Criar um Cloud Router para conectar uma rede VPC a uma de peering

Saiba como configurar o Cloud Router para trocar rotas dinamicamente entre uma rede de nuvem privada virtual (VPC) e uma rede de peering. A rede de peering pode ser local, hospedada por outro provedor de nuvem, como a AWS ou Azure, ou até mesmo outra rede VPC no Google Cloud.

Para conectar uma rede VPC a uma de peering usando o Cloud Router, é necessário concluir as seguintes tarefas gerais:

  1. Criar um Cloud Router.
  2. Configurar um produto de conectividade de rede no Google Cloud.
  3. Criar sessões do protocolo de gateway de borda (BGP) com um roteador na rede de peering.

Quando você cria um Cloud Router, é possível usar o modo de divulgação padrão ou o modo de divulgação personalizado. Por padrão, o Cloud Router divulga sub-redes na região dele para roteamento dinâmico regional ou todas as sub-redes em uma rede VPC para roteamento dinâmico global. Com as divulgações de rota personalizadas, é possível escolher quais rotas o Cloud Router divulga, como as de endereços IP estáticos externos ou intervalos CIDR específicos.

Para mais informações, consulte Modos de divulgação de rota na visão geral do Cloud Router.

Antes de começar

gcloud

Para usar os exemplos de linha de comando deste guia:

  1. Instale ou atualize para a versão mais recente da Google Cloud CLI.
  2. Defina uma região e uma zona padrão.

API

Para usar os exemplos da API deste guia, configure o acesso a ela.

Número de sistema autônomo (ASN)

Ao criar um Cloud Router, escolha o ASN do Google para todas as sessões do BGP usadas pelo Cloud Router. As instruções para cada produto e como eles usam o ASN estão listadas em Produtos do Google Cloud que usam o Cloud Router.

Criar um Cloud Router

Para criar um Cloud Router, siga estas etapas.

Console

  1. No console do Google Cloud, acesse a página Criar um Cloud Router.

    Acesse Criar um Cloud Router.

  2. Especifique os detalhes do Cloud Router:

    • Nome: o nome do Cloud Router. Esse nome é exibido no Console do Google Cloud e é usado pela CLI do Google Cloud para fazer referência ao Cloud Router. Por exemplo, my-router.
    • Descrição (opcional): uma descrição do Cloud Router.
    • Rede: a rede VPC que contém as instâncias que você quer alcançar, por exemplo, my-network.
    • Região: a região em que você quer localizar o Cloud Router, por exemplo, asia-east1.
    • ASN do Google: qualquer ASN privado (64512-65534, 4200000000-4294967294) que você ainda não usa na rede local. O Cloud Router exige o uso de um ASN privado, mas seu ASN local pode ser público ou privado.

    • Intervalo de sinal de atividade do BGP: o intervalo entre duas mensagens de sinal de atividade sucessivas do BGP enviadas para o roteador de mesmo nível. Esse valor precisa ser um número inteiro entre 20 e 60 que especifique o número de segundos do intervalo. O padrão é 20 segundos. Para mais informações, consulte Como gerenciar timers do BGP.
    • Identificador do BGP: opcional. O identificador do BGP, às vezes chamado de ID de roteador, que identifica exclusivamente um Cloud Router em uma rede. Se omitido, os Cloud Routers com sessões IPv4 do BGP usam um dos endereços IPv4 do BGP como identificador do BGP, e adicionar a primeira interface IPv6 a esse Cloud Router preenche o campo automaticamente.

      Para mais informações, consulte Configurar o intervalo do identificador do BGP para um Cloud Router.

  3. Opcional: para especificar rotas divulgadas personalizadas, acesse a seção Rotas anunciadas. Para saber mais, consulte Rotas anunciadas.
    1. Para especificar Rotas personalizadas, selecione Criar rotas personalizadas.
    2. Escolha se você quer divulgar as sub-redes visíveis para o Cloud Router. A ativação dessa opção imita o comportamento padrão do Cloud Router.
    3. Para adicionar uma rota divulgada, selecione Adicionar rota personalizada e configure-a.
  4. Para salvar as configurações e criar um Cloud Router, clique em Criar. Seu novo roteador do Cloud Router é exibido na página de listagem do Cloud Router. Para visualizar os detalhes e configurar uma sessão do BGP, selecione-a.

gcloud

  • Para criar um Cloud Router na região que contém as instâncias que você quer alcançar, execute o comando create:

    gcloud compute routers create ROUTER_NAME \
        --project=PROJECT_ID \
        --network=NETWORK \
        --asn=ASN_NUMBER \
        --region=REGION
    

    Substitua:

    • ROUTER_NAME: o nome do Cloud Router

    • PROJECT_ID: o ID do projeto que contém o Cloud Router

    • NETWORK: a rede VPC que contém as instâncias que você quer alcançar

    • ASN_NUMBER: qualquer ASN particular (64512-65534, 4200000000-4294967294) que você ainda não use na rede no local. O Cloud Router exige que você use um ASN particular, mas seu ASN local pode ser público ou privado.

    • REGION: a região em que você quer localizar o Cloud Router; o Cloud Router divulga todas as sub-redes na região em que está localizado.

  • Para criar um Cloud Router no modo de divulgação personalizada, defina --advertisement-mode como custom e use as sinalizações --set-advertisement-ranges e --set-advertisement-groups para especificar rotas divulgadas personalizadas.

    A sinalização --set-advertisement-ranges aceita uma lista de intervalos CIDR. A sinalização --set-advertisement-groups aceita grupos definidos pelo Google que o Cloud Router divulga dinamicamente. Atualmente, o único valor válido é all_subnets, que divulga sub-redes com base no modo de roteamento dinâmico da rede VPC (semelhante às divulgações padrão).

    Se você fornecer um prefixo de endereço IP sem uma máscara de sub-rede, ele será interpretado como uma máscara de sub-rede /32 para IPv4 e /128 para IPv6. Para informações sobre o número máximo de rotas aprendidas que você pode ter, consulte Limites.

    O exemplo a seguir divulga sub-redes e intervalos de IP personalizados 192.0.2.0/24 e 198.51.100.0/24:

    gcloud compute routers create ROUTER_NAME \
        --project=PROJECT_ID \
        --network=NETWORK \
        --asn=ASN_NUMBER \
        --region=REGION \
        --advertisement-mode custom \
        --set-advertisement-groups=all_subnets \
        --set-advertisement-ranges='192.0.2.0/24,198.51.100.0/24'
    
  • Para definir o timer de sinal de atividade de um peer do BGP, use a opção --keepalive-interval, que define o intervalo entre as mensagens do sinal de atividade do BGP que são enviadas ao roteador de peering. Esse valor precisa ser um número inteiro entre 20 e 60 que especifique o número de segundos do intervalo. O padrão é 20 segundos. Para ver mais informações, consulte Timer de sinal de atividade.

  • Para atribuir um intervalo do identificador do BGP a um Cloud Router, use a opção --bgp-identifier-range e especifique um intervalo IPv4 de link-local de 169.254.0.0/16 com um tamanho de pelo menos /30. Por exemplo, 169.254.16.16/30. Um identificador BGP é usado para identificar exclusivamente um Cloud Router. Um Cloud Router exige um identificador BGP explícito de 32 bits para hospedar sessões IPv6 do BGP (Prévia).

    No entanto, a sinalização de intervalo do identificador do BGP não é necessária porque o Google Cloud atribui automaticamente um intervalo de identificador não utilizado a um Cloud Router quando você configura uma interface para uma sessão IPv6 do BGP pela primeira vez.

    Você só vai precisar configurar essa opção se quiser usar um intervalo de IP específico para os identificadores do BGP. Também é possível modificar o intervalo do identificador do BGP para um Cloud Router posteriormente. Para mais informações, consulte Configurar o intervalo do identificador do BGP.

  • Para criar um roteador para uma implantação de VPN de alta disponibilidade pelo Cloud Interconnect, especifique a opção --encrypted-interconnect-router.

    O Cloud Router usado para o Cloud Interconnect criptografado é um tipo especial de Cloud Router. Esses roteadores só podem ser usados com os anexos da VLAN implantados com VPN de alta disponibilidade pelo Cloud Interconnect.

Terraform

Use o módulo do Google Cloud Terraform para o Cloud Router.

module "cloud_router" {
  source  = "terraform-google-modules/cloud-router/google"
  version = "~> 6.0"

  name   = "my-router"
  region = "us-central1"

  bgp = {
    # The ASN (16550, 64512 - 65534, 4200000000 - 4294967294) can be any private ASN
    # not already used as a peer ASN in the same region and network or 16550 for Partner Interconnect.
    asn = "65001"
  }

  project = var.project_id
  network = module.vpc.network_name
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

  • Use o método routers.insert.

         POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
         {
           "bgp": {
             "asn": "ASN_NUMBER",
             "keepaliveInterval": KEEPALIVE_INTERVAL,
             "identifierRange": BGP_IDENTIFIER_RANGE
           },
           "name": "ROUTER_NAME",
           "network": "NETWORK"
         }
    

    Substitua:

    • PROJECT_ID é o ID do projeto que contém a rede VPC.

    • REGION: a região em que você quer localizar o Cloud Router

    • ASN_NUMBER: o ASN particular (64512-65534, 4200000000-4294967294) do Cloud Router que você está configurando. Pode ser qualquer ASN privado que você ainda não esteja usando como um ASN de mesmo nível na mesma região e rede. Por exemplo, 65001 o Cloud Router exige que você use um ASN privado. No entanto, seu ASN no local pode ser público ou privado.

    • KEEPALIVE_INTERVAL: o intervalo entre duas mensagens sucessivas do sinal de atividade do BGP que são enviadas para o roteador de peering. Esse marcador é opcional. Esse valor precisa ser um número inteiro entre 20 e 60 que especifique o número de segundos do intervalo. O padrão é 20 segundos. Para mais informações, consulte Timer de sinal de atividade do Cloud Router.

    • BGP_IDENTIFIER_RANGE: um intervalo IPv4 de link-local de 169.254.0.0/16 com um tamanho de pelo menos /30. Este marcador de posição é opcional; Se nenhum valor for fornecido, o Cloud Router receberá automaticamente um identificador do BGP. Para mais informações, consulte Configurar o intervalo do identificador do BGP para um Cloud Router.

    • ROUTER_NAME: o nome do Cloud Router. Esse nome é exibido no Console do Google Cloud e é usado pela Google Cloud CLI para fazer referência ao Cloud Router

    • NETWORK: a rede que contém as instâncias que você quer alcançar.

  • Para criar um Cloud Router com rotas divulgadas personalizadas, defina o campo bgp.advertiseMode como CUSTOM e use os campos bgp.advertisedGroups[] e bgp.advertisedIpRanges[] para especificar as rotas divulgadas.

    O campo bgp.advertisedIpRanges[] aceita uma matriz de intervalos CIDR. O campo bgp.advertisedGroups[] aceita grupos definidos pelo Google que o Cloud Router divulga dinamicamente. O único valor válido é ALL_SUBNETS, que divulga sub-redes com base no modo de roteamento dinâmico da rede VPC (semelhante ao modo de divulgação padrão).

    O exemplo a seguir divulga sub-redes e os intervalos de endereços IP personalizados 1.2.3.4 e 6.7.0.0/16:

         POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
         {
           "bgp": {
             "asn": "ASN_NUMBER",
             "advertiseMode": "CUSTOM",
             "advertisedGroups": [
               "ALL_SUBNETS"
             ],
             "advertisedIpRanges": [
               {
                 "range": "1.2.3.4",
                 "description": "First example range"
               },
               {
                 "range": "6.7.0.0/16",
                 "description": "Second example range"
               }
             ]
           },
           "name": "ROUTER_NAME",
           "network": "NETWORK"
         }
    

Configurar o produto de conectividade de rede

Para trocar rotas entre uma rede VPC e uma de peering, é preciso configurar pelo menos um dos seguintes produtos de conectividade de rede do Google Cloud, além do Cloud Router:

Cloud Interconnect

Para conectar uma rede VPC a uma rede no local usando o Cloud Interconnect e o Cloud Router, primeiro é necessário provisionar uma conexão de interconexão.

O Cloud Router e as sessões do BGP são configuradas quando os anexos da VLAN para a Cloud Interconnect são criados. Consulte Criar anexos da VLAN para a Interconexão dedicada e Criar anexos da VLAN para a Interconexão por parceiro.

Se você estiver implantando a VPN de alta disponibilidade pelo Cloud Interconnect, é necessário implantar dois Cloud Routers:

  • Um Cloud Router especial para o Cloud Interconnect configurado para os anexos da VLAN. Esse Cloud Router garante que apenas o tráfego criptografado pelos gateways da VPN de alta disponibilidade possa ser enviado para o anexo da VLAN.

  • Um Cloud Router normal que você configura para túneis de VPN de alta disponibilidade.

Cloud VPN

Para conectar uma rede VPC a uma rede no local ou a várias nuvens usando a VPN de alta disponibilidade e o Cloud Router, consulte Como criar um gateway de VPN de alta disponibilidade para um gateway de VPN de peering.

Para conectar uma rede VPC a outra rede VPC usando a VPN de alta disponibilidade e o Cloud Router, consulte Como criar uma VPN de alta disponibilidade entre redes do Google Cloud.

O Cloud Router e as sessões do BGP são configurados quando os túneis de VPN de alta disponibilidade para a rede de peering são criados.

Network Connectivity Center

Para conectar uma rede VPC a uma de peering usando o dispositivo roteador, consulte Como criar instâncias do dispositivo roteador.

Criar sessões do BGP

Ao configurar um produto de conectividade de rede com o Cloud Router, são estabelecidas sessões do protocolo de gateway de borda (BGP) entre o Cloud Router e o roteador na rede de peering.

É possível reutilizar o mesmo Cloud Router com diferentes produtos de conectividade de rede. No entanto, cada sessão do BGP é exclusiva do produto de conectividade de rede (anexo da VLAN, túnel do Cloud VPN ou instância do dispositivo roteador) configurados para uso com o Cloud Router. Produtos de conectividade de rede diferentes não podem usar a mesma sessão do BGP. Às vezes, pode ser necessário configurar várias sessões do BGP para que um produto de conectividade de rede tenha redundância suficiente. Por exemplo, várias sessões do BGP são configuradas quando o Cloud Router com VPN de alta disponibilidade é utilizado.

Para criar sessões do BGP entre o Cloud Router e o roteador na rede de peering, consulte Como criar sessões do BGP.

A seguir