Redes e encaminhamento de túneis

Esta página descreve as redes da nuvem virtual privada (VPC) e as opções de encaminhamento suportadas.

Para ver as definições dos termos usados nesta página, consulte a secção Termos-chave.

Redes suportadas

A VPN do Google Cloud é compatível com redes VPC de modo personalizado, redes VPC de modo automático e redes antigas. No entanto, deve considerar as seguintes práticas recomendadas:

• Use redes VPC em vez de redes antigas. As redes antigas não suportam sub-redes. Toda a rede usa um único intervalo de endereços IP. Não é possível converter redes antigas em redes de VPC.

• Use uma rede VPC no modo personalizado. As redes VPC no modo personalizado oferecem-lhe controlo total sobre o intervalo de endereços IP usados pelas respetivas sub-redes.

  • Se usar o Cloud VPN para ligar duas redes VPC, pelo menos uma rede tem de ser uma rede VPC de modo personalizado. As redes VPC no modo automático usam o mesmo intervalo de endereços IP internos para as respetivas sub-redes.

  • Reveja as considerações para as redes VPC no modo automático antes de usar uma com a Cloud VPN. As redes VPC no modo automático criam automaticamente uma sub-rede em cada Google Cloud região, incluindo a criação automática de novas sub-redes em novas regiões à medida que são adicionadas. Evite usar os endereços IP internos do intervalo usado pelas redes VPC no modo automático na rede à qual os túneis do Cloud VPN se ligam.

Opções de encaminhamento para túneis de VPN

A VPN clássica suporta opções de encaminhamento estático para túneis de VPN, enquanto a VPN de HA suporta a opção de encaminhamento dinâmico. Pode usar túneis de VPN clássica que usam o encaminhamento dinâmico apenas se o gateway de VPN clássica se ligar ao software de gateway de VPN em execução numa VM do Compute Engine.

O encaminhamento dinâmico usa o Border Gateway Protocol (BGP).

Encaminhamento dinâmico (BGP)

O encaminhamento dinâmico usa um Cloud Router para gerir automaticamente a troca de rotas através do BGP. Uma interface BGP num Cloud Router na mesma região que o túnel da Cloud VPN correspondente gere esta troca. O Cloud Router adiciona e remove rotas sem exigir que o túnel seja eliminado e recriado.

O modo de encaminhamento dinâmico da sua rede VPC controla o comportamento de todos os respetivos routers na nuvem. Este modo determina se os trajetos aprendidos na sua rede de pares são aplicados aos Google Cloud recursos na mesma região que o túnel de VPN ou se são aplicados em todas as regiões. Controla os trajetos anunciados pelo seu router ou gateway de pares.

O modo de encaminhamento dinâmico também determina se as rotas de sub-rede apenas da região do túnel ou de todas as regiões são partilhadas com o seu router ou gateway de pares. Além destas rotas de sub-rede, pode configurar anúncios de rotas personalizadas num Cloud Router.

Encaminhamento estático

Os túneis de VPN clássicos suportam opções de encaminhamento estático baseadas em políticas e rotas. Considere uma opção de encaminhamento estático apenas se não puder usar o encaminhamento dinâmico (BGP) ou a VPN de HA.

• Encaminhamento baseado em políticas. Os intervalos de IP locais (lado esquerdo) e os intervalos de IP remotos (lado direito) são definidos como parte do processo de criação do túnel.

• VPN baseada em rotas. Quando usa a Google Cloud consola para criar uma VPN baseada em rotas, especifica apenas uma lista de intervalos de IP remotos. Esses intervalos são usados apenas para criar rotas na sua rede VPC para recursos de peering.

Pode encontrar mais informações sobre estas duas opções de encaminhamento estático na secção seguinte.

Seletores de tráfego

Um seletor de tráfego define um conjunto de intervalos de endereços IP ou blocos CIDR usados para estabelecer um túnel VPN. Estes intervalos são usados como parte da negociação IKE para o túnel. Alguma literatura refere-se aos seletores de tráfego como domínios de encriptação.

Existem dois tipos de seletores de tráfego:

• O seletor de tráfego local define o conjunto de intervalos de IP locais (blocos CIDR) na perspetiva do gateway de VPN que emite o túnel VPN. Para os túneis de VPN na nuvem, o seletor de tráfego local define o conjunto de CIDRs de sub-rede primários e secundários para sub-redes na rede VPC, representando o lado esquerdo do túnel.

• O seletor de tráfego remoto define o conjunto de intervalos de IP remotos (blocos CIDR) na perspetiva do gateway de VPN que emite o túnel VPN. Para os túneis da Cloud VPN, o seletor de tráfego remoto é o lado direito ou a rede de pares.

Os seletores de tráfego são uma parte intrínseca de um túnel de VPN, usados para estabelecer o handshake IKE. Se for necessário alterar os CIDRs locais ou remotos, o túnel de VPN na nuvem e o respetivo túnel de contrapartida têm de ser destruídos e recriados.

Opções de planeamento de trajeto e seletores de trânsito

Os valores do intervalo de IP (bloco CIDR) para os seletores de tráfego local e remoto dependem da opção de encaminhamento usada pelo túnel de VPN na nuvem.

Túneis de HA VPN
Opção de encaminhamento de túneis	Seletor de tráfego local	Seletor de tráfego remoto	Encaminhamentos para a rede VPC	Rotas para a rede ponto a ponto
Requer encaminhamento dinâmico (BGP)	Sempre 0.0.0.0/0 para IPv4 (pilha única) ou 0.0.0.0/0,::/0 para IPv4 e IPv6 (pilha dupla) ou ::/0 para IPv6 (pilha única)	Sempre 0.0.0.0/0 para IPv4 (pilha única) ou 0.0.0.0/0,::/0 para IPv4 e IPv6 (pilha dupla) ou ::/0 para IPv6 (pilha única)	Salvo se forem modificadas por anúncios personalizados, o Cloud Router que gere a interface BGP para o túnel da Cloud VPN partilha os trajetos para as sub-redes na rede VPC de acordo com o modo de encaminhamento dinâmico da rede e as quotas e os limites do Cloud Router.	Sujeito a restrições nos trajetos personalizados e às quotas e limites do Cloud Router, o Cloud Router que gere a interface BGP para o túnel da Cloud VPN aprende os trajetos que lhe são enviados pelo gateway VPN de pares e adiciona-os à rede VPC como trajetos dinâmicos personalizados.
Túneis de VPN clássica
Opção de encaminhamento de túneis	Seletor de tráfego local	Seletor de tráfego remoto	Encaminhamentos para a rede VPC	Rotas para a rede ponto a ponto
Encaminhamento dinâmico (BGP)	Sempre 0.0.0.0/0	Sempre 0.0.0.0/0	Salvo se forem modificadas por anúncios personalizados, o Cloud Router que gere a interface BGP para o túnel da Cloud VPN partilha os trajetos para as sub-redes na rede VPC de acordo com o modo de encaminhamento dinâmico da rede e as quotas e os limites do Cloud Router.	Sujeito a restrições em trajetos personalizados e às quotas e limites do Cloud Router, o Cloud Router que gere a interface BGP para o túnel da Cloud VPN aprende os trajetos enviados pelo gateway de VPN de pares e adiciona-os à rede VPC como trajetos dinâmicos personalizados.
Encaminhamento baseado em políticas	Configurável. Consulte os túneis baseados em políticas e os seletores de tráfego.	Obrigatório. Consulte os túneis baseados em políticas e os seletores de tráfego.	Tem de criar e manter manualmente os trajetos para as sub-redes na sua rede VPC nos routers de pares.	Se usar a Google Cloud consola para criar o túnel de VPN baseada em políticas, as rotas estáticas personalizadas são criadas automaticamente. Se usar a CLI gcloud para criar o túnel, tem de usar comandos gcloud adicionais para criar as rotas. Para obter instruções, consulte o artigo Crie uma VPN clássica através do encaminhamento estático.
VPN baseada no encaminhamento	Sempre 0.0.0.0/0	Sempre 0.0.0.0/0	Tem de criar e manter manualmente os trajetos para as sub-redes na sua rede VPC nos routers de pares.	Se usar a Google Cloud consola para criar o túnel VPN baseado em rotas, as rotas estáticas personalizadas são criadas automaticamente. Se usar a CLI gcloud para criar o túnel, tem de usar comandos gcloud adicionais para criar as rotas. Para obter instruções, consulte o artigo Crie uma VPN clássica através do encaminhamento estático.

Túneis baseados em políticas e seletores de tráfego

Esta secção descreve considerações especiais para os seletores de tráfego quando cria túneis de VPN clássica baseados em políticas. Não se aplica a nenhum outro tipo de túnel VPN clássica ou VPN de alta disponibilidade.

Pode optar por especificar o seletor de tráfego local de um túnel do Cloud VPN baseado em políticas quando o cria:

• Seletor de tráfego local personalizado. Pode definir o seletor de tráfego local como um conjunto de sub-redes na rede VPC ou um conjunto de endereços IP internos que incluem os intervalos de IP escolhidos de sub-redes na rede VPC. O IKEv1 limita os seletores de tráfego local a um único CIDR.

• Redes VPC no modo personalizado. Especifique um seletor de tráfego local personalizado que consista num intervalo de endereços IP internos.

• Redes VPC de modo automático. Se não for especificado, o seletor de tráfego local é o intervalo de IP principal (bloco CIDR) da sub-rede criada automaticamente na mesma região que o túnel da VPN na nuvem. As redes VPC de modo automático têm uma sub-rede por região com intervalos de IP bem definidos.

• Redes antigas. Se não for especificado, o seletor de tráfego local é definido como o intervalo de endereços IP RFC 1918 completo da rede antiga.

Especifique o seletor de tráfego remoto de um túnel de VPN na nuvem baseado em políticas quando o criar. Se usar a Google Cloud consola para criar o túnel de VPN na nuvem, são criadas automaticamente rotas estáticas personalizadas cujos destinos correspondem aos CIDRs do seletor de tráfego remoto. O IKEv1 limita os seletores de tráfego remoto a um único CIDR. Para ver instruções, consulte o artigo Crie uma VPN clássica com encaminhamento estático.

Considerações importantes para os seletores de tráfego

Antes de criar um túnel baseado em políticas do Cloud VPN, considere o seguinte:

• A maioria dos gateways de VPN só passa tráfego através de um túnel de VPN se o endereço IP de origem de um pacote se enquadrar no seletor de tráfego local do túnel e se o endereço IP de destino de um pacote se enquadrar no seletor de tráfego remoto do túnel. Alguns dispositivos VPN não aplicam este requisito.

• A VPN do Google Cloud suporta CIDRs de seletor de tráfego de 0.0.0.0/0 ou ::/0 (qualquer endereço IP). Para determinar se o seu gateway de VPN de intercâmbio também o faz, consulte a documentação fornecida com o gateway de VPN de intercâmbio. A criação de um túnel de VPN baseado em políticas com ambos os seletores de tráfego definidos como 0.0.0.0/0 ou ::/0 é funcionalmente equivalente à criação de uma VPN baseada em rotas.

• Reveja cuidadosamente o artigo Vários CIDRs por seletor de tráfego para saber como a VPN Cloud implementa os protocolos IKEv1 e IKEv2.

• A VPN na nuvem não permite a edição de seletores de tráfego depois de ter criado uma VPN. Para alterar o seletor de tráfego local ou remoto de um túnel de VPN na nuvem, tem de eliminar o túnel e, em seguida, recriá-lo. No entanto, não tem de eliminar o gateway de VPN do Google Cloud.

• Se converter uma rede VPC no modo automático numa rede VPC no modo personalizado, pode ter de eliminar e recriar o túnel da VPN na nuvem (mas não o gateway). Isto pode acontecer se adicionar sub-redes personalizadas, remover sub-redes criadas automaticamente ou modificar os intervalos de IP secundários de qualquer sub-rede. Evite mudar o modo de uma rede VPC que tenha túneis de VPN Cloud existentes. Para sugestões, reveja as considerações para redes VPC no modo automático.

Para um comportamento consistente e previsível da VPN, faça o seguinte:

• Torne os seletores de tráfego locais e remotos o mais específicos possível.

• Faça com que o seletor de tráfego local da Cloud VPN seja igual ao seletor de tráfego remoto configurado para o túnel correspondente no gateway de VPN de pares.

• Faça com que o seletor de tráfego remoto da Cloud VPN seja igual ao seletor de tráfego local configurado para o túnel correspondente no gateway de VPN no local.

Vários CIDRs por seletor de tráfego

Quando cria um túnel de VPN clássica baseado em políticas, se usar o IKEv2, pode especificar vários CIDRs por seletor de tráfego. A VPN na nuvem usa sempre uma única associação de segurança (SA) secundária, independentemente da versão do IKE.

A tabela seguinte resume o suporte da VPN na nuvem para vários CIDRs por seletor de tráfego em túneis de VPN baseados em políticas.

Versão do IKE	Vários CIDRs por seletor de tráfego
IKEv1	Não O protocolo IKEv1 só suporta um CIDR por SA secundário, conforme definido nas RFC 2407 e RFC 2409. Uma vez que a VPN do Google Cloud requer uma única SA secundária por túnel de VPN, quando usa o IKEv1, só pode fornecer um único CIDR para o seletor de tráfego local e um único CIDR para o seletor de tráfego remoto. A VPN na nuvem não suporta a criação de um túnel de VPN através da utilização do IKEv1 com várias SAs secundárias, cada uma com um único CIDR.
IKEv2	Sim, se forem cumpridas as seguintes condições: O seu gateway de VPN de intercâmbio usa uma única SA subordinada. Todos os CIDRs para o seletor de tráfego local e todos os CIDRs para o seletor de tráfego remoto têm de estar numa única SA secundária. O número de CIDRs que configurar não faz com que os pacotes de propostas IKE excedam o MTU máximo da VPN na nuvem de 1460 bytes. Se as propostas IKE excederem esta MTU, os túneis de VPN do Google Cloud não são estabelecidos. Não excede nenhuma restrição para o número de CIDRs suportados pela sua gateway no local. Para ver detalhes, consulte a documentação do fornecedor do gateway. Uma prática recomendada é usar 30 ou menos CIDRs por seletor de tráfego para não criar um pacote de proposta IKE que exceda a MTU máxima.

Estratégias de seleção de tráfego

Considere as seguintes estratégias se o seu gateway de VPN no local criar várias SAs secundárias por túnel de VPN ou se vários CIDRs por seletor de tráfego fizerem com que uma proposta IKE para IKEv2 exceda 1460 bytes (para detalhes, consulte Opções de encaminhamento e seletores de tráfego):

1. Use o encaminhamento dinâmico para o túnel de VPN. Se o gateway de VPN par suportar BGP, configure os seletores de tráfego locais e remotos para o túnel de VPN para permitir qualquer endereço IP. Use 0.0.0.0/0 apenas para IPv4 ou use 0.0.0.0/0,::/0 para tráfego IPv4 e IPv6. Os trajetos são trocados automaticamente entre o gateway de VPN de pares e o Cloud Router associado ao seu túnel do Cloud VPN. Se puder usar o encaminhamento dinâmico, considere a VPN de HA.

2. Use seletores de tráfego CIDR únicos e amplos, e encaminhamento de túnel estático:

   • Use uma VPN baseada em rotas. Ambos os seletores de tráfego são 0.0.0.0/0 por definição para VPNs baseadas em rotas. Pode criar rotas mais específicas do que os seletores de tráfego.

   • Use o encaminhamento baseado em políticas e configure os seletores de tráfego locais e remotos para serem o mais amplos possível. Para túneis do Cloud VPN baseados em políticas, pode criar rotas para redes no local na sua rede VPC cujos destinos sejam mais específicos do que os blocos CIDR especificados nos seletores de tráfego remoto. Use a CLI gcloud para criar as rotas separadamente dos túneis de VPN seguindo os passos em Criar uma VPN clássica usando o encaminhamento estático.

3. Use o encaminhamento baseado em políticas para criar vários túneis de VPN na nuvem, de modo que cada túnel tenha apenas um bloco CIDR para o respetivo seletor de tráfego local e um bloco CIDR para o respetivo seletor de tráfego remoto. Configure o túnel correspondente no local de forma semelhante. A Cloud VPN suporta vários túneis por gateway. No entanto, a utilização de vários túneis tem algumas implicações:

   • O seu gateway de VPN de pares tem de oferecer endereços IP externos separados aos quais cada túnel de VPN do Google Cloud pode estabelecer ligação. Os túneis no mesmo gateway de VPN clássica têm de se ligar a endereços IP de gateway de pares únicos. O gateway VPN do seu par também pode exigir que os respetivos túneis se liguem a endereços IP exclusivos. Em algumas situações, tem de criar um gateway do Cloud VPN separado por túnel do Cloud VPN.
   • Quando usa a Google Cloud consola para criar túneis de VPN do Cloud baseados em rotas ou em políticas, as rotas para a rede de pares são criadas automaticamente, além do túnel. Se as rotas forem criadas automaticamente para vários túneis VPN que usam cada um os mesmos seletores de tráfego remoto, como acontece se criar VPNs baseadas em rotas, pode ter várias rotas na sua rede VPC, todas com destinos idênticos, mas diferentes saltos seguintes. Isto pode levar a um comportamento imprevisível ou inesperado porque o tráfego é fornecido a um túnel VPN de acordo com a aplicabilidade e a ordem dos trajetos. Se não usar o encaminhamento de túneis dinâmico (BGP), crie e reveja as rotas estáticas na sua rede VPC e na rede de pares.

O que se segue?

• Para saber mais sobre os conceitos básicos da Cloud VPN, consulte a vista geral da Cloud VPN.
• Para usar cenários de alta disponibilidade e alto débito ou vários cenários de sub-rede, consulte as configurações avançadas.
• Para ajudar a resolver problemas comuns que pode encontrar ao usar o Cloud VPN, consulte a secção Resolução de problemas.