Peering de rede VPC

O peering de rede de nuvem privada virtual (VPC, na sigla em inglês) do Google Cloud Platform (GCP) permite a conectividade RFC 1918 particular entre duas redes VPC, independentemente de pertencerem ou não ao mesmo projeto ou à mesma organização.

Visão geral

O peering de redes VPC permite que você crie ecossistemas SaaS (Software-as-a-Service) no GCP, disponibilizando serviços de modo privado em diferentes redes VPC em uma organização e entre organizações, permitindo que as cargas de trabalho se comuniquem no espaço RFC 1918 particular.

O peering de redes VPC é útil para:

  • organizações com vários domínios administrativos de rede;
  • organizações que desejam fazer peering com outras organizações.

Se você tiver vários domínios administrativos de rede na sua organização, o peering de redes VPC permite que você disponibilize serviços nas redes VPC no espaço RFC 1918 privado. Se você oferece serviços a outras organizações, o peering de redes VPC permite que esses serviços sejam disponibilizados a essas organizações no espaço RFC 1918 privado. Assim, essa capacidade é útil para oferecer serviços a outras empresas, além de ser benéfica para sua própria empresa se você tiver vários nós de organização distintos devido à sua estrutura ou como resultado de fusões ou aquisições.

O peering de redes VPC oferece várias vantagens em comparação com o uso de endereços IP externos ou VPNs para conectar redes, incluindo estas:

  • Latência da rede: a rede de IPs públicos sofre uma latência maior do que a rede privada.
  • Segurança de rede: os proprietários de serviços não precisam ter os serviços expostos à Internet pública e lidar com os riscos associados.
  • Custo da rede: o GCP cobra o preço da largura de banda de saída no caso de redes que usam IPs externos para se comunicar, mesmo se o tráfego estiver dentro da mesma zona. Se, no entanto, for feito o peering das redes, elas poderão usar IPs internos para se comunicar e economizar esses custos de saída. O preço regular da rede ainda se aplica a todo o tráfego.

Principais propriedades

As redes VPC com peering exibem as propriedades principais a seguir:

  • O peering de rede VPC funciona com o Compute Engine, o GKE e o ambiente flexível do App Engine.
  • As redes VPC com peering permanecem administrativamente separadas. Rotas, firewalls, VPNs e outras ferramentas de gerenciamento de tráfego são administradas e aplicadas separadamente em cada uma das redes VPC.
  • Cada lado de uma associação por peering é configurado de modo independente. O peering estará ativo apenas quando a configuração de ambos os lados for correspondente. Qualquer um dos lados pode optar por excluir a associação a qualquer momento.
  • O peering pode ser configurado para uma rede VPC mesmo antes da outra rede VPC ser criada.
  • Uma determinada rede VPC pode fazer peering com várias redes VPC, mas há um limite.
  • Um prefixo de sub-rede CIDR em uma rede VPC com peering não pode se sobrepor a um prefixo de sub-rede CIDR em outra rede com peering. Isso significa que duas redes VPC de modo automático que tenham somente as sub-redes padrão não podem fazer peering. O GCP verifica se há sobreposição nas circunstâncias a seguir:
    • Quando você faz peering de redes VPC pela primeira vez.
    • Quando você cria uma nova sub-rede em uma rede VPC com peering.
  • Um intervalo CIDR de sub-rede em uma rede VPC com peering não pode sobrepor uma rota em outra rede com peering. Essa regra abrange rotas de sub-rede e rotas personalizadas. O GCP verifica a sobreposição nas seguintes circunstâncias e gera um erro quando ocorre uma sobreposição.
    • Quando você faz peering de redes VPC pela primeira vez.
    • Quando você cria uma rota estática em uma rede VPC com peering.
    • Quando você cria uma nova sub-rede em uma rede VPC com peering.
  • O peering de redes VPC é aceito somente em redes VPC. O peering NÃO é compatível com redes legadas.
  • Permissões IAM: há novas permissões IAM para criação e exclusão de peering de redes VPC. Essas permissões estão incluídas nos papéis de Proprietário/Editor do projeto e de Administrador de rede.
  • Uma vez que o peering de redes é estabelecido, cada IP interno e particular torna-se acessível nas redes com peering. O peering de redes VPC não fornece controles de rota granulares para filtrar quais CIDRs de sub-rede podem ser acessados nas redes. Se for necessário, use regras de firewall para filtrar o tráfego. Os tipos de endpoints/recursos a seguir são acessíveis em redes com peering direto:
    • IPs internos da máquina virtual (VM, na sigla em inglês) em todas as sub-redes
    • IPs internos com carga balanceada em todas as sub-redes
  • Os tipos de endpoints/recursos a seguir NÃO são propagados para redes com peering direto:
    • Rotas estáticas
    • VPNs
  • Somente redes com peering direto podem se comunicar. O peering transitivo não é aceito. Ou seja, se a rede VPC N1 fizer peering com a N2 e a N3, mas a N2 e a N3 não estiverem diretamente conectadas, a rede VPC N2 não poderá se comunicar com a rede VPC N3 por meio do peering.
  • O tráfego de peering (tráfego que flui entre redes com peering) tem a mesma latência, taxa de transferência e disponibilidade que o tráfego particular na mesma rede.
  • A política de faturamento permanece a mesma para o tráfego de peering e o tráfego particular na mesma rede.

Funcionalidades de rede nos cenários de peering de redes VPC

Balanceamento de carga interno

Para o balanceamento de carga interno em redes com peering, as regras de encaminhamento baseadas no balanceamento de carga interno em uma rede serão instaladas automaticamente em instâncias de VM também na rede com peering. Não é preciso adicionar uma configuração extra para isso. A figura abaixo descreve como as instâncias de VM na rede-B acessam os back-ends com carga balanceada na rede-A. A configuração de balanceamento de carga interno da rede-A é aplicada automaticamente à rede-B neste caso. Os serviços de balanceamento de carga internos estão disponíveis apenas para clientes em redes com peering direto. Ou seja, se a rede-B fizer peering com a rede C, os back-ends internos de carga balanceada na rede-A não serão acessíveis por clientes na rede-C.

Balanceamento de carga interno com peering de redes VPC (clique para ampliar)
Balanceamento de carga interno com peering de redes VPC (clique para ampliar)

O balanceamento de carga interno é um serviço regional e só pode ser acessado por VMs na mesma região que o balanceador de carga interno. Isso se aplica também às VMs em redes com peering. As VMs em uma rede com peering que não estão na mesma região que o balanceador de carga interno não podem usá-lo.

Firewall

As regras de firewall não são importadas para as redes com peering. Você pode configurar regras de firewall em cada rede separadamente para controlar o tráfego que você quer permitir ou bloquear de redes com peering.

Você poderá bloquear o tráfego para um dado conjunto de instâncias VM ou pontos de extremidade de balanceamento de carga interno, se tiver um peering entre sua rede VPC e outra rede VPC. Como não há como excluir certas instâncias de VM ou balanceadores de carga internos do peering, você precisará usar as regras de firewall. Se quiser desativar a comunicação com determinadas instâncias de VM ou balanceadores de carga internos, é possível instalar regras de firewall de entrada na rede com que pretende bloquear a comunicação.

  • Instâncias de VM: neste caso, é possível instalar um firewall de entrada que só permite o tráfego de determinados IPs de origem. Esses IPs de origem podem ser mapeados para os CIDRs de sub-rede em sua própria rede VPC. Isso bloqueia qualquer tráfego proveniente das redes VPC com peering.
Firewall com peering de rede VPC (clique para ampliar)
Firewall com peering de rede VPC (clique para ampliar)
  • Balanceadores de carga internos: neste caso, é possível instalar regras de firewall de entrada na rede VPC com o balanceador de carga interno. Esses IPs de origem podem ser mapeados para todos ou parte dos CIDRs de sub-rede na sua própria rede. Se as regras de firewall de entrada forem implementadas para todos os intervalos de CIDR de sub-rede na rede com peering, nenhuma instância nessa rede poderá acessar as VMs do back-end do balanceador de carga interno.

VPC compartilhada

O peering de redes VPC permite fazer peering com uma VPC compartilhada. Um projeto de host de VPC compartilhada permite que outros projetos usem uma de suas redes. O diagrama a seguir mostra esta configuração.

VPC compartilhada com peering de rede (clique para ampliar)
VPC compartilhada com peering de rede (clique para ampliar)

A Rede-SVPC está em uma rede VPC compartilhada no projeto host P1. Os projetos de serviço P3 e P4 podem anexar instâncias de VM à Rede-SVPC. A Rede-SVPC faz peering com a Rede-A. Este é o resultado:

  • As instâncias de VM em projetos de serviço VPC compartilhados que usam a Rede-SVPC (VM3 e VM4) tem conectividade IP interna e particular com qualquer endpoint associado à Rede-A.
  • As instâncias de VM associadas à Rede-A terão conectividade particular de IP interno com qualquer endpoint associado à Rede-SVPC, independentemente do projeto em que estejam, seja o projeto host ou um projeto de serviço.

É possível configurar o peering de rede VPC entre duas redes VPC compartilhadas.

Várias interfaces de rede por instância

Uma instância pode ter várias interfaces de rede, uma em diferentes redes VPC.

O diagrama a seguir mostra uma situação em que podemos ver a interação entre os dois recursos. Neste caso, a VM1 tem uma interface de rede tanto na rede-A quanto na rede-B. A rede-B faz peering com a rede-C.

Múltiplas interfaces de rede com peering de rede (clique para ampliar)
Múltiplas interfaces de rede com peering de rede (clique para ampliar)

O IP3 pode enviar tráfego para o IP2 porque o IP2 está na rede-B, e as rotas dessa rede são propagadas automaticamente para a rede-C quando as duas redes fazem peering. No entanto, para que o IP2 envie tráfego para o IP3, é preciso configurar o roteamento de políticas para a interface IP2.

Os fluxos para o IP1 não estão instalados na rede-C. Portanto, a rede-C não pode acessar o IP1.

Alias de IP

Com o Alias de IP, uma sub-rede pode ter intervalos de IP primários e secundários. As instâncias de VM em uma sub-rede desse tipo podem conseguir um IP do intervalo primário e um ou mais do intervalo secundário.

Com o peering VPC do Cloud, os intervalos de IP primários e secundários de uma sub-rede são acessíveis por instâncias VM na rede com peering.

As verificações de sobreposição de sub-rede em redes com peering garantem que os intervalos primários e secundários não se sobreponham com nenhum intervalo espelhado.

Alias de IP com peering de rede (clique para ampliar)
Alias de IP com peering de rede (clique para ampliar)

A seguir

Esta página foi útil? Conte sua opinião sobre: