O Network Connectivity Center é uma framework de orquestração que simplifica a conetividade de rede entre recursos spoke que estão ligados a um recurso de gestão central denominado hub. O Network Connectivity Center suporta os seguintes tipos de spokes:
- Hubs da nuvem virtual privada (VPC)
- Hubs de VPC do produtor
- NCC Gateway spokes
- Anúncios híbridos, que consistem em:
- Túneis de HA VPN
- Associações VLAN do Cloud Interconnect
- VMs de dispositivo de router
Com a conetividade de hub e spoke, pode fazer o seguinte:
- Ligar várias redes VPC entre si. As redes VPC podem estar localizadas em diferentes projetos na mesma Google Cloud organização ou em organizações diferentes.
- Ligue várias redes VPC a redes nas instalações ou de outros fornecedores de nuvem. Estas redes externas podem ser acessíveis através de qualquer tipo de spoke híbrido. Esta abordagem é conhecida como conetividade do site à nuvem.
- Use VMs de dispositivo de router para gerir a conetividade entre as suas redes VPC.
- Use uma Google Cloud rede VPC como uma rede alargada (WAN) empresarial para ligar redes que estão fora do Google Cloud. Pode estabelecer a conetividade entre os seus sites externos através de qualquer tipo de hub híbrido. Esta abordagem é conhecida como conetividade de site a site.
Como funciona
Quando um hub usa raios de VPC, pode configurar a conetividade entre estas redes VPC ligadas ao hub trocando rotas de sub-redes entre todas ou algumas das redes VPC.
Quando um hub usa raios VPC e raios híbridos, a conetividade de qualquer tipo é suportada em todos estes raios.
Quando um hub usa raios híbridos localizados numa única rede VPC, também pode configurar a transferência de dados site-to-site para que as rotas dinâmicas cujos saltos seguintes sejam um raio híbrido, por exemplo, uma ligação VLAN do Cloud Interconnect, sejam anunciadas a uma rede no local pelas sessões BGP dos outros raios híbridos nessa rede VPC.
Consulte as secções seguintes para ver uma descrição detalhada dos hubs e spokes.
Centros
Um hub do Network Connectivity Center é um recurso global ao qual anexa spokes. Um único hub pode conter raios de várias regiões. No entanto, se algum dos raios de um hub usar a funcionalidade de transferência de dados site a site, os recursos associados a esses raios têm de estar todos na mesma rede VPC. Os raios que não usam a transferência de dados de site a site podem ser associados a qualquer rede de VPC no seu projeto.
Bicicleta
Um spoke representa um ou mais Google Cloud recursos de rede que estão ligados a um hub.
Quando cria um spoke, tem de o associar a, pelo menos, um recurso de conetividade suportado, também denominado recurso de apoio.
Um spoke pode usar qualquer um dos seguintes Google Cloud recursos como recurso de apoio.
Hubs da VPC
Os raios da VPC permitem-lhe ligar duas ou mais redes VPC a um hub para que as redes troquem rotas de sub-rede. Os spokes da VPC anexados a um único hub podem fazer referência a redes VPC no mesmo projeto ou num projeto diferente (incluindo um projeto numa organização diferente).
Os raios da VPC exportam encaminhamentos de sub-redes para o hub e importam encaminhamentos de sub-redes e encaminhamentos dinâmicos do hub.
Para ver informações detalhadas sobre os raios da VPC, consulte o artigo Vista geral dos raios da VPC.
Os spokes da VPC oferecem conetividade entre intervalos de sub-redes IPv4 e IPv6 de várias redes VPC. Pode configurar cada VPC spoke para exportar intervalos de sub-redes da seguinte forma:
- Apenas intervalos de sub-redes IPv4
- Intervalos de sub-rede IPv4 e IPv6
- Apenas intervalos de sub-redes IPv6
Considere um spoke cuja rede VPC tenha uma combinação de tipos de pilha de sub-redes. Se configurar o spoke para exportar apenas intervalos de sub-redes IPv6, os intervalos de sub-redes IPv6 de sub-redes de pilha dupla e apenas IPv6 são trocados, mas os intervalos de sub-redes IPv4 de sub-redes apenas IPv4 e de pilha dupla não são trocados.
Hubs de VPC do produtor
Se tiver um spoke de VPC existente que consuma um serviço de uma rede de produtor noutro projeto através do intercâmbio de redes VPC, pode tornar o serviço acessível pelos outros spokes no hub do Network Connectivity Center criando um spoke de VPC de produtor.
Para ver informações detalhadas sobre os spokes da VPC do produtor, consulte o artigo Spokes da VPC do produtor.
Hubs do gateway
O gateway do NCC é um tipo de spoke regional associado ao hub do Network Connectivity Center. Ativa a segurança para o tráfego da rede entre nuvens. O gateway do NCC permite a inspeção do Security Service Edge (SSE) de terceiros.
Para informações detalhadas sobre os raios do gateway da NCC, consulte o artigo Vista geral do gateway da NCC.
Raios híbridos
Um spoke híbrido representa um ou mais recursos de conetividade de rede que estão ligados a um hub. Um tipo de spoke híbrido pode ser qualquer um dos seguintes recursos aos quais um spoke está associado:
- VMs de dispositivo de router
- Túneis de HA VPN
- Associações VLAN do Cloud Interconnect
Um único spoke híbrido pode ser associado a mais do que um recurso do mesmo tipo. Por exemplo, um spoke híbrido pode fazer referência a dois ou mais túneis de VPN de alta disponibilidade, mas esse mesmo spoke híbrido também não pode fazer referência a VMs de dispositivo de encaminhamento nem a anexos de VLAN do Cloud Interconnect. Um spoke híbrido tem de estar no mesmo projeto que o hub do Network Connectivity Center.
A transferência de dados de site para site através de raios híbridos requer que os raios estejam localizados na mesma rede VPC. Para mais informações, consulte o artigo Vista geral da transferência de dados entre sites.
Routers
Um raio associado a uma instância de VM do dispositivo Router suporta os seguintes exemplos de utilização:
- Conetividade IPv4 do site para a nuvem: estabeleça conetividade entre um site externo e os recursos da sua rede VPC.
- Transferência de dados site a site IPv4: use a rede da Google como parte de uma rede de área alargada (WAN) que inclua os seus sites externos para mover dados entre todos os sites.
- Conetividade IPv4 entre redes VPC: use um dispositivo virtual de rede de terceiros para estabelecer conetividade entre as suas redes VPC.
Todos os spokes de site a site ligados ao mesmo hub têm de ter todos os respetivos recursos de apoio na mesma rede VPC.
Raios do túnel de HA VPN
Um spoke associado a túneis de VPN na nuvem (VPN de alta disponibilidade) suporta os seguintes exemplos de utilização:
- Conetividade IPv4 do site para a nuvem: estabeleça conetividade entre um site externo e os recursos da sua rede VPC.
- Transferência de dados site a site IPv4: use a rede da Google como parte de uma rede de área alargada (WAN) que inclua os seus sites externos para mover dados entre todos os sites.
Todos os aparelhos associados a um único spoke e todos os túneis do Cloud VPN e anexos de VLAN têm de estar na mesma rede VPC.
Hubs de associação VLAN do Cloud Interconnect
Um spoke associado a anexos de VLAN do Cloud Interconnect suporta os seguintes exemplos de utilização:
- Conetividade IPv4 site-to-cloud: todos os dispositivos associados a partir de um único spoke têm de estar na mesma rede VPC.
- Transferência de dados site a site IPv4: todos os túneis da Cloud VPN, anexos de VLAN ou ambos têm de estar na mesma rede da VPC.
Troca de rotas com conetividade da VPC
Os raios da VPC do Network Connectivity Center suportam a troca dos seguintes intervalos de sub-redes:
As rotas dinâmicas IPv4, ou seja, as rotas aprendidas pelos raios híbridos através do BGP, também podem ser trocadas com raios VPC ou outros raios híbridos.
Importação de sub-redes do hub para raios híbridos
Pode alcançar o anúncio automático de intervalos de sub-redes IP de raios de VPC para redes no local e de outros fornecedores de nuvem através do BGP ativando a importação de sub-redes de hubs para raios híbridos. Quando ativada, todas as novas sub-redes da VPC criadas ou eliminadas e que se encontram na tabela de rotas do hub são importadas automaticamente pelos raios híbridos e anunciadas através do BGP aos respetivos pares remotos.
Para anunciar automaticamente intervalos de endereços IP de sub-redes de raios de VPC a raios híbridos, use a flag --include-import-ranges com o campo ALL_IPV4_RANGES durante a criação de raios. Por predefinição, o campo --include-import-ranges está vazio, o que significa que não são importadas sub-redes do hub para raios híbridos novos ou existentes até que o campo ALL_IPV4_RANGES seja especificado. Os raios híbridos também podem enviar intervalos de endereços IP públicos usados de forma privada
para o hub do Centro de conectividade de rede.
Para obter informações detalhadas sobre como criar raios híbridos, consulte o artigo Trabalhe com raios.
Anúncio de trajeto personalizado
O anúncio de rota personalizada no Cloud Router
dá-lhe controlo manual sobre os prefixos anunciados pelos spokes híbridos.
Pode especificar rotas anunciadas personalizadas (incluindo rotas predefinidas, 0.0.0.0/0 para rotas IPv4 ou ::/0 para rotas IPv6) para todas as sessões BGP quando não precisar do anúncio automático de sub-redes spoke da VPC. Por predefinição, as sub-redes spoke de outras VPCs não são anunciadas, o que significa que as localizações no local não ficam automaticamente a saber da acessibilidade a estes intervalos de endereços IP.
Considerações para importar sub-redes do hub
Tenha em atenção as seguintes considerações quando usar a funcionalidade de sub-redes do hub de importação.
- Todas as sub-redes spoke da VPC na tabela de rotas do hub são
anunciadas a um spoke híbrido por predefinição se o spoke híbrido tiver
ALL_IPV4_RANGESespecificado no campo--include-import-ranges. - A prioridade de encaminhamento seguida é a das sub-redes da rede VPC de destino, das sub-redes do hub e dos encaminhamentos personalizados do Cloud Router por essa ordem.
- O Centro de conetividade de rede impede sobreposições entre sub-redes de VPC de encaminhamento e sub-redes de hub de outros raios de VPC.
- Se uma rota personalizada do Cloud Router for exatamente igual ou se sobrepuser às sub-redes de VPC de destino ou às sub-redes do hub, a rota personalizada desse Cloud Router é ignorada.
- Os atributos BGP das sub-redes do hub são os mesmos que os das sub-redes da VPC de destino do spoke híbrido.
- As políticas do Cloud Router na sessão BGP também são aplicadas às sub-redes do hub importadas do Network Connectivity Center.
- Se a rede VPC de encaminhamento do spoke híbrido definir o modo de encaminhamento dinâmico como
regional, apenas as sub-redes do hub na mesma região que o spoke híbrido são anunciadas.
Exemplos de utilização
As secções seguintes descrevem os principais exemplos de utilização do Network Connectivity Center.
Ligue diferentes redes VPC com o Network Connectivity Center
Quando associa dois ou mais raios da VPC a um hub, o Network Connectivity Center oferece conetividade através de rotas de sub-redes entre todas as redes da VPC representadas pelos raios. A utilização de um hub simplifica a gestão da conetividade de sub-redes de malha em grande escala. Consulte as quotas para saber quantas redes VPC podem ser ligadas a um hub.
O diagrama seguinte mostra dois raios da VPC.
Conetividade nas instalações para raios de VPC
Os raios da VPC podem estabelecer ligação a redes nas instalações através de raios híbridos localizados noutras redes VPC (de encaminhamento). Cada hub do Network Connectivity Center suporta vários raios de VPC e anexos de VLAN do Cloud Interconnect, túneis de VPN de HA ou VMs de dispositivo de router adicionadas como raios híbridos.
Ligue redes através de VMs de dispositivo de encaminhamento
O Network Connectivity Center pode usar VMs de dispositivo de encaminhamento nos seguintes dois cenários de conetividade IPv4:
- Ligar uma rede VPC a uma rede de um fornecedor nas instalações ou de outra nuvem através de rotas dinâmicas
- Ligar duas redes VPC entre si através de rotas dinâmicas
Com esta opção, o Cloud Router gere as sessões BGP para VMs de dispositivos de encaminhamento.
Ligue uma rede externa a Google Cloud
O diagrama seguinte usa um spoke híbrido com uma VM de dispositivo de router para ligar duas redes VPC a uma rede externa. A VM do Cloud Router tem uma interface de rede (NIC) em cada rede da VPC.
Para mais informações acerca deste exemplo de utilização, consulte o artigo Topologias site-para-nuvem que usam um dispositivo de terceiros.
Faça a gestão da conetividade entre redes VPC
O diagrama seguinte usa um spoke híbrido com uma VM de dispositivo de router que executa software especializado de firewall ou inspeção de pacotes para ligar duas redes VPC.
Para mais informações, consulte o artigo Topologia de VPC para VPC que usa um dispositivo de terceiros.
Realizar a transferência de dados através da rede da Google (de site para site)
A transferência de dados oferece conetividade IPv4 entre redes externas através de uma rede VPC e raios híbridos. Google Cloud Pode transferir dados entre várias redes no local ou para outras redes na nuvem.
Quando cria um raio híbrido, pode ativar a opção de transferência de dados para esse raio. Quando a transferência de dados está ativada para raios híbridos ligados ao mesmo hub, as rotas dinâmicas aprendidas por cada VM do dispositivo de encaminhamento, túnel da Cloud VPN ou anexo de VLAN do Cloud Interconnect são novamente anunciadas às outras VMs, túneis ou anexos de VLAN associados a qualquer raio híbrido ligado ao mesmo hub. A transferência de dados requer que todos os raios híbridos se refiram a VMs de dispositivo de encaminhamento, túneis do Cloud VPN ou anexos de VLAN do Cloud Interconnect numa única rede VPC.
Por exemplo, suponha que tem centros de dados em Nova Iorque, Sydney e Tóquio. Depois de usar recursos suportados para ligar a sua rede VPC a cada um destes sites, pode criar um spoke para representar cada rede. Depois de concluir esta configuração, o Network Connectivity Center oferece uma ligação de malha completa entre os três sites.
Conforme mostrado no diagrama seguinte, pode criar raios que dependam de recursos de conetividade, como o Cloud VPN, o Cloud Interconnect e o dispositivo de router.
O diagrama não mostra o Cross-Cloud Interconnect, mas também pode usar anexos de VLAN do Cross-Cloud Interconnect.
Para mais informações acerca deste exemplo de utilização, consulte o artigo Descrição geral da transferência de dados de site para site.
Considerações sobre o Network Connectivity Center
Antes de configurar o Centro de conectividade de rede, reveja as secções seguintes.
Endereçamento IP
O suporte da versão IP depende do tipo de spoke:
Hubs da VPC: o Network Connectivity Center suporta as seguintes versões de IP:
IPv4 e IPv6 para a troca de intervalos de sub-redes.
Pode configurar os raios da VPC para trocar apenas intervalos de sub-redes IPv4, apenas intervalos de sub-redes IPv6 ou intervalos de sub-redes IPv4 e IPv6.
Apenas endereços IPv4 para a troca de rotas dinâmicas.
Hubs híbridos: o Network Connectivity Center suporta apenas IPv4. Por exemplo:
Se um spoke tiver a transferência de dados site a site ativada, os recursos associados aos spokes suportam apenas tráfego IPv4. Esta declaração aplica-se a todos os tipos de raios híbridos: dispositivo de router, anexo de VLAN e raios de VPN.
Os raios do dispositivo de router site-to-cloud só suportam tráfego IPv4.
Quando cria uma VM de dispositivo de router, o endereço IPv4 interno principal da VM tem de ser um endereço RFC 1918.
Encaminhamento
As rotas instaladas pelos raios híbridos do Network Connectivity Center são tratadas como rotas dinâmicas.
Para ver informações sobre como as rotas dinâmicas são processadas em comparação com outros tipos de rotas, consulte a secção Aplicabilidade e ordem na documentação da VPC.
| Recurso | Exemplos de utilização aplicáveis |
|---|---|
| Atribuição de prioridade | Todos os recursos de spoke híbridos usam routers na nuvem. Para ver detalhes sobre como os Cloud Routers processam rotas aprendidas para criar rotas dinâmicas numa rede VPC ou num hub do Network Connectivity Center, consulte o artigo Rotas aprendidas na documentação do Cloud Router. |
| ASN | Todos os routers de peering não pertencentes à Google associados a um único spoke têm de usar o mesmo ASN quando anunciam prefixos ao Cloud Router. Isto é importante porque, se dois pares anunciarem o mesmo prefixo com diferentes ASNs ou caminhos de AS, apenas o ASN e o caminho de AS de um dos pares são reanunciados para esse prefixo. Os raios diferentes têm de ter ASNs diferentes. Ou seja, se duas sessões BGP pertencerem a raios diferentes, têm de ter ASNs diferentes. Além disso, se estiver a usar a funcionalidade de transferência de dados, tem de atribuir ASNs conforme descrito nos requisitos de ASN para a transferência de dados de site a site. |
| Sessões de BGP | As comunidades BGP não são suportadas. |
Encaminhe as alterações de anúncios quando usar a transferência de dados de site para site
Quando adiciona uma associação de VLAN do Cloud Interconnect ou um túnel do Cloud VPN a um raio híbrido, o Network Connectivity Center atualiza a sessão BGP correspondente para a associação de VLAN ou o túnel do Cloud VPN, de modo que volta a anunciar os prefixos aprendidos pelas sessões BGP das outras associações de VLAN do Cloud Interconnect ou túneis do Cloud VPN ligados a qualquer um dos raios híbridos do hub que tenham a opção de transferência de dados site a site ativada.
Apoio técnico para outros produtos
As secções seguintes descrevem como o Network Connectivity Center funciona com outros produtos e funcionalidades de rede.
Hubs da VPC e intercâmbio das redes da VPC
Os raios da VPC do Network Connectivity Center suportam a troca do seguinte:
- Intervalos de sub-rede IPv4 válidos
- Intervalos de sub-rede IPv6
- Rotas dinâmicas IPv4
Os raios da VPC não suportam a troca do seguinte:
- Encaminhamentos de sub-redes de peering
- Encaminhamentos locais com endereços IPv4 públicos usados de forma privada
- Encaminhamentos de sub-rede locais com endereços IPv6
Os spokes da VPC não trocam rotas estáticas. No entanto, os spokes da VPC podem importar rotas dinâmicas IPv4 do Network Connectivity Center de spokes híbridos que se encontram no mesmo hub do Network Connectivity Center.
Para mais informações acerca dos raios da VPC do Network Connectivity Center, consulte o artigo Vista geral dos raios da VPC.
Para ver detalhes sobre como as rotas são trocadas através do intercâmbio da rede da VPC, consulte as opções de troca de rotas na documentação do intercâmbio da rede da VPC.
Embora os raios da VPC do Network Connectivity Center não suportem a troca de rotas estáticas, uma rede da VPC de raio pode importar as rotas estáticas e de outra rede da VPC através do intercâmbio das redes da VPC.
Além disso, um spoke da VPC pode continuar a importar rotas dinâmicas de outra rede VPC através do intercâmbio das redes da VPC. Se a outra rede VPC tiver rotas dinâmicas com anexos de VLAN do Cloud Interconnect ou túneis do Cloud VPN de próximo salto que se ligam a uma rede nas instalações, pode ligar a rede VPC spoke à rede nas instalações através de anúncios de rotas personalizadas do Cloud Router e opções de troca de rotas do VPC Network Peering, conforme descrito no exemplo de rede de trânsito da documentação do VPC Network Peering.
Redes de VPC partilhada
Quando usar redes VPC partilhadas, tem de criar o hub no projeto anfitrião. Esta limitação aplica-se apenas aos raios híbridos.
Recomendamos que atribua a função networkconnectivity.googleapis.com/spokeAdmin aos administradores de projetos de serviços. Para ver detalhes sobre esta função e outras funções do Network Connectivity Center, consulte Funções e autorizações.
Redes antigas
Os recursos de spoke não podem fazer parte de uma rede antiga.
Túneis de VPN
Os túneis de VPN clássicos não são suportados.
Transferência de dados
Se estiver a usar a transferência de dados, reveja a secção Considerações na vista geral da transferência de dados de site para site.
Contrato de nível de serviço
Para obter informações sobre o contrato de nível de serviço do Network Connectivity Center, consulte o contrato de nível de serviço (SLA) do Network Connectivity Center.
Preços
Para ver informações sobre preços, consulte a secção Preços do Centro de conectividade de rede.
O que se segue?
- Para saber como gerir hubs e raios, consulte o artigo Trabalhe com hubs e raios.
- Para saber como usar os raios da Cloud VPN, consulte o artigo Ligue dois sites através de raios da Cloud VPN.
- Para obter uma lista de parceiros cujas soluções estão integradas com o Network Connectivity Center, consulte Parceiros do Network Connectivity Center.
- Para ver as quotas e os limites do Network Connectivity Center, consulte o artigo Quotas e limites.