Conectar dois sites usando spokes de VPN

Neste tutorial, descrevemos como usar um hub da central de conectividade de rede e o spokes do Cloud VPN para configurar a transferência de dados entre duas filiais.

Para mais informações sobre como criar hubs e spokes, consulte Como trabalhar com hubs e spokes.

Antes de começar

Antes de começar, leia as seções a seguir.

Crie ou selecione um projeto.

Para facilitar a configuração do Network Connectivity Center, identifique um projeto válido.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Se você estiver usando a Google Cloud CLI, defina o ID do projeto usando o comando gcloud config set.
```
gcloud config set project PROJECT_ID
```
Substitua PROJECT_ID pelo ID exclusivo do seu projeto.

As instruções da CLI gcloud nesta página presumem que você tenha definido o ID do projeto.
Para confirmar se você definiu o ID do projeto corretamente, use o comando gcloud config list.
```
gcloud config list --format='text(core.project)'
```

Convenções para a identificação de recursos

Ao referenciar recursos usando a CLI gcloud ou a API, use as convenções descritas na tabela a seguir.

Convenção	Compatível com	Observações	Exemplo
URI completo	Todos os recursos	Use um desses métodos para fazer referência a instâncias do dispositivo roteador.	"https://www.googleapis.com/compute/projects/`PROJECT_ID`/zones/`ZONE`/instances/`INSTANCE_NAME`"
Nome do recurso relativo	Todos os recursos		"projects/`PROJECT_ID`/zones/`ZONE`/instances/`INSTANCE_NAME`"
Nome	Recursos regionais e globais	Use esse método para hubs, spokes, túneis VPN e anexos da VLAN.	"`HUB_NAME`"

Amostra de topologia

O diagrama a seguir descreve os recursos de amostra usados neste tutorial.

Topologia do tutorial da central de conectividade de rede. — Topologia da central de conectividade de rede (clique para ampliar)

Configurar conectividade de transferência de dados

Para configurar a conectividade de transferência de dados, siga estas etapas:

Crie recursos do Google Cloud, como uma rede de nuvem particular virtual (VPC), gateways e túneis de VPN de alta disponibilidade e Cloud Routers.
Criar um hub.
Defina um spoke para a primeira e a segunda filial. Cada spoke usará um túnel de VPN como recurso subjacente.
Verifique a configuração.

Criar recursos do Google Cloud

Neste tutorial, presumimos que você já criou os seguintes recursos do Google Cloud:

Uma rede VPC que tem o modo de roteamento dinâmico definido como global
Na região mais próxima de Office1, uma sub-rede, um gateway de VPN de alta disponibilidade, um Cloud Router e um túnel que conecta a interface de gateway a Office1
Na região mais próxima de Office2, uma sub-rede, um gateway de VPN de alta disponibilidade, um Cloud Router e um túnel que conecta a interface de gateway a Office2

Se você precisar criar esses recursos, consulte os seguintes documentos:

Para criar uma rede VPC, consulte Como criar redes. Como essa configuração usa spokes em regiões diferentes, defina o modo de roteamento dinâmico da rede como global.
Para criar sub-redes, consulte Como adicionar sub-redes.
Para criar gateways de VPN de alta disponibilidade, túneis e um Cloud Router, consulte Como criar um gateway de VPN de alta disponibilidade para um gateway de VPN de peering.

Depois de identificar os recursos existentes do Google Cloud ou de criar novos, vá para a próxima seção.

Criar o hub

Primeiro, crie um hub. Depois, anexe spokes a esse hub.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as seguintes permissões ou papéis do IAM.

Permissões

networkconnectivity.hubs.create
Se você estiver trabalhando no console do Google Cloud, faça o seguinte:
- networkconnectivity.hubs.get
- networkconnectivity.hubs.list
- networkconnectivity.spokes.list
- compute.projects.get

Papéis

Administrador do hub e spoke (roles/networkconnectivity.hubAdmin)
Se você estiver trabalhando no console do Google Cloud: Leitor da rede do Compute (roles/compute.networkViewer)

Console

No console do Google Cloud, acesse a página do Network Connectivity Center.

Acessar o Network Connectivity Center
No menu suspenso do projeto, selecione um projeto. No diagrama de exemplo, o projeto é my-project.
Digite um nome do hub. Neste caso, my-hub.
Insira uma descrição opcional.
Verifique o ID do projeto. Se o ID do projeto estiver incorreto, selecione um projeto diferente usando o menu suspenso na parte superior da tela.
Clique em Continuar.
Para adicionar o spoke Office1 ao hub, continue em Criar o spoke para o Escritório 1.

gcloud

Para criar um hub, use o comando gcloud network-connectivity hubs create.

  gcloud network-connectivity hubs create HUB_NAME \
     --description="DESCRIPTION" \
     --labels="KEY"="VALUE"

Substitua os seguintes valores:

HUB_NAME: o nome do novo hub. Neste caso, my-hub
DESCRIPTION: texto opcional que descreve o hub
KEY: a chave no par de chave-valor do texto do rótulo opcional
VALUE: o valor no par de chave-valor do texto do rótulo opcional

Para adicionar o spoke Office1 ao hub, continue em Criar o spoke para o Escritório 1.

API

Para criar um hub, use o método networkconnectivity.hubs.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/hubs
  {
    "name":"HUB_NAME",
    "description":"DESCRIPTION",
    "labels": {
      "KEY": "VALUE"
    }
  }

Substitua os seguintes valores:

PROJECT_ID: o ID do projeto que contém o novo hub, por exemplo, my-project
HUB_NAME: o nome do novo hub, por exemplo, my-hub
DESCRIPTION: texto opcional que descreve o hub
KEY: a chave no par de chave-valor do texto do rótulo opcional
VALUE: o valor no par de chave-valor do texto do rótulo opcional

Para adicionar o spoke Office1 ao hub, continue em Criar o spoke para o Escritório 1.

Criar o spoke da filial 1

Crie um spoke para Office1. Use dois túneis de VPN de alta disponibilidade como recursos subjacentes do spoke. Cada túnel precisa ser originado de um gateway de VPN de alta disponibilidade na região mais próxima do escritório. No diagrama de amostra, esses túneis são representados como vpn-tunnel1-office1 e vpn-tunnel2-office1.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as seguintes permissões ou papéis do IAM.

Permissões

networkconnectivity.spokes.create
compute.routers.get
compute.vpnTunnels.get
Se você estiver trabalhando no console do Google Cloud, precisará de permissão para visualizar determinados recursos de rede. Para ver detalhes, consulte Papéis e permissões.

Papéis

Opções:
- Administrador do spoke (roles/networkconnectivity.spokeAdmin)
- Administrador do hub e spoke (roles/networkconnectivity.hubAdmin)
Um papel, como o Leitor de rede do Compute (roles/compute.networkViewer)), que concede permissão para ler recursos do Cloud Router e o tipo de recurso do spoke (neste caso, túneis VPN)
Se você estiver trabalhando no console do Google Cloud, Leitor da rede do Compute (roles/compute.networkViewer)

Console

As etapas a seguir são continuações de Criar o hub. Elas explicam como criar um spoke imediatamente depois de especificar o nome e a descrição do hub.

No formulário Novo spoke, defina o campo Tipo de spoke como Túnel de VPN.
Insira um Nome do spoke. Neste caso, office-1-spoke.
Opcionalmente, digite uma Descrição do spoke.
Selecione a Região do spoke. No diagrama de exemplo, o spoke está localizado em us-west1.
Em Transferência de dados site a site, selecione Ativado.
Selecione a rede VPC apropriada. No diagrama de exemplo, o spoke está localizado em network-a.
Selecione um Túnel de VPN. Se for adequado, clique em Adicionar túnel para incluir outro campo Túnel de VPN. No diagrama de exemplo, dois túneis são usados: vpn-tunnel1-office1 e vpn-tunnel2-office1. Quando terminar de adicionar os túneis, clique em Concluído.
Clique em Criar.

A página Network Connectivity Center é atualizada para mostrar detalhes sobre os spokes que você criou. Para adicionar o spoke Office2 ao hub, continue em Criar o spoke para o Escritório 2.

gcloud

Para criar o spoke, use o comando gcloud network-connectivity spokes linked-vpn-tunnels create.

  gcloud network-connectivity spokes linked-vpn-tunnels create SPOKE_NAME \
    --hub=HUB_NAME \
    --description="DESCRIPTION" \
    --vpn-tunnels=TUNNEL_NAME,TUNNEL_NAME_2 \
    --region=REGION \
    --labels="KEY"="VALUE" \
    --site-to-site-data-transfer

Substitua os seguintes valores:

SPOKE_NAME: o nome do spoke. Neste caso, office-1-spoke.
HUB_NAME: o nome do hub ao qual você está anexando o spoke. Neste caso, my-hub.
DESCRIPTION: texto opcional que descreve o spoke
TUNNEL_NAME: o nome do primeiro túnel de VPN de alta disponibilidade, neste caso, vpn-tunnel1-office1
TUNNEL_NAME_2: o nome do túnel redundante. Neste caso, vpn-tunnel2-office1; Ao incluir um segundo túnel, não use um espaço entre a vírgula e o nome do segundo túnel.
REGION: a região do Google Cloud em que o spoke está localizado. Neste caso, us-west1.
KEY: a chave no par de chave-valor do texto do rótulo opcional
VALUE: o valor no par de chave-valor do texto do rótulo opcional

Para adicionar o spoke Office2 ao hub, continue para Criar o spoke para o Escritório 2.

API

Para criar o spoke, use o método networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME
  {
    "hub": "HUB_NAME",
    "labels": {"KEY": "VALUE"},
    "linkedVpnTunnels": {
      "uris: [
        "TUNNEL_NAME",
        "TUNNEL_NAME_2"
      ],
      "siteToSiteDataTransfer": true
    }
  }

Substitua os seguintes valores:

PROJECT_ID: o ID do projeto
REGION: a região do Google Cloud em que você quer localizar o spoke. Neste caso, us-west1
SPOKE_NAME: o nome do spoke
HUB_NAME: o nome do hub ao qual você está anexando o spoke
KEY: a chave no par de chave-valor do texto do rótulo opcional
VALUE: o valor no par de chave-valor do texto do rótulo opcional
TUNNEL_NAME: o nome do primeiro túnel de VPN de alta disponibilidade, neste caso, vpn-tunnel1-office1
TUNNEL_NAME_2: o nome do túnel redundante. Neste caso, vpn-tunnel2-office1; Ao incluir um segundo túnel, não use um espaço entre a vírgula e o nome do segundo túnel.

Criar o spoke da filial 2

Crie um spoke para Office2. Use dois túneis de VPN de alta disponibilidade como recursos subjacentes do spoke. Cada túnel precisa ser originado de um gateway de VPN de alta disponibilidade na região mais próxima do escritório. No diagrama de amostra, esses túneis são representados como vpn-tunnel1-office2 e vpn-tunnel2-office2.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as seguintes permissões ou papéis do IAM.

Permissões

networkconnectivity.spokes.create
compute.routers.get
compute.vpnTunnels.get
Se você estiver trabalhando no console do Google Cloud, precisará de permissão para visualizar determinados recursos de rede. Para ver detalhes, consulte Papéis e permissões.

Papéis

Opções:
- Administrador do spoke (roles/networkconnectivity.spokeAdmin)
- Administrador do hub e spoke (roles/networkconnectivity.hubAdmin)
Um papel, como o Leitor de rede do Compute (roles/compute.networkViewer)), que concede permissão para ler recursos do Cloud Router e o tipo de recurso do spoke (neste caso, túneis VPN)
Se você estiver trabalhando no console do Google Cloud, Leitor da rede do Compute (roles/compute.networkViewer)

Console

Para criar o segundo spoke, faça o seguinte:

Acesse a página "Network Connectivity Center".

Acessar o Network Connectivity Center
No menu suspenso do projeto, selecione um projeto. No diagrama de exemplo, o projeto é my-project.
Clique na guia Spokes.
Clique em Adicionar spokes para abrir a página Adicionar spokes.
No formulário Novo spoke, defina o campo Tipo de spoke como Túnel de VPN.
Insira um Nome do spoke. Neste caso, office-2-spoke.
Opcionalmente, digite uma Descrição do spoke.
Selecione a Região do spoke. No diagrama de exemplo, o spoke está localizado em us-east1.
Em Transferência de dados site a site, selecione Ativado.
Verifique se o campo Rede VPC está definido como a mesma rede que o último spoke criado. No diagrama de exemplo, é network-a.
Selecione um Túnel de VPN. Se for adequado, clique em Adicionar túnel para incluir outro campo Túnel de VPN. No diagrama de exemplo, dois túneis são usados: vpn-tunnel1-office2 e vpn-tunnel2-office2. Quando terminar de adicionar os túneis, clique em Concluído.
Clique em Criar.

gcloud

Para criar o spoke, use o comando gcloud network-connectivity spokes linked-vpn-tunnels create.

  gcloud network-connectivity spokes linked-vpn-tunnels create SPOKE_NAME \
    --hub=HUB_NAME \
    --description="DESCRIPTION" \
    --vpn-tunnels=TUNNEL_NAME,TUNNEL_NAME_2 \
    --region=REGION \
    --labels="KEY"="VALUE" \
    --site-to-site-data-transfer

Substitua os seguintes valores:

SPOKE_NAME: o nome do spoke. Neste caso, office-2-spoke.
HUB_NAME: o nome do hub ao qual você está anexando o spoke. Neste caso, my-hub.
DESCRIPTION: texto opcional que descreve o spoke
TUNNEL_NAME: o nome do primeiro túnel de VPN de alta disponibilidade, neste caso, vpn-tunnel1-office2
TUNNEL_NAME_2: o nome do túnel redundante. Neste caso, vpn-tunnel2-office2; Ao incluir um segundo túnel, não use um espaço entre a vírgula e o nome do segundo túnel.
REGION: a região do Google Cloud em que o spoke está localizado. Neste caso, us-east1.
KEY: a chave no par de chave-valor do texto do rótulo opcional
VALUE: o valor no par de chave-valor do texto do rótulo opcional

Para adicionar o spoke Office2 ao hub, continue para Criar o spoke para o Escritório 2.

API

Para criar o spoke, use o método networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME
  {
    "hub": "HUB_NAME",
    "labels": {"KEY": "VALUE"},
    "linkedVpnTunnels": {
      "uris": [
        "TUNNEL_NAME",
        "TUNNEL_NAME_2"
      ],
      "siteToSiteDataTransfer": true
    }
  }

Substitua os seguintes valores:

PROJECT_ID: o ID do projeto
REGION: a região do Google Cloud em que você quer localizar o spoke. Neste caso, us-east1
SPOKE_NAME: o nome do spoke
HUB_NAME: o nome do hub ao qual você está anexando o spoke
KEY: a chave no par de chave-valor do texto do rótulo opcional
VALUE: o valor no par de chave-valor do texto do rótulo opcional
TUNNEL_NAME: o nome do primeiro túnel de VPN de alta disponibilidade, neste caso, vpn-tunnel1-office2
TUNNEL_NAME_2: o nome do túnel redundante. Neste caso, vpn-tunnel2-office2; Ao incluir um segundo túnel, não use um espaço entre a vírgula e o nome do segundo túnel.

Verificar a configuração

Depois de configurar o hub e os spokes dele, você poderá transmitir tráfego da instância de máquina virtual (VM, na sigla em inglês) em uma filial à instância de VM na outra filial. Para fazer isso, cada VM precisa ter acesso ao túnel de VPN na respectiva região.

Limpar a configuração

Siga as etapas nas seções a seguir para limpar a configuração de amostra. Para evitar o faturamento contínuo, exclua os recursos que você criou.

Exclua o projeto

Se você quiser excluir o projeto criado, siga as etapas a seguir. Como alternativa, é possível manter o projeto e excluir recursos individuais, conforme descrito nas seções a seguir.

Cuidado: excluir um projeto tem os seguintes efeitos:

Tudo no projeto é excluído. Se você tiver usado um projeto existente para as tarefas neste documento, a exclusão dele incluirá a exclusão de quaisquer outros trabalhos feitos no projeto.
Os IDs do projeto personalizados são perdidos. Ao criar o projeto, você pode ter criado um código do projeto personalizado para ser usado no futuro. Para preservar os URLs que usam o ID do projeto, como um URL appspot.com, exclua recursos específicos do projeto, em vez de excluir o projeto inteiro.

Se você planeja passar por várias arquiteturas, tutoriais ou guias de início rápido, a reutilização de projetos pode evitar que você exceda os limites da cota do projeto.

In the Google Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Exclua os dois spokes

Exclua todos os spokes antes de excluir um hub.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as seguintes permissões ou papéis do IAM.

Permissões

networkconnectivity.spokes.delete
Além disso, se você estiver trabalhando no Console do Google Cloud:
- networkconnectivity.hubs.get
- networkconnectivity.hubs.list
- networkconnectivity.spokes.list
- compute.projects.get

Papéis

Uma das seguintes opções:
- Administrador do spoke (roles/networkconnectivity.spokeAdmin
- Administrador do hub e spoke (roles/networkconnectivity.hubAdmin)
Além disso, se você estiver trabalhando no console do Google Cloud:
- Leitor do Compute Network (roles/compute.networkViewer)

Console

Acesse a página Network Connectivity Center.

Acessar o Network Connectivity Center
No menu suspenso do projeto, selecione um projeto. No diagrama de exemplo, o projeto é my-project.
Clique na guia Spokes.
Veja a lista de nomes do Spoke do projeto.
Marque as caixas de seleção dos spokes que você quer excluir. Neste caso, office-1-spoke e office-2-spoke.
Clique em Excluir spokes.
Na caixa de diálogo de confirmação, clique em Excluir.

gcloud

Para excluir spokes, use o comando gcloud network-connectivity spokes delete. Use o comando duas vezes, uma vez para excluir office-1-spoke e novamente para excluir office-2-spoke.

  gcloud network-connectivity spokes delete SPOKE_NAME \
    --region=REGION

Substitua os seguintes valores:

SPOKE_NAME: o nome do spoke a ser excluído. Neste caso, office-1-spoke e office-2-spoke.
REGION: a região do Google Cloud em que o spoke está localizado.

API

Para excluir spokes, use o método networkconnectivity.spokes.delete. Use esse método duas vezes: uma vez para excluir office-1-spoke e outra para excluir office-2-spoke.

  DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME

Substitua os seguintes valores:

PROJECT_ID: o ID do projeto que contém o spoke. No diagrama de exemplo, o projeto é my-project.
REGION: a região do Google Cloud em que o spoke está localizado.
SPOKE_NAME: o nome do spoke a ser excluído. Neste caso, office-1-spoke e office-2-spoke.

Excluir o hub

Depois de excluir os spokes, é possível excluir o hub.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as seguintes permissões ou papéis do IAM.

Permissões

networkconnectivity.hubs.delete
Além disso, se você estiver trabalhando no Console do Google Cloud:
- networkconnectivity.hubs.get
- networkconnectivity.hubs.list
- networkconnectivity.spokes.list
- compute.projects.get

Papéis

Administrador do hub e spoke (roles/networkconnectivity.hubAdmin)
Além disso, se você estiver trabalhando no console do Google Cloud, Leitor de rede do Compute (roles/compute.networkViewer)

Console

No console do Google Cloud, acesse a página do Network Connectivity Center.

Acessar o Network Connectivity Center
No menu suspenso do projeto, selecione um projeto. No diagrama de exemplo, o projeto é my-project.
Clique em Excluir hub.
Na caixa de diálogo de confirmação, clique em Excluir para excluir o hub.

gcloud

Para excluir o hub, use o comando gcloud network-connectivity hubs delete.

  gcloud network-connectivity hubs delete HUB_NAME /
    --project=PROJECT_ID

Substitua os seguintes valores:

HUB_NAME: o nome do hub a ser excluído. Neste caso, my-hub.
PROJECT_ID: o ID do projeto que contém o hub. No diagrama de exemplo, o projeto é my-project.

API

Para excluir o hub, use o método networkconnectivity.hubs.delete.

  DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/hubs/HUB_NAME

Substitua os seguintes valores:

PROJECT_ID: o ID do projeto que contém o hub. No diagrama de exemplo, o projeto é my-project.
HUB_NAME: o nome do hub a ser excluído

Excluir a sub-rede e a rede VPC

Exclua a rede e a sub-rede da VPC que você configurou para este tutorial.

A seguir

Veja um exemplo de topologia em Exemplo de topologia de transferência de dados site a site.
Saiba mais sobre como o Network Connectivity Center permite a conectividade de malha completa em Troca de rotas com transferência de dados site a site.
Saiba mais sobre os requisitos de alta disponibilidade em Requisitos de alta disponibilidade para recursos de spoke.
Para criar hubs e spokes, consulte Como trabalhar com hubs e spokes.
Para encontrar soluções de problemas da central de conectividade de rede, consulte Solução de problemas.