Criar uma sub-rede híbrida

As Hybrid Subnets ajudam a migrar cargas de trabalho de uma sub-rede local para uma sub-rede de nuvem privada virtual (VPC), sem precisar alterar os endereços IP. Neste documento, descrevemos as etapas para criar uma sub-rede híbrida, migrar cargas de trabalho para a parte do Google Cloud de uma sub-rede híbrida e testar a conectividade em uma sub-rede híbrida.

Antes de começar

Verifique se você concluiu as etapas em Preparar-se para a conectividade de Hybrid Subnets.
Para usar os exemplos de linha de comando neste guia, instale ou atualize para a versão mais recente da CLI do Google Cloud.
Ative a API Compute Engine no projeto do Google Cloud. Para mais informações, consulte a API Compute Engine.
Ative a API Network Connectivity no projeto do Google Cloud. Para mais informações, consulte a API Network Connectivity.

Funções exigidas

Para receber as permissões necessárias para criar uma sub-rede híbrida, peça ao administrador para conceder a você o papel do IAM de Administrador da rede do Compute (roles/compute.networkAdmin) no seu projeto. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Configurar o roteamento de sub-rede híbrida

Para configurar o roteamento de sub-rede híbrida, siga um destes procedimentos:

Crie uma nova sub-rede que tenha o roteamento de sub-rede híbrida ativado.
Ative o roteamento de sub-rede híbrida para uma sub-rede atual.

Crie uma nova sub-rede com o roteamento de sub-rede híbrida ativado

Console

No Console do Google Cloud, acesse a página Redes VPC.

Acessar redes VPC
Clique no nome da rede VPC em que você quer criar uma sub-rede híbrida.
Clique na guia Sub-redes.
Clique em Adicionar sub-rede. No painel que aparecerá, faça o seguinte:
1. Forneça um Nome.
2. Selecione uma Região.
3. Na seção Finalidade, selecione Nenhuma.
4. Na seção Tipo de pilha, selecione IPv4 (pilha única).
5. No campo Intervalo IPv4, insira o intervalo de endereços IPv4 do segmento da rede local que você quer usar para a sub-rede híbrida.
6. Na seção Acesso privado do Google, selecione Desativado.
7. Na seção Sub-rede híbrida, selecione Ativado.
8. Clique em Adicionar.

Ativar o roteamento de sub-rede híbrida para uma sub-rede atual

É possível ativar o roteamento de sub-rede híbrida para uma sub-rede atual em que o intervalo de endereços IPv4 principal corresponda ao intervalo do segmento da rede local que você quer usar para a sub-rede híbrida.

Para ativar o roteamento de sub-rede híbrida em uma sub-rede atual, ative a sobreposição de rotas CIDR para essa sub-rede. Isso modifica o comportamento do roteamento de rede VPC para permitir a sobreposição entre o intervalo de endereços IP da sub-rede e os de rotas dinâmicas personalizadas.

Para mais informações sobre a sobreposição de rotas CIDR, consulte o campo allowSubnetCidrRoutesOverlap na referência da API Compute Engine.

Console

No Console do Google Cloud, acesse a página Redes VPC.

Acessar redes VPC
Clique no nome da rede VPC que contém a sub-rede a ser atualizada.
Clique na guia Sub-redes.
Clique na sub-rede que você quer atualizar.
Clique em Editar.
Na seção Sub-rede híbrida, selecione Ativado.
Clique em Salvar.

gcloud

Use o comando gcloud beta compute networks subnets update.

gcloud beta compute networks subnets update SUBNET \
    --region=REGION \
    --allow-cidr-routes-overlap

Substitua:

SUBNET: o nome da sub-rede
REGION: a região da sub-rede.

API

Encontre o ID fingerprint da sua sub-rede.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

PROJECT_ID: ID do projeto
REGION: a região da sua sub-rede
SUBNET_NAME: o nome da sub-rede

Método HTTP e URL:

GET https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "kind": "compute#subnetwork",
  "id": "5514771331600183201",
  "creationTimestamp": "2022-09-16T12:41:02.010-07:00",
  "name": "subnet-name",
  "network": "https://www.googleapis.com/compute/v1/projects/project-name/global/networks/network-name",
  "ipCidrRange": "10.6.0.0/16",
  "gatewayAddress": "10.6.0.1",
  "region": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1/subnetworks/subnet-name",
  "privateIpGoogleAccess": true,
  "fingerprint": "YiItidAFRsA5",
  "allowSubnetCidrRoutesOverlap": false,
  "enableFlowLogs": true,
  "privateIpv6GoogleAccess": "DISABLE_GOOGLE_ACCESS",
  "purpose": "PRIVATE",
  "stackType": "IPV4_ONLY"
}

Ative o roteamento de sub-rede híbrido.

Antes de usar os dados da solicitação, substitua SUBNET_FINGERPRINT pelo ID da impressão digital da sub-rede que você encontrou na solicitação anterior, por exemplo, YiItidAFRsA5.

Método HTTP e URL:

PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

Corpo JSON da solicitação:

{
  "allowSubnetCidrRoutesOverlap": true,
  "fingerprint": "SUBNET_FINGERPRINT"
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "kind": "compute#operation",
  "id": "5973660558170953708",
  "name": "operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "operationType": "compute.subnetworks.patch",
  "targetLink": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1/subnetworks/subnet-name",
  "targetId": "5514771331600183201",
  "status": "RUNNING",
  "user": "user@gmail.com",
  "progress": 0,
  "insertTime": "2023-03-31T11:40:03.882-07:00",
  "startTime": "2023-03-31T11:40:03.893-07:00",
  "selfLink": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1/operations/operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "region": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1"
}

Para verificar se allowSubnetCidrRoutesOverlap está ativado na sua sub-rede, faça outra solicitação GET e verifique se a resposta inclui o seguinte:
- "allowSubnetCidrRoutesOverlap": true

Configurar divulgação de rota

Configure a sessão do protocolo de gateway de borda (BGP, na sigla em inglês) para seu produto de conectividade híbrida (túnel de VPN, anexo da VLAN ou instância de máquina virtual (VM) do dispositivo roteador) para anunciar apenas prefixos personalizados IPv4 e IPv6.

Testar a conectividade local da sua rede VPC

Para testar a conectividade entre a sub-rede híbrida e o intervalo de endereços IP sobreposto da rede local, faça o seguinte:

Crie uma VM de teste na sub-rede híbrida da rede VPC.
Anote o endereço IPv4 interno principal da VM de teste.
Atualize a divulgação de rota personalizada da sessão do BGP do Cloud Router para incluir uma divulgação de rota personalizada /32 para o endereço IPv4 interno principal da VM de teste.
Use o SSH para se conectar à VM.
No prompt do sistema operacional, use o ICMP para ping o endereço IP de um sistema local na sub-rede híbrida.

Se o teste de ping falhar, verifique se as regras de firewall do Google Cloud e o firewall local permitem ICMP nos intervalos de endereços IP da sub-rede híbrida.

Mover cargas de trabalho e atualizar o roteamento

Sempre que você migrar uma carga de trabalho ou um grupo de cargas de trabalho, siga estas etapas.

Migrar cargas de trabalho

Migre cargas de trabalho e VMs da rede local para a rede VPC usando o método que preferir. Para migrar VMs para o Compute Engine, recomendamos usar Migrate to Virtual Machines.

Para informações sobre opções de migração, consulte Hybrid Subnets e Migrate to Virtual Machines.

Atualizar divulgação de rota personalizada

Ao migrar VMs para o Google Cloud, atualize a divulgação de rota personalizada da sessão do BGP do Cloud Router para incluir o endereço IPv4 interno principal de cada VM migrada. Adicione endereços IP individuais usando uma divulgação de rota personalizada /32.

Para blocos de endereços IP contíguos, consolide os endereços no menor número possível de divulgações personalizadas. As divulgações precisam permanecer mais específicas (ter máscaras de sub-rede mais longas) do que o intervalo de endereços IP da sub-rede híbrida.

Testar a conectividade com uma VM migrada da rede local

Para testar a conectividade com uma VM que você migrou para o Google Cloud, faça o seguinte:

Verifique se você atualizou as divulgações de rota personalizadas para as sessões do BGP que gerenciam a conectividade híbrida. As divulgações de rota precisam incluir o endereço IPv4 interno principal da VM migrada.
Envie um ping ICMP de um sistema local para o endereço IP da VM migrada.

A seguir

Desativar uma sub-rede híbrida.