Visão geral do Network Connectivity Center

O Network Connectivity Center é um framework de orquestração que fornece conectividade de rede entre recursos spoke conectados a um recurso de gerenciamento central chamado de hub. O Network Connectivity Center é compatível com dois tipos de spokes:

  • Raios de nuvem privada virtual (VPC)
  • spokes híbridos, que consistem em:
    • Túneis de VPN de alta disponibilidade
    • Anexos da VLAN do Cloud Interconnect
    • Portas do dispositivo roteador

Um hub do Network Connectivity Center aceita spokes VPC ou híbridos, mas não ambos.

Com esses recursos, é possível:

  • Conecte várias redes VPC entre si. As redes VPC podem estar localizadas em projetos na mesma organização do Google Cloud ou em organizações diferentes.
  • Conecte uma rede externa a uma rede VPC do Google Cloud usando VMs do dispositivo roteador. Essa abordagem é conhecida como conectividade site a nuvem.
  • Use as VMs do dispositivo roteador para gerenciar a conectividade entre as redes VPC.
  • Use uma rede VPC do Google Cloud como uma rede de longa distância (WAN) para conectar redes fora do Google Cloud. É possível estabelecer conectividade entre seus sites externos usando túneis do Cloud VPN, anexos da VLAN do Cloud Interconnect ou VMs do dispositivo roteador. Essa abordagem é conhecida como transferência de dados site a site.

Como funciona

Quando um hub usa spokes híbridos localizados em uma única rede VPC, é possível configurar a transferência de dados de site para site para que as rotas dinâmicas com próximos saltos que sejam spokes híbridos (por exemplo, um anexo da VLAN do Cloud Interconnect) sejam anunciadas para uma rede local pelas sessões do BGP dos outros spokes híbridos na rede VPC. Também é possível usar spokes híbridos para conectar duas redes VPC, criando rotas dinâmicas em cada rede.

Quando um hub usa spokes VPC, é possível configurar a conectividade de malha entre todas as redes VPC conectadas ao hub trocando rotas de sub-rede entre as redes VPC.

Spokes

Um spoke representa um ou mais recursos de rede do Google Cloud conectados a um hub. Ao criar um spoke, associe-o a pelo menos um recurso de conectividade compatível, que às vezes é chamado de recurso de apoio.

Um spoke pode usar qualquer um dos seguintes recursos do Google Cloud como apoio.

Recurso

Casos de uso aplicáveis

Spokes VPC
  • Conectividade entre intervalos de sub-rede IPv4 de várias redes VPC
Dispositivo roteador
  • Conectividade IPv4 de site para nuvem (todos os dispositivos vinculados a um único spoke precisam estar na mesma rede VPC)
  • Transferência de dados IPv4 site a site (todos os spokes conectados ao mesmo hub precisam ter todos os recursos de apoio na mesma rede VPC)
  • Conectividade IPv4 entre redes VPC
Túneis do Cloud VPN (VPN de alta disponibilidade),
anexos da VLAN do Cloud Interconnect
  • Transferência de dados IPv4 site a site (todos os túneis do Cloud VPN, anexos da VLAN ou ambos precisam estar na mesma rede VPC)

Spokes VPC

Os spokes VPC permitem conectar duas ou mais redes VPC a um hub para que as redes troquem rotas de sub-rede IPv4. Os spokes VPC anexados a um único hub podem fazer referência a redes VPC no mesmo projeto ou em um projeto diferente (incluindo um projeto em uma organização diferente).

Para informações detalhadas sobre os spokes VPC, consulte Visão geral dos spokes VPC.

Spokes híbridos

Um único spoke híbrido pode ser associado a mais de um recurso do mesmo tipo. Por exemplo, um spoke híbrido pode fazer referência a dois ou mais túneis de VPN de alta disponibilidade, mas esse mesmo spoke híbrido também não pode referenciar VMs do dispositivo roteador ou anexos da VLAN do Cloud Interconnect.

A transferência de dados site a site usando spokes híbridos exige que os spokes estejam localizados na mesma rede VPC. Saiba mais em Visão geral da transferência de dados site a site.

Troca de rotas com conectividade VPC

Os spokes VPC do Network Connectivity Center aceitam a troca de intervalos de endereços IPv4 da sub-rede que usam endereços particulares, exceto os endereços IPv4 públicos usados de modo privado. Rotas estáticas e dinâmicas em uma rede VPC spoke não podem ser trocadas com outros spokes VPC no hub.

Devido a essa limitação, se você precisar conectar uma rede VPC a uma rede local, use uma das seguintes opções:

  • Criar os túneis do Cloud VPN ou os anexos da VLAN do Cloud Interconnect na própria rede VPC spoke;
  • Conectar a rede VPC spoke a outra rede VPC usando peering de rede VPC e configure a conexão de peering conforme descrito nos spokes VPC e peering de rede VPC.

Casos de uso

As seções a seguir descrevem os principais casos de uso do Network Connectivity Center.

Conectar diferentes redes VPC com o Network Connectivity Center

Quando você anexa dois ou mais spokes VPC a um hub, o Network Connectivity Center fornece conectividade de sub-rede IPv4 entre todas as redes VPC representadas pelos spokes. O uso de um hub simplifica o gerenciamento da conectividade de sub-rede de malha em grande escala. Consulte cotas para ver quantas redes VPC podem ser conectadas a um hub.

O diagrama a seguir mostra dois spokes VPC.

Conecte os spokes a uma rede VPC.
Conectar spokes a uma rede VPC (clique para ampliar)

Conectar redes usando VMs do dispositivo roteador

O Network Connectivity Center pode usar VMs do dispositivo roteador nos dois cenários de conectividade IPv4 abaixo:

  • Como conectar uma rede VPC a uma rede local ou de outro provedor de nuvem usando rotas dinâmicas
  • Como conectar duas redes VPC entre si usando rotas dinâmicas

Com essa opção, o Cloud Router gerencia as sessões do BGP para as VMs do dispositivo de roteador do próximo salto.

Conectar uma rede externa ao Google Cloud

O diagrama a seguir usa um spoke híbrido com uma VM de dispositivo do roteador para conectar duas redes VPC a uma rede externa. A VM do Cloud Router tem uma interface de rede (NIC, na sigla em inglês) em cada rede VPC.

Conectar uma rede externa ao Google Cloud.
Conectar uma rede externa ao Google Cloud (clique para ampliar)

Para mais informações sobre esse caso de uso, consulte Topologias site a nuvem que usam um dispositivo de terceiros.

Gerenciar a conectividade entre redes VPC

O diagrama a seguir usa um spoke híbrido com uma VM de dispositivo roteador que executa um software especializado de firewall ou inspeção de pacotes para conectar duas redes VPC.

Usar um firewall de terceiros
Usar um firewall de terceiros (clique para ampliar)

Para mais informações, consulte Topologia VPC para VPC que usa um dispositivo de terceiros.

Transferência de dados pela rede do Google

A transferência de dados fornece conectividade IPv4 entre redes externas usando uma rede VPC do Google Cloud e spokes híbridos. É possível transferir dados entre várias redes locais ou para outras redes na nuvem.

Ao criar um spoke híbrido, é possível ativar a opção de transferência de dados para esse spoke. Quando a transferência de dados é ativada para spokes híbridos conectados ao mesmo hub, as rotas dinâmicas aprendidas por cada VM do dispositivo Router, túnel do Cloud VPN ou anexo da VLAN do Cloud Interconnect são divulgadas novamente para as outras VMs, túneis ou anexos da VLAN associados a qualquer spoke híbrido conectado ao mesmo hub. A transferência de dados exige que todos os spokes híbridos se refiram às VMs do dispositivo roteador, aos túneis do Cloud VPN ou aos anexos da VLAN do Cloud Interconnect em uma única rede VPC.

Por exemplo, imagine que você tem data centers em Nova York, Sydney e Tóquio. Depois de usar recursos compatíveis para conectar sua rede VPC a cada um desses sites, crie um spoke para representar cada rede. Depois de concluir essa configuração, o Network Connectivity Center passa a fornecer conectividade de malha completa entre os três sites.

Conforme mostrado no diagrama a seguir, é possível criar spokes que dependem de recursos de conectividade, como Cloud VPN, Cloud Interconnect e dispositivo roteador.

O diagrama não mostra o Cross-Cloud Interconnect, mas também é possível usar anexos da VLAN do Cloud Interconnect.

Transferência de dados pela rede do Google.
Transferência de dados pela rede do Google (clique para ampliar)

Saiba mais sobre esse caso de uso na Visão geral da transferência de dados site a site.

Considerações

Antes de configurar o Network Connectivity Center, leia as seções a seguir.

Endereços IP

O Network Connectivity Center é compatível com endereços IPv4. Ele não é compatível com IPv6. Exemplo:

  • Se um spoke tiver a transferência de dados site a site ativada, os recursos associados aos spokes serão compatíveis com o tráfego IPv4. Esses spokes não podem trocar tráfego IPv6. Esta instrução se aplica a todos os tipos spoke: roteador, anexo da VLAN e spokes VPN.

  • Os spokes do appliance do site para a nuvem são compatíveis com o tráfego IPv4. O tráfego IPv6 não é compatível.

  • Quando você cria uma VM de dispositivo roteador, o endereço IPv4 interno da VM precisa ser um endereço RFC 1918.

  • Quando os spokes VPC contêm sub-redes IPv4 e IPv6, somente sub-redes IPv4 são trocadas entre eles.

Roteamento

As rotas instaladas por um hub do Network Connectivity Center são tratadas como rotas dinâmicas.

Saiba mais sobre como as rotas dinâmicas são tratadas em comparação com outros tipos de rotas em Aplicabilidade e ordem na documentação da VPC.

Priorização

Todos os recursos spoke híbridos usam o Cloud Router. Para ver detalhes sobre como o modelo de seleção de caminho usado pelo Cloud Router, consulte Como o caminho do prefixo AS e o tamanho do caminho AS na visão geral do Cloud Router.

ASNs

Todos os roteadores de peering que não são do Google e que estão associados a um único spoke precisam usar o mesmo ASN ao divulgar prefixos para o Cloud Router. Isso é importante porque, se dois pares divulgarem o mesmo prefixo com caminhos AS ou ASNs diferentes, apenas o caminho AS e o ASN de um deles será divulgado novamente nesse prefixo. Spokes diferentes precisam ter ASNs diferentes. Ou seja, se duas sessões do BGP pertencerem a spokes diferentes, elas precisarão ter ASNs diferentes.

Além disso, ao usar o recurso de transferência de dados, você precisa atribuir ASNs, conforme descrito nos Requisitos de ASN para a transferência de dados site a site.

Sessões do BGP

As comunidades de BGP não são compatíveis.

Direcionar alterações na divulgação ao usar a transferência de dados site a site

Quando você adiciona um anexo da VLAN do Cloud Interconnect ou um túnel do Cloud VPN a um spoke híbrido, o Network Connectivity Center atualiza a sessão do BGP correspondente para o anexo da VLAN ou o túnel do Cloud VPN para que ele anuncie novamente os prefixos aprendidos por sessões do BGP dos outros anexos da VLAN do Cloud Interconnect ou túneis do Cloud VPN conectados a qualquer um dos spokes híbridos do hub que têm a opção de transferência de dados de site para site ativada.

Tipos de spoke compatíveis

Compatibilidade com outros produtos

As seções a seguir descrevem como o Network Connectivity Center funciona com outros produtos e recursos de rede.

Spokes VPC e peering de rede VPC

Os spokes VPC do Network Connectivity Center só aceitam a troca de intervalos de endereços IPv4 da sub-rede válida que usam endereços particulares, exceto os endereços IPv4 públicos usados de modo privado excluindo intervalos de sub-redes IPv6 e excluindo rotas estáticas e dinâmicas:

  • Consulte Visão geral dos spokes VPC para mais informações sobre os spokes VPC do Network Connectivity Center.
  • Consulte opções de troca de rota na documentação do peering de rede VPC para ver detalhes sobre como as rotas são trocadas usando esse recurso.

Mesmo que os spokes VPC do Network Connectivity Center não aceitem a troca de rotas estáticas ou dinâmicas, uma rede VPC spoke ainda pode importar as rotas estáticas e dinâmicas de outra rede VPC usando o peering de rede VPC. Se a outra rede VPC tiver rotas dinâmicas com próximos anexos da VLAN do Cloud Interconnect ou túneis do Cloud VPN que se conectam a uma rede local, será possível conectar a rede VPC spoke à rede local usando divulgações de rotas personalizadas do Cloud Router e opções de troca de rotas de peering de redes VPC, conforme descrito na documentação de exemplo de rede de trânsito do peering de rede VPC

Redes VPC compartilhadas

Ao usar redes VPC compartilhadas, é necessário criar o hub no projeto host. Essa limitação só se aplica a spokes híbridos.

Recomendamos atribuir o papel networkconnectivity.googleapis.com/spokeAdmin aos administradores de projetos de serviço. Para ver detalhes sobre esse e outros papéis do Network Connectivity Center, consulte Papéis e permissões.

Redes legadas

Os recursos spoke não podem fazer parte de uma rede legada.

Túneis VPN

Túneis VPN clássicos não são compatíveis.

Transferência de dados

Se você estiver usando a transferência de dados, revise a seção Considerações da visão geral da transferência de dados site a site.

Contrato de nível de serviço

Para informações sobre o contrato de nível de serviço (SLA) do Network Connectivity Center, consulte este link.

Preços

Para mais informações, consulte Preços do Network Connectivity Center.

A seguir