Perguntas frequentes sobre o Cloud Interconnect

Neste documento, você verá perguntas frequentes sobre os recursos e a arquitetura do Cloud Interconnect, agrupados nas seguintes seções principais:

Tráfego no Cloud Interconnect

Nesta seção, abordaremos perguntas sobre tipos de tráfego, largura de banda e criptografia por meio do Cloud Interconnect.

Que tipo de pacotes são transportados pelo Cloud Interconnect?

O circuito Cloud Interconnect transporta frames Ethernet 802.1q com pacotes IPv4 no payload. Eles também são conhecidos como frames Ethernet com tags VLAN.

O valor do campo ID da VLAN (VID) de 12 bits do cabeçalho 802.1q é igual ao valor atribuído pelo Google Cloud quando um anexo da VLAN é criado. Para mais informações, consulte estes documentos:

Como criptografar o tráfego no Cloud Interconnect?

Dependendo do serviço acessado usando o Cloud Interconnect, seu tráfego talvez já esteja criptografado sem ser necessário que você faça algo especial. Por exemplo, se você estiver acessando uma das APIs do Google Cloud pelo Cloud Interconnect, esse tráfego já estará criptografado com TLS. Isso é feito como se as APIs estivessem acessado pela Internet pública.

Você também pode usar a solução TLS para os serviços que cria. por exemplo, um serviço oferecido em uma instância do Compute Engine ou em um pod do Google Kubernetes Engine compatível com o protocolo HTTPS;

Se você precisar de criptografia na camada do IP, crie um ou mais gateways de VPN autogerenciados que não sejam do Google Cloud na sua rede de nuvem privada virtual (VPC) e atribua um endereço IP privado a cada gateway. Por exemplo, é possível executar uma VPN forte em uma instância do Compute Engine. É possível encerrar os túneis IPsec para esses gateways VPN por meio do Cloud Interconnect de um ambiente local.

Para mais detalhes, consulte a documentação sobre criptografia em trânsito.

Posso criar uma conexão de 100 Gbps na Interconexão dedicada?

Sim, é possível escalonar a conexão com o Google de acordo com as necessidades.

Uma conexão Interconnect consiste em um ou mais circuitos implantados como um grupo de links de canal de porta Ethernet (LAG). Os circuitos em uma conexão são de 10 Gbps ou 100 Gbps, mas não ambos.

Uma conexão tem uma das seguintes capacidades máximas:

  • 2 circuitos de 100 Gbps (200 Gbps no total)
  • 2 circuitos de 100 Gbps (200 Gbps no total)

A Interconexão dedicada ou o Partner Interconnect são compatíveis com capacidades de anexo da VLAN de 50 Mbps a 50 Gbps. Embora o tamanho máximo de anexo compatível com a Interconexão por parceiro seja de 50 Gbps, nem todos os tamanhos estão disponíveis, dependendo do que é oferecido pelo parceiro escolhido no local selecionado.

É possível solicitar mais de uma conexão e usá-las de maneira ativa-ativa usando os recursos de roteamento do protocolo do gateway de borda (BGP, na sigla em inglês) do Cloud Router.

Para uma lista detalhada de capacidades, cotas e limites, consulte Preços e Cotas e limites do Cloud Interconnect.

Posso acessar minhas instâncias usando IPv6 no Cloud Interconnect?

O IPv6 é compatível com algumas regiões de sub-redes, mas não com o Cloud Interconnect ou o Cloud Router.

Posso especificar o endereço IP de peering do BGP?

  • No Partner Interconnect, não. O Google escolhe os endereços IP de peering.
  • Na Interconexão dedicada, é possível especificar um intervalo de endereços IP (bloco CIDR) que o Google seleciona quando você cria um anexo da VLAN. O bloco CIDR precisa estar no intervalo de endereços IP do link local169.254.0.0/16.

Posso acessar as APIs do Google por meio do Cloud Interconnect no local? Quais serviços ou APIs estão disponíveis?

Há duas maneiras de acessar as APIs do Google.

  • Opção 1: é possível ativar o Acesso privado do Google para uma ou mais sub-redes na rede VPC e implantar uma ou mais instâncias de proxy reverso nelas. sub-redes. Esses proxies reversos têm apenas o IP particular da VPC configurado e, portanto, são acessíveis apenas por meio do link do Cloud Interconnect no local. Com essa solução, a maioria dos acessos a APIs do Google Cloud, APIs para desenvolvedores e a maioria dos serviços do Google Cloud é concedida.

    Para mais detalhes, incluindo uma lista de serviços do Google Cloud compatíveis com o Acesso privado do Google, consulte Como configurar o Acesso privado do Google.

  • Opção 2: use o Acesso privado do Google para hosts locais. Nesse caso, é necessário enviar as solicitações de hosts no local para restricted.googleapis.com, que é resolvido de modo persistente para o intervalo de IP 199.36.153.4/30, também conhecido como intervalo VIP restrito.

    Para divulgar o intervalo VIP restrito, adicione uma rota personalizada no Cloud Router. Isso garante que o tráfego para o VIP restrito (como destino) seja roteado do local para os endpoints da API por meio do Cloud Interconnect. Somente as APIs e os serviços do Google compatíveis com o VIP restrito são acessíveis com essa solução.

Para ver as informações mais recentes sobre os detalhes de configuração e os serviços compatíveis, consulte Como configurar o Acesso privado do Google para hosts no local.

Posso usar o Cloud Interconnect como um canal privado para acessar todos os serviços do Google Workspace por meio de um navegador?

Não é possível acessar aplicativos do Google Workspace no Cloud Interconnect.

Por que minhas sessões de BGP oscilam continuamente após determinado intervalo?

Verifique se há uma máscara de sub-rede incorreta no intervalo de IP do BGP no local. Por exemplo, talvez você tenha definido 169.254.10.0/30, em vez de configurar 169.254.10.0/29.

É possível enviar e aprender valores MED por meio de uma conexão de Interconexão por parceiro L3?

Se você estiver usando uma conexão do Partner Interconnect em que um provedor de serviços da Camada 3 gerencia o BGP para você, o Cloud Router não aprende valores MED do seu roteador local nem envia valores MED a esse roteador. Isso ocorre porque os valores MED não são transmitidos por meio de sistemas autônomos. Nesse tipo de conexão, não é possível definir prioridades de rota anunciadas pelo Cloud Router para seu roteador local. Além disso, não é possível definir prioridades para rota divulgadas pelo roteador local para sua rede VPC.

Arquitetura do Cloud Interconnect

Nesta seção, abordamos perguntas comuns que surgem ao projetar ou usar uma arquitetura do Cloud Interconnect.

Posso renomear conexões da interconexão dedicada ou movê-las para um projeto diferente?

Não. Depois de nomear uma conexão de interconexão dedicada, não será possível renomeá-la ou movê-la para outro projeto do Google Cloud. Em vez disso, é preciso excluir a conexão e recriá-la com um novo nome ou em um projeto diferente.

Posso usar o Cloud Interconnect para me conectar à Internet pública?

As rotas da Internet não são divulgadas pelo Cloud Interconnect.

Como posso me conectar ao Google Cloud se eu estiver em um local do PoP não listado nos locais da instalação de colocation?

Você tem duas opções, após as quais é possível passar pelo processo normal de pedido e provisionamento da Interconexão dedicada:

  • Opção 1: é possível pedir linhas em lease de uma operadora para se conectar do seu ponto de presença a uma das instalações de colocation do Cloud Interconnect do Google. Geralmente, é melhor entrar em contato com o provedor da instalação de colocation atual e conseguir uma lista de provedores "na rede". Um provedor "on-net" é aquele que já tem uma infraestrutura no edifício em que você está localizado. Usar um provedor on-net é mais barato e rápido do que usar outro provedor que precise desenvolver a infraestrutura para encontrar você na sua PoP atual.
  • Opção 2: use o Partner Interconnect com um provedor de serviços que possa fornecer um circuito Last Mile (última milha) para localizar você. Provedores de colocation geralmente não podem fornecer esse tipo de serviço porque têm locais fixos onde você já precisa estar presente.

Se eu usar o Partner Interconnect, posso ver a conexão no projeto em que crio o anexo da VLAN?

Quando você usa o serviço de Interconexão por parceiro, o objeto da conexão de interconexão é criado no projeto do provedor de serviços e não fica visível em seu projeto. O anexo da VLAN (interconnectAttachment) ainda estará visível no projeto, como no caso do Cloud Interconnect.

Como faço para criar uma arquitetura redundante que use o Cloud Interconnect?

Dependendo do SLA desejado, é necessário implementar arquiteturas específicas tanto para a Interconexão dedicada quanto para a Interconexão por parceiro.

Topologias para arquiteturas prontas para produção com um SLA de 99,99% e para aplicativos não críticos com um SLA de 99,9% estão disponíveis nos tutoriais do Cloud Interconnect.

Esses níveis de SLA referem-se à disponibilidade da conexão do Interconnect, que é a disponibilidade da conexão roteada entre a empresa no local e a rede VPC. Por exemplo, se você criar um serviço nas instâncias do Compute Engine que pode ser acessado pelo Cloud Interconnect, a disponibilidade do serviço dependerá da disponibilidade combinada de ambos os serviços do Cloud Interconnect e do Compute Engine.

  • Na Interconexão dedicada, uma interconexão única (pacote LACP) tem um SLA sem tempo de atividade.
  • Na Interconexão por parceiro, um anexo da VLAN tem um SLA sem tempo de atividade.

Os problemas de falhas únicas em pacotes/interconexões são tratados com uma prioridade de histórico de consultas de até P3: impacto médio, uso de serviço parcialmente prejudicado. Portanto, não espere por uma resolução rápida ou análise posterior da causa raiz.

Devido à manutenção planejada ou não planejada, os links ou pacotes únicos podem ser drenados mesmo por longos períodos de tempo, como horas ou dias.

É possível encaminhar o tráfego por meio do Cloud Interconnect entre meu aplicativo no local e meus back-ends do balanceador de carga interno?

Neste cenário, você implantou um aplicativo que consiste em dois níveis: um nível local que ainda não foi migrado para o Google Cloud (nível legado) e um nível de nuvem em execução nas instâncias de VPC que estão também back-ends de um balanceador de carga interno do Google Cloud.

É possível usar o Cloud Interconnect para encaminhar o tráfego entre essas duas camadas de aplicativos, desde que você implemente as rotas necessárias entre o Cloud Router e seu roteador local. Considere os dois casos a seguir:

Caso 1: back-ends do Cloud Router e do balanceador de carga localizados na mesma região.

Como o Cloud Router usado para o anexo da VLAN que processa o tráfego desse aplicativo está na mesma região da sub-rede que contém os back-ends do balanceador de carga, o tráfego pode ser encaminhado sem outras configurações.

Caso 2: back-ends do Cloud Router e do balanceador de carga localizados em diferentes regiões.

Neste cenário, como os back-ends do Cloud Router e do balanceador de carga estão localizados em diferentes regiões, é necessário configurar o seguinte:

  • Ativar o modo de roteamento dinâmico global na VPC.
  • Ativar o modo de acesso global no balanceador de carga.

Para ver mais informações, consulte os seguintes tópicos:

Posso transferir uma ou mais instâncias do Cloud Interconnect entre organizações ou projetos do Google Cloud?

Se você quiser transferir um projeto para uma nova organização do Google Cloud, abra um caso de suporte, e o Google Cloud facilitará a transferência.

As alterações da organização não afetam os anexos da Interconexão dedicada e da VLAN, desde que o projeto permaneça o mesmo.

Para alterações de projeto, se você estiver executando uma ativação do Cloud Interconnect e tiver uma procuração, mas ainda não tiver concluído a ativação, cancele a ativação atual e crie uma nova no projeto correto. O Google emite uma nova procuração, que pode ser fornecida ao seu provedor de conexão de interconexão. Para ver as etapas, consulte Como solicitar uma conexão e Como recuperar LOA-CFAs.

Não é possível mover uma conexão ativa do Interconnect entre projetos porque é um objeto filho do projeto, e não há capacidade de migrar objetos automaticamente entre projetos. Se possível, inicie uma solicitação de nova conexão de interconexão.

Como posso usar a mesma interconexão do Cloud Interconnect para conectar várias redes VPC em diversos projetos dentro da mesma organização do Google Cloud?

Tanto na Interconexão dedicada quanto na Interconexão por parceiro é possível usar uma rede VPC compartilhada ou peering de rede VPC para compartilhar um único anexo entre várias redes VPC. Para ver as etapas, consulte Como ativar várias redes VPC para acessar o mesmo anexo da VLAN.

Para Partner Interconnect

Se não for possível usar o VPC compartilhado ou o peering de rede VPC (por exemplo, porque você precisa manter as redes VPC separadas), crie mais anexos da VLAN. A criação de mais anexos pode gerar custos adicionais.

Se você tiver vários anexos da VLAN, incluindo anexos em projetos diferentes, será possível emparelhá-los com uma conexão do Partner Interconnect do mesmo provedor de serviços ou com conexões do Partner Interconnect de diferentes provedores de serviços.

Para Interconexão dedicada

É possível criar vários anexos, um para cada projeto ou rede VPC à qual você quer se conectar.

Se você tiver muitos projetos, será possível atribuir a cada um deles o próprio anexo da VLAN e o próprio Cloud Router. Basta configurar todos os anexos para usar a mesma conexão física da Interconexão dedicada em um projeto especificado.

O anexo da VLAN, além de ser uma VLAN com um ID 802.1q, é um objeto filho de uma conexão do Interconnect que existe em um projeto.

Nesse modelo, cada rede VPC tem sua própria configuração de roteamento. Se você quiser centralizar as políticas de roteamento, poderá analisar o Modelo de VPC compartilhada e as considerações relacionadas. Em seguida, encerre o anexo da VLAN na rede VPC do projeto host da VPC compartilhada. O projeto host tem uma cota para o número máximo de anexos da VLAN por conexão. Para ver detalhes, consulte Cotas e limites do Cloud Interconnect.

Posso usar uma única conexão de interconexão para conectar vários sites locais à minha rede VPC?

Isso é fácil de fazer. Por exemplo, se os vários sites fizerem parte de uma rede VPN MPLS, autogerenciada ou gerenciada por uma operadora, você poderá adicionar logicamente a rede VPC como um site adicional usando uma abordagem semelhante. para Inter-AS MPLS VPN Option A. Para mais informações, consulte RFC 4364, Parágrafo 10

Esta solução está descrita na resposta para fazer uma rede VPC aparecer no serviço VPN MPLS de um parceiro. Aproveitando os recursos de BGP do Cloud Router, é possível injetar rotas de VPC em uma estrutura de núcleo de IP atual usando técnicas e arquiteturas semelhantes às usadas para importar rotas da Internet.

Posso corrigir fisicamente uma conexão e uma interconexão de outro provedor de nuvem?

Se você já estiver usando outro provedor de nuvem que ofereça um serviço com função equivalente ao Cloud Interconnect, não haverá configuração em comum entre os provedores de nuvem para reparar fisicamente duas conexões, uma fornecida pelo Google Cloud e fornecido pelo outro provedor de nuvem. No entanto, é possível rotear entre o espaço de endereço particular da rede VPC e a rede de um provedor de nuvem diferente.

Se o ponto de transferência de serviço do outro provedor de nuvem estiver no mesmo local que o Cloud Interconnect, será possível provisionar seu próprio roteador nesse local para encerrar os dois serviços de conexão. Depois, o roteador é roteado entre a rede VPC e a rede do outro provedor de nuvem. Essa configuração permite rotear diretamente das duas redes em nuvem para sua rede local com um mínimo de atraso.

Algumas operadoras de Interconexão por parceiro oferecem isso como um serviço gerenciado, baseado em um roteador virtual. Se o Google Cloud e o outro provedor de nuvem encerrarem os serviços de interconexão em locais diferentes, será necessário fornecer um circuito que conecte os dois locais.

É possível conectar a AWS e o Google Cloud sem colocar o equipamento em uma instalação de colocation próxima à borda do Google?

Alguns provedores de serviços de rede oferecem as próprias soluções baseadas no Cloud Router e no Partner Interconnect para os clientes do Google Cloud que não querem colocar o hardware perto da borda do Google.

Para informações sobre como configurar soluções da Equinix com o Google Cloud, consulte as instruções de configuração da Equinix.

Para informações sobre como configurar o produto Megaport com o Google Cloud, consulte as instruções de configuração do Megaport.

Anexos da VLAN

Nesta seção, abordamos perguntas sobre anexos da VLAN.

Como escolho o ID da VLAN usado em um anexo da VLAN?

Para um anexo da VLAN criado com o Partner Interconnect, o provedor de serviços escolhe o código da VLAN durante o processo de criação do anexo ou permite que você o escolha. Verifique com seu provedor de serviços se ele permite que você escolha o ID da VLAN de anexos da VLAN.

Para um anexo da VLAN criado com a Interconexão dedicada, é possível usar o comando gcloud compute interconnects attachments create com a sinalização --vlan ou seguir as instruções do console do Google Cloud.

O exemplo a seguir mostra como usar o comando gcloud para alterar o ID da VLAN para 5:

gcloud compute interconnects attachments dedicated create my-attachment \
  --router my-router \
  --interconnect my-interconnect \
  --vlan 5 \
  --region us-central1

Para instruções completas, consulte um dos documentos a seguir:

Posso usar um Cloud Router com mais de um anexo da VLAN?

Sim, essa é uma configuração compatível.

Posso configurar anexos em que a largura de banda combinada excede a largura de banda da minha conexão do Cloud Interconnect?

Sim, mas criar anexos com uma largura de banda combinada maior do que a conexão do Interconnect não oferece mais do que a largura de banda máxima permitida da conexão.

MPLS

Nesta seção, você encontra perguntas sobre o Cloud Interconnect e a troca de vários protocolos de protocolo (MPLS, na sigla em inglês).

Posso usar o Cloud Interconnect para encerrar um MPLS LSP dentro da minha rede VPC?

A VPC não oferece um recurso integrado ao Google Cloud para encerrar o LSP MPLS.

Em um serviço de VPN de MPLS autogerenciado, posso fazer com que minha rede VPC apareça como um site extra?

Se você tiver um serviço de VPN de MPLS que gerencia, poderá fazer com que sua rede VPC apareça como um site extra que consiste em uma VPN autogerenciada.

Este cenário pressupõe que você não está comprando um serviço de VPN MPLS de um provedor. Em vez disso, você tem um ambiente VPN MPLS onde gerencia e configura sozinho os roteadores P e PE da rede MPLS.

Para que sua rede VPC apareça como um site extra em seu serviço de VPN MPLS autogerenciado, faça o seguinte:

  1. Conecte um dos seus dispositivos de borda PE de VPN MPLS ao dispositivo de borda de peering da Interconexão dedicada. Use um modelo muito semelhante ao Inter-AS MPLS VPN Option A. Consulte o parágrafo 10 do RFC 4364 (em inglês). Em outras palavras, é possível encerrar a VPN MPLS-VPN necessária, por exemplo, VRF_A, no seu dispositivo de borda PE e usar o mapeamento entre VLAN e VRF para "participar" do anexo da VLAN do Google Cloud na essa VPN, basicamente, mapeando a VLAN para VRF_A no dispositivo de borda PE.

  2. Crie uma sessão BGP IPv4 padrão entre o roteador PE e o Cloud Router para garantir que as rotas sejam trocadas entre eles. As rotas enviadas pelo Cloud Router aparecerão apenas na tabela de roteamento da VPN (dentro da VRF_A), e não na tabela de roteamento global do dispositivo de borda PE.

    É possível gerenciar intervalos de IPs sobrepostos criando várias VPNs separadas. Por exemplo, VRF_A e VRF_B, cada um com uma sessão BGP para o Cloud Router em uma rede VPC específica, como VPC_A e VPC_B. Esse procedimento não requer nenhum encapsulamento MPLS entre o dispositivo de borda PE e o dispositivo de borda de peering para Interconexão dedicada.

É possível fazer com que a minha rede VPC apareça como um site extra na minha VPN MPLS de uma operadora que também seja parceira da Interconexão por parceiro?

Se você comprar um serviço de VPN MPLS de uma operadora que também seja parceira oficial da Interconexão por parceiro, será possível fazer com que sua rede VPC apareça como um site extra na sua VPN MPLS.

Nesse caso, o provedor gerencia e configura os roteadores P e PE da rede MPLS deles. Como a Interconexão por parceiro usa exatamente o mesmo modelo de conectividade que a Interconexão dedicada, a operadora aproveita um modelo muito semelhante a Inter-AS MPLS VPN Option A. Consulte o RFC 4364, Parágrafo 10 (em inglês).

Essencialmente, a operadora fornece a você um serviço de Interconexão por parceiros de camada 3 e, em seguida, "vincula" seu anexo de interconexão (VLAN) à VPN MPLS correta no dispositivo de borda da operadora. Como esse é um modelo de serviço de camada 3, a sessão do BGP é estabelecida entre seu Cloud Router e sua VRF dentro do dispositivo de borda da operadora. Para saber mais, consulte a visão geral do Partner Interconnect.

Eventos de manutenção de infraestrutura

O que são eventos de manutenção de infraestrutura?

O Cloud Interconnect pode precisar realizar, periodicamente, manutenções programadas que podem afetar a rede. Também podem ocorrer eventos de manutenção emergencial ou não programada que podem desligar os circuitos. O Google recomenda a criação de topologias de rede híbrida de alta disponibilidade.

Com que frequência ocorrem os eventos de manutenção programada de infraestrutura?

Os eventos de manutenção de infraestrutura não têm um intervalo definido entre as ocorrências, mas geralmente acontecem várias vezes ao ano.

Como saber quando ocorrerão eventos de manutenção da infraestrutura?

Antes de um evento de manutenção de infraestrutura programado, os usuários da Interconexão dedicada recebem as seguintes notificações:

  • Um e-mail é enviado a todos os proprietários do projeto de conexão do Dedicated Interconnect assim que uma manutenção impactante é programada.
  • Um e-mail é enviado ao endereço listado no campo nocContactEmail do objeto do Cloud Interconnect. Você pode encontrar e editar esse objeto no console do Google Cloud na página "Detalhes do Cloud Interconnect" ou usando o seguinte comando da gcloud:

    gcloud compute interconnects describe my-interconnect
    
  • Um e-mail é enviado para todos os contatos técnicos listados para o projeto que hospeda a conexão da Interconexão dedicada.

  • Uma notificação é exibida na guia Atividade do console do Cloud e na área das Notificações.

Os usuários do Partner Interconnect recebem as seguintes notificações:

  • Um e-mail é enviado para todos os contatos técnicos do projeto que hospeda o anexo da VLAN.
  • Um e-mail é enviado a todos os proprietários do projeto que hospeda o anexo da VLAN.

As notificações não aparecem no console do Cloud para usuários do Partner Interconnect.

Para saber mais detalhes sobre como atribuir contatos técnicos para um projeto, consulte Como gerenciar contatos para notificações.

Um único link em um domínio de disponibilidade de borda não tem nenhum SLA. Para evitar a perda de acesso aos serviços durante a manutenção, provisione dois links em diferentes domínios de disponibilidade de borda.

Gerenciamento de conexões da interconexão

Como posso desconectar ou desativar minha conexão de interconexão temporariamente?

Se você quiser encerrar a conexão da Interconexão dedicada ou do Partner Interconnect temporariamente (para testes de failover ou de alarme etc.), use o comando a seguir.

  gcloud compute interconnects update my-interconnect --no-admin-enabled
  

Para reativar a conexão, use o seguinte comando:

  gcloud compute interconnects update my-interconnect --admin-enabled
  

Se você precisar desanexar fisicamente a conexão, trabalhe com o provedor para desconectar a conexão cruzada do MMR na instalação de colocation. É possível fornecer a LOA original fornecida ao provedor para solicitar a desconexão.

Se você não tiver mais acesso à LOA, envie um e-mail para cloud-interconexão-sd@google.com.