de serviços e não fica visível em seu projeto. O anexo da VLAN (interconnectAttachment) ainda estará visível no projeto, como no caso do Cloud Interconnect.

Como faço para criar uma arquitetura redundante que use o Cloud Interconnect?

Dependendo do SLA desejado, é necessário implementar arquiteturas específicas tanto para a Interconexão dedicada quanto para a Interconexão por parceiro.

Para mais informações, consulte Topologia para o nível de produção de aplicativos da Web e Topologia para aplicativos não críticos geral.

Esses níveis de SLA referem-se à disponibilidade da conexão do Cloud Interconnect, que é a disponibilidade da conexão roteada entre a empresa no local e a rede VPC. Por exemplo, se você criar um serviço nas instâncias do Compute Engine que pode ser acessado pelo Cloud Interconnect, a disponibilidade do serviço dependerá da disponibilidade combinada de ambos os serviços do Cloud Interconnect e do Compute Engine.

  • Na Interconexão dedicada, uma conexão única (pacote LACP) tem um SLA sem tempo de atividade.
  • Na Interconexão por parceiro, um anexo da VLAN tem um SLA sem tempo de atividade.

Os problemas de falhas únicas em pacotes/interconexões são tratados com uma prioridade de histórico de consultas de até P3: impacto médio, uso de serviço parcialmente prejudicado. Portanto, não espere por uma resolução rápida ou análise posterior da causa raiz.

Devido à manutenção planejada ou não planejada, os links ou pacotes únicos podem ser drenados mesmo por longos períodos de tempo, como horas ou dias.

É possível encaminhar o tráfego por meio do Cloud Interconnect entre meu aplicativo no local e meus back-ends do balanceador de carga interno?

Neste cenário, você implantou um aplicativo que consiste em dois níveis: um nível local que ainda não foi migrado para o Google Cloud (nível legado) e um nível de nuvem em execução nas instâncias de VPC que estão também back-ends de um balanceador de carga interno do Google Cloud.

É possível usar o Cloud Interconnect para encaminhar o tráfego entre essas duas camadas de aplicativos, desde que você implemente as rotas necessárias entre o Cloud Router e seu roteador local. Considere os dois casos a seguir:

Caso 1: back-ends do Cloud Router e do balanceador de carga localizados na mesma região.

Como o Cloud Router usado para o anexo da VLAN que processa o tráfego desse aplicativo está na mesma região da sub-rede que contém os back-ends do balanceador de carga, o tráfego pode ser encaminhado sem outras configurações.

Caso 2: back-ends do Cloud Router e do balanceador de carga localizados em diferentes regiões.

Neste cenário, como os back-ends do Cloud Router e do balanceador de carga estão localizados em diferentes regiões, é necessário configurar o seguinte:

  • Ativar o modo de roteamento dinâmico global na VPC.
  • Ativar o modo de acesso global no balanceador de carga.

Para ver mais informações, consulte os seguintes tópicos:

Posso transferir uma ou mais instâncias do Cloud Interconnect entre organizações ou projetos do Google Cloud?

Se você quiser transferir um projeto para uma nova organização do Google Cloud, abra um caso de suporte, e o Google Cloud facilitará a transferência.

As alterações da organização não afetam os anexos da Interconexão dedicada e da VLAN, desde que o projeto permaneça o mesmo.

Para alterações de projeto, se você estiver executando uma ativação do Cloud Interconnect e tiver uma procuração, mas ainda não tiver concluído a ativação, cancele a ativação atual e crie uma nova no projeto correto. O Google emite uma nova procuração, que pode ser fornecida ao seu provedor de conexão do Cloud Interconnect. Para ver as etapas, consulte Solicitar uma conexão e Recuperar LOA-CFAs.

Não é possível mover uma conexão ativa do Cloud Interconnect entre projetos porque é um objeto filho do projeto, e não há capacidade de migrar objetos automaticamente entre projetos. Se possível, inicie uma solicitação de uma nova conexão do Cloud Interconnect.

Como posso usar a mesma conexão do Cloud Interconnect para conectar várias redes VPC em diversos projetos dentro da mesma organização do Google Cloud?

Tanto na Interconexão dedicada quanto na Interconexão por parceiro é possível usar uma rede VPC compartilhada ou peering de rede VPC para compartilhar um único anexo entre várias redes VPC. Para ver as etapas, consulte Opções para se conectar a várias redes VPC.

Para Partner Interconnect

Se não for possível usar o VPC compartilhado ou o peering de rede VPC (por exemplo, porque você precisa manter as redes VPC separadas), crie mais anexos da VLAN. A criação de mais anexos pode gerar custos adicionais.

Se você tiver vários anexos da VLAN, incluindo anexos em projetos diferentes, será possível emparelhá-los com uma conexão do Partner Interconnect do mesmo provedor de serviços ou com conexões do Partner Interconnect de diferentes provedores de serviços.

Para Interconexão dedicada

É possível criar vários anexos, um para cada projeto ou rede VPC à qual você quer se conectar.

Se você tiver muitos projetos, será possível atribuir a cada um deles o próprio anexo da VLAN e o próprio Cloud Router. Basta configurar todos os anexos para usar a mesma conexão física da Interconexão dedicada em um projeto especificado.

O anexo da VLAN, além de ser uma VLAN com um ID 802.1q, é um objeto filho de uma conexão do Cloud Interconnect que existe em um projeto.

Nesse modelo, cada rede VPC tem sua própria configuração de roteamento. Se você quiser centralizar as políticas de roteamento, poderá analisar o Modelo de VPC compartilhada e as considerações relacionadas. Em seguida, encerre o anexo da VLAN na rede VPC do projeto host da VPC compartilhada. O projeto host tem uma cota para o número máximo de anexos da VLAN por conexão. Para mais detalhes, consulte Cotas e limites do Cloud Interconnect.

Posso usar uma única conexão do Cloud Interconnect para conectar vários sites locais à minha rede VPC?

Isso é fácil de fazer. Por exemplo, se os vários sites fizerem parte de uma rede VPN MPLS, autogerenciada ou gerenciada por uma operadora, você poderá adicionar logicamente a rede VPC como um site adicional usando uma abordagem semelhante. para Inter-AS MPLS VPN Option A. Para mais informações, consulte RFC 4364, Parágrafo 10

Esta solução está descrita na resposta para fazer uma rede VPC aparecer no serviço VPN MPLS de um parceiro. Aproveitando os recursos de BGP do Cloud Router, é possível injetar rotas de VPC em uma estrutura de núcleo de IP atual usando técnicas e arquiteturas semelhantes às usadas para importar rotas da Internet.

Como posso conectar o Google Cloud a outros provedores de serviços de nuvem?

O Cross-Cloud Interconnect ajuda você a estabelecer conectividade dedicada entre o Google Cloud e qualquer um dos seguintes provedores de serviços de nuvem compatíveis:

  • Amazon Web Services (AWS)
  • Microsoft Azure
  • Oracle Cloud Infrastructure (OCI)
  • Alibaba Cloud

Para mais informações, consulte Visão geral do Cloud Interconnect.

Se você estiver usando outro provedor de nuvem que não seja compatível com o Cloud Interconnect, não haverá configuração definida entre os provedores de nuvem para corrigir fisicamente duas conexões. No entanto, se o outro provedor de nuvem oferece um serviço de interconexão de rede, é possível fazer o roteamento entre o espaço de endereço privado da rede VPC e a rede de um provedor de nuvem diferente.

Se o ponto de transferência de serviço do outro provedor de nuvem estiver no mesmo local que o Cloud Interconnect, será possível provisionar seu próprio roteador nesse local para encerrar os dois serviços de conexão. Depois, o roteador é roteado entre a rede VPC e a rede do outro provedor de nuvem. Essa configuração permite rotear diretamente das duas redes em nuvem para sua rede local com um mínimo de atraso.

Algumas operadoras de Interconexão por parceiro oferecem isso como um serviço gerenciado, baseado em um roteador virtual. Se o Google Cloud e o outro provedor de nuvem encerrarem os serviços de interconexão em locais diferentes, será necessário fornecer um circuito que conecte os dois locais.

Como posso me conectar ao Google Cloud sem colocar o equipamento em uma instalação de colocation perto da borda do Google?

Alguns provedores de serviços de rede oferecem as próprias soluções baseadas no Cloud Router e no Partner Interconnect para os clientes do Google Cloud que não querem colocar o hardware perto da borda do Google.

Para informações sobre como configurar soluções da Equinix com o Google Cloud, consulte as instruções de configuração da Equinix.

Para informações sobre como configurar o Megaport com o Google Cloud, consulte as instruções de configuração do Megaport.

Para informações sobre como configurar o Console Connect com o Google Cloud, consulte as Instruções de configuração do Console Connect.

Anexos da VLAN

Nesta seção, abordamos perguntas sobre anexos da VLAN.

Como escolho o ID da VLAN usado em um anexo da VLAN?

Para um anexo da VLAN criado com o Partner Interconnect, o provedor de serviços escolhe o código da VLAN durante o processo de criação do anexo ou permite que você o escolha. Verifique com seu provedor de serviços se ele permite que você escolha o ID da VLAN de anexos da VLAN.

Para um anexo da VLAN criado com a Interconexão dedicada, é possível usar o comando gcloud compute interconnects attachments create com a sinalização --vlan ou seguir as instruções do console do Google Cloud.

O exemplo a seguir mostra como usar o comando gcloud para alterar o ID da VLAN para 5:

gcloud compute interconnects attachments dedicated create my-attachment \
  --router my-router \
  --interconnect my-interconnect \
  --vlan 5 \
  --region us-central1

Para instruções completas, consulte um dos documentos a seguir:

Posso usar um Cloud Router com mais de um anexo da VLAN?

Sim, essa é uma configuração compatível.

Posso configurar anexos em que a largura de banda combinada excede a largura de banda da minha conexão do Cloud Interconnect?

Sim, mas criar anexos com uma largura de banda combinada maior do que a conexão do Cloud Interconnect não concede mais do que a largura de banda máxima permitida da conexão.

Como atualizo minha configuração de anexo da Interconexão por parceiro para transportar o tráfego IPv6?

Se você estiver usando um provedor de serviços de camada 3, entre em contato com seu provedor de Interconexão por parceiro e peça para ele ajudar na atualização da configuração.

MPLS

Nesta seção, você encontra perguntas sobre o Cloud Interconnect e a troca de vários protocolos de protocolo (MPLS, na sigla em inglês).

Posso usar o Cloud Interconnect para encerrar um MPLS LSP dentro da minha rede VPC?

A VPC não oferece um recurso integrado ao Google Cloud para encerrar o LSP MPLS.

Em um serviço de VPN de MPLS autogerenciado, posso fazer com que minha rede VPC apareça como um site extra?

Se você tiver um serviço de VPN de MPLS que gerencia, poderá fazer com que sua rede VPC apareça como um site extra que consiste em uma VPN autogerenciada.

Este cenário pressupõe que você não está comprando um serviço de VPN MPLS de um provedor. Em vez disso, você tem um ambiente VPN MPLS onde gerencia e configura sozinho os roteadores P e PE da rede MPLS.

Para que sua rede VPC apareça como um site extra em seu serviço de VPN MPLS autogerenciado, faça o seguinte:

  1. Conecte um dos seus dispositivos de borda PE de VPN MPLS ao dispositivo de borda de peering da Interconexão dedicada. Use um modelo muito semelhante ao Inter-AS MPLS VPN Option A. Consulte o parágrafo 10 do RFC 4364 (em inglês). Em outras palavras, é possível encerrar a VPN MPLS-VPN necessária, por exemplo, VRF_A, no seu dispositivo de borda PE e usar o mapeamento entre VLAN e VRF para "participar" do anexo da VLAN do Google Cloud na essa VPN, basicamente, mapeando a VLAN para VRF_A no dispositivo de borda PE.

  2. Crie uma sessão BGP IPv4 padrão entre o roteador PE e o Cloud Router para garantir que as rotas sejam trocadas entre eles. As rotas enviadas pelo Cloud Router aparecerão apenas na tabela de roteamento da VPN (dentro da VRF_A), e não na tabela de roteamento global do dispositivo de borda PE.

    É possível gerenciar intervalos de IPs sobrepostos criando várias VPNs separadas. Por exemplo, VRF_A e VRF_B, cada um com uma sessão BGP para o Cloud Router em uma rede VPC específica, como VPC_A e VPC_B. Esse procedimento não requer nenhum encapsulamento MPLS entre o dispositivo de borda PE e o dispositivo de borda de peering para Interconexão dedicada.

É possível fazer com que a minha rede VPC apareça como um site extra na minha VPN MPLS de uma operadora que também seja parceira da Interconexão por parceiro?

Se você comprar um serviço de VPN MPLS de uma operadora que também seja parceira oficial da Interconexão por parceiro, será possível fazer com que sua rede VPC apareça como um site extra na sua VPN MPLS.

Nesse caso, o provedor gerencia e configura os roteadores P e PE da rede MPLS deles. Como a Interconexão por parceiro usa exatamente o mesmo modelo de conectividade que a Interconexão dedicada, a operadora aproveita um modelo muito semelhante a Inter-AS MPLS VPN Option A. Consulte o RFC 4364, Parágrafo 10 (em inglês).

Essencialmente, a operadora fornece a você um serviço de Interconexão por parceiros de camada 3 e, em seguida, "vincula" seu anexo de interconexão (VLAN) à VPN MPLS correta no dispositivo de borda da operadora. Como esse é um modelo de serviço de camada 3, a sessão do BGP é estabelecida entre seu Cloud Router e sua VRF dentro do dispositivo de borda da operadora. Para saber mais, consulte a visão geral do Partner Interconnect.

Eventos de manutenção de infraestrutura

Para mais informações, consulte Eventos de manutenção de infraestrutura.

Gerenciamento de conexão do Cloud Interconnect

Como posso desconectar ou desativar minha conexão do Cloud Interconnect temporariamente?

Se você quiser encerrar a conexão da Interconexão dedicada ou do Partner Interconnect temporariamente (para testes de failover ou de alarme etc.), use o comando a seguir.

  gcloud compute interconnects update my-interconnect --no-admin-enabled
  

Para reativar a conexão, use o seguinte comando:

  gcloud compute interconnects update my-interconnect --admin-enabled
  

Se você precisar desanexar fisicamente a conexão, trabalhe com o provedor para desconectar a conexão cruzada do MMR na instalação de colocation. É possível fornecer a LOA original fornecida ao provedor para solicitar a desconexão.

Se você não tiver mais acesso à procuração, envie um e-mail para cloud-interconnect-sd@google.com.

Domínio de disponibilidade de borda do Cloud Interconnect

Interconexão dedicada: como confirmar que as conexões de interconexão estão em domínios de disponibilidade de borda diferentes?

Para confirmar se as conexões de interconexão estão em domínios de disponibilidade de borda diferentes, use os comandos a seguir. Os termos zona de disponibilidade metropolitana e domínio de disponibilidade de borda são intercambiáveis. Para saber mais, consulte os locais do Cloud Interconnect.

gcloud compute interconnects describe INTERCONNECT_NAME

Na saída, verifique o campo location, que mostra um URL como https://www.googleapis.com/compute/...<example>.../sin-zone1-388.. A última parte do URL é o nome do local (sin-zone1-38).

Agora, descreva o LOCATION_NAME para exibir o domínio de disponibilidade de borda em que ele está localizado.

gcloud compute interconnects locations describe LOCATION_NAME

A saída desse comando contém uma linha que indica em qual domínio de disponibilidade de borda está a conexão de interconexão.

availabilityZone: zone1

Para verificar todos os domínios de disponibilidade de borda em uma determinada área metropolitana, consulte a tabela de locais.

Use o seguinte comando para confirmar se dois links estão em domínios de disponibilidade de borda diferentes:

gcloud compute interconnects attachments describe VLAN_ATTACHMENT_NAME /
    --region REGION

A saída desse comando contém uma linha parecida com a mostrada a seguir.

edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1

Execute o comando dos dois anexos para garantir que os domínios de disponibilidade de borda sejam diferentes.