Conectividade entre VPCs de redes Cross-Cloud usando o Network Connectivity Center

Este documento fornece uma arquitetura de referência que pode ser usada para implantar uma topologia rede VPC de Google Cloudem uma rede entre nuvens. Esse design de rede permite a implantação de serviços de software em Google Cloud e redes externas, como data centers locais ou outros provedores de serviços em nuvem (CSPs).

O público-alvo deste documento inclui administradores de rede, arquitetos de nuvem e arquitetos empresariais que vão criar a conectividade de rede. Também inclui arquitetos de nuvem que planejam como as cargas de trabalho são implantadas. O documento pressupõe um conhecimento básico de roteamento e conectividade com a Internet.

Esse design oferece suporte a várias conexões externas, várias redes de nuvem privada virtual (VPC) de acesso a serviços que contêm serviços e pontos de acesso a serviços e várias redes VPC de carga de trabalho.

Neste documento, o termo pontos de acesso ao serviço se refere a pontos de acesso a serviços disponibilizados usando o Google Cloud acesso a serviços particulares e o Private Service Connect. O Network Connectivity Center é um modelo de plano de controle hub-and-spoke para gerenciamento de conectividade de rede no Google Cloud. O recurso de hub oferece gerenciamento centralizado de conectividade para spokes de VPC do Network Connectivity Center.

O hub do Network Connectivity Center é um plano de controle global que aprende e distribui rotas entre os vários tipos de spoke conectados a ele. Os spokes VPC geralmente injetam rotas de sub-rede na tabela de rotas do hub centralizado. Os spokes híbridos normalmente injetam rotas dinâmicas na tabela de rotas do hub centralizado. Usando as informações do plano de controle do hub do Network Connectivity Center,o Google Cloudestabelece automaticamente a conectividade do plano de dados entre os spokes do Network Connectivity Center.

O Network Connectivity Center é a abordagem recomendada para interconectar VPCs para crescimento escalonável no Google Cloud. Se for necessário inserir dispositivos virtuais de rede (NVAs) no caminho do tráfego, use a funcionalidade do dispositivo roteador para rotas dinâmicas ou rotas estáticas ou baseadas em políticas com o peering de rede VPC para interconectar VPCs. Para mais informações, consulte Conectividade entre VPCs de rede entre nuvens com peering de rede VPC.

Arquitetura

O diagrama a seguir mostra uma visão geral da arquitetura das redes e dos diferentes fluxos de pacotes que ela oferece suporte.

A arquitetura contém os seguintes elementos de alto nível:

Componente	Finalidade	Interações
Redes externas (no local ou de outro CSP)	Hospeda os clientes de cargas de trabalho executadas nas VPCs de carga de trabalho e nas VPCs de acesso a serviços. As redes externas também podem hospedar serviços.	Troca dados com as redes VPC de Google Cloudpela rede de trânsito. Conecta-se à rede de trânsito usando o Cloud Interconnect ou a VPN de alta disponibilidade. Encerra uma extremidade dos seguintes fluxos: De externo para externo External-to-services-access External-to-Private-Service-Connect-consumer De fora para a carga de trabalho
Rede VPC de trânsito (também conhecida como rede VPC de roteamento no Network Connectivity Center)	Atua como um hub para a rede externa, a rede VPC de acesso a serviços e as redes VPC de carga de trabalho.	Conecta a rede externa, a rede VPC de acesso a serviços, a rede de consumidores do Private Service Connect e as redes VPC de carga de trabalho usando uma combinação de Cloud Interconnect, VPN de alta disponibilidade e Network Connectivity Center.
Rede VPC de acesso a serviços	Fornece acesso aos serviços necessários para cargas de trabalho que estão sendo executadas nas redes VPC de carga de trabalho ou em redes externas. Também fornece pontos de acesso a serviços gerenciados hospedados em outras redes.	Troca dados com as redes externas, de carga de trabalho e de consumidores do Private Service Connect pela rede de trânsito. Conecta-se à VPC de trânsito usando a VPN de alta disponibilidade. O roteamento transitivo fornecido pela VPN de alta disponibilidade permite que o tráfego externo alcance as VPCs de serviços gerenciados pela rede VPC de acesso a serviços. Encerra uma extremidade dos seguintes fluxos: External-to-services-access Workload-to-services-access Services-access-to-Private-Service-Connect-consumer
Rede VPC de serviços gerenciados	Hospeda serviços gerenciados necessários para clientes em outras redes.	Troca dados com as redes externas, de acesso a serviços, de consumidor do Private Service Connect e de carga de trabalho. Conecta-se à rede VPC de acesso a serviços usando o acesso a serviços particulares, que usa o peering de rede VPC. A VPC de serviços gerenciados também pode se conectar à VPC do consumidor do Private Service Connect usando o Private Service Connect ou o acesso a serviços particulares. Encerra uma extremidade dos fluxos de todas as outras redes.
VPC do consumidor do Private Service Connect	Hospeda endpoints do Private Service Connect que são acessíveis de outras redes. Essa VPC também pode ser uma VPC de carga de trabalho.	Troca dados com as redes VPC externas e de acesso a serviços pela rede VPC de trânsito. Conecta-se à rede de trânsito e a outras redes VPC de carga de trabalho usando spokes VPC do Network Connectivity Center.
Redes VPC de carga de trabalho	Hospeda cargas de trabalho necessárias para clientes em outras redes. Essa arquitetura permite várias redes VPC de carga de trabalho.	Troca dados com as redes VPC externas e de acesso a serviços pela rede VPC de trânsito. Conecta-se à rede de trânsito, às redes de consumidores do Private Service Connect e a outras redes VPC de carga de trabalho usando spokes de VPC do Network Connectivity Center. Encerra uma extremidade dos seguintes fluxos: De fora para a carga de trabalho Workload-to-services-access Workload-to-Private-Service-Connect-consumer De carga de trabalho para carga de trabalho
Network Connectivity Center	O hub do Network Connectivity Center incorpora um banco de dados de roteamento global que serve como um plano de controle de rede para rotas de sub-rede VPC e conexão híbrida em qualquer região Google Cloud .	Interconecta várias redes VPC e híbridas em uma topologia de qualquer para qualquer criando um caminho de dados que usa a tabela de roteamento do plano de controle.

O diagrama a seguir mostra uma visão detalhada da arquitetura que destaca as quatro conexões entre os componentes:

Descrições de conexões

Esta seção descreve as quatro conexões mostradas no diagrama anterior. A documentação do Network Connectivity Center se refere à rede VPC de trânsito como a VPC de roteamento. Embora essas redes tenham nomes diferentes, elas têm a mesma finalidade.

Conexão 1: entre redes externas e redes VPC de trânsito

Essa conexão entre as redes externas e as redes VPC de trânsito acontece pelo Cloud Interconnect ou pela VPN de alta disponibilidade. As rotas são trocadas usando o BGP entre os Cloud Routers na rede VPC de trânsito e entre os roteadores externos na rede externa.

• Os roteadores nas redes externas anunciam as rotas das sub-redes externas para os Cloud Routers da VPC de trânsito. Em geral, os roteadores externos em um determinado local anunciam rotas do mesmo local externo como mais preferenciais do que rotas para outros locais externos. A preferência das rotas pode ser expressa usando métricas e atributos do BGP.
• Os Cloud Routers na rede VPC de trânsito anunciam rotas para prefixos nas VPCs de Google Cloud para as redes externas. Essas rotas precisam ser anunciadas usando anúncios de rota personalizados do Cloud Router.
• O Network Connectivity Center permite transferir dados entre diferentes redes locais usando a rede de backbone do Google. Ao configurar os anexos da VLAN de interconexão como spokes híbridos do Network Connectivity Center, é necessário ativar a transferência de dados site a site.
• Os anexos da VLAN do Cloud Interconnect que originam os mesmos prefixos de rede externa são configurados como um único spoke do Network Connectivity Center.

Conexão 2: entre redes VPC de trânsito e redes VPC de acesso a serviços

Essa conexão entre as redes VPC de trânsito e as VPCs de acesso a serviços acontece por VPN de alta disponibilidade com túneis separados para cada região. As rotas são trocadas usando o BGP entre os Cloud Routers regionais nas redes VPC de trânsito e nas redes VPC de acesso a serviços.

• VPN de alta disponibilidade da VPC de trânsito Os Cloud Routers anunciam rotas para prefixos de rede externa, VPCs de carga de trabalho e outras VPCs de acesso a serviços para o Cloud Router da VPC de acesso a serviços. Essas rotas precisam ser anunciadas usando anúncios de rota personalizada do Cloud Router.
• A VPC de acesso a serviços anuncia as sub-redes dela e as sub-redes de todas as redes VPC de serviços gerenciados anexadas à rede VPC de trânsito. As rotas da VPC de serviços gerenciados e as rotas da sub-rede VPC de acesso a serviços precisam ser anunciadas usando anúncios de rota personalizados do Cloud Router.

Conexão 3: entre a rede VPC de trânsito, as redes VPC de carga de trabalho e as redes VPC de acesso a serviços do Private Service Connect

A conexão entre a rede VPC de trânsito, as redes VPC de carga de trabalho e as redes VPC de consumidor do Private Service Connect ocorre quando as sub-redes e as rotas de prefixo são trocadas usando o Network Connectivity Center. Essa conexão permite a comunicação entre as redes VPC de carga de trabalho, as redes VPC de acesso a serviços conectadas como spokes VPC do Network Connectivity Center e outras redes conectadas como spokes híbridos do Network Connectivity Center. Essas outras redes incluem as redes externas e as redes VPC de acesso a serviços que estão usando a conexão 1 e a conexão 2, respectivamente.

• Os anexos do Cloud Interconnect ou da VPN de alta disponibilidade na rede VPC de trânsito usam o Network Connectivity Center para exportar rotas dinâmicas para as redes VPC de carga de trabalho.
• Quando você configura a rede VPC de carga de trabalho como um spoke do hub do Network Connectivity Center, ela exporta automaticamente as sub-redes para a rede VPC de trânsito. Se quiser, configure a rede VPC de trânsito como um spoke da VPC. Nenhuma rota estática é exportada da rede VPC de carga de trabalho para a rede VPC de trânsito. Nenhuma rota estática é exportada da rede VPC de trânsito para a rede VPC de carga de trabalho.

Conexão 4: VPC do consumidor do Private Service Connect com propagação do Network Connectivity Center

• Os endpoints do Private Service Connect são organizados em uma VPC comum que permite aos consumidores acessar serviços gerenciados próprios e de terceiros.
• A rede VPC do consumidor do Private Service Connect é configurada como um spoke VPC do Network Connectivity Center. Esse spoke permite a propagação do Private Service Connect no hub do Network Connectivity Center. A propagação do Private Service Connect anuncia o prefixo do host do endpoint do Private Service Connect como uma rota na tabela de roteamento do hub do Network Connectivity Center.
• As redes VPC de consumidor de acesso a serviços do Private Service Connect se conectam a redes VPC de carga de trabalho e de trânsito. Essas conexões permitem conectividade transitiva com endpoints do Private Service Connect. O hub do Network Connectivity Center precisa ter a propagação de conexão do Private Service Connect ativada.
• O Network Connectivity Center cria automaticamente um caminho de dados de todos os spokes para o endpoint do Private Service Connect.

Fluxos de tráfego

O diagrama a seguir mostra os fluxos ativados por essa arquitetura de referência.

A tabela a seguir descreve os fluxos no diagrama:

Origem	Destino	Descrição
Rede externa	Rede VPC de acesso a serviços	O tráfego segue rotas pelas conexões externas até a rede de trânsito. As rotas são anunciadas pelo Cloud Router externo. O tráfego segue a rota personalizada até a rede VPC de acesso a serviços. A rota é anunciada em toda a conexão de VPN de alta disponibilidade. Se o destino estiver em uma rede VPC de serviços gerenciados conectada à rede VPC de acesso a serviços por acesso a serviços particulares, o tráfego seguirá rotas personalizadas do Network Connectivity Center até a rede de serviços gerenciados.
Rede VPC de acesso a serviços	Rede externa	O tráfego segue uma rota personalizada pelos túneis da VPN de alta disponibilidade até a rede de trânsito. O tráfego segue rotas pelas conexões externas de volta à rede externa. As rotas são aprendidas dos roteadores externos pelo BGP.
Rede externa	Rede VPC de carga de trabalho ou rede VPC de consumidor do Private Service Connect	O tráfego segue rotas pelas conexões externas até a rede de trânsito. As rotas são anunciadas pelo Cloud Router externo. O tráfego segue a rota da sub-rede até a rede VPC da carga de trabalho relevante. A rota é aprendida pelo Network Connectivity Center.
Rede VPC de carga de trabalho ou rede VPC de consumidor do Private Service Connect	Rede externa	O tráfego segue uma rota dinâmica de volta à rede de trânsito. A rota é aprendida por uma exportação de rota personalizada do Network Connectivity Center. O tráfego segue rotas pelas conexões externas de volta à rede externa. As rotas são aprendidas dos roteadores externos pelo BGP.
Rede VPC de carga de trabalho	Rede VPC de acesso a serviços	O tráfego segue rotas para a rede VPC de trânsito. As rotas são aprendidas por uma exportação de rota personalizada do Network Connectivity Center. O tráfego segue uma rota por um dos túneis de VPN de alta disponibilidade até a rede VPC de acesso a serviços. As rotas são aprendidas com anúncios de rotas personalizadas do BGP.
Rede VPC de acesso a serviços	Rede VPC de carga de trabalho	O tráfego segue uma rota personalizada até a rede de trânsito. A rota é anunciada em todos os túneis de VPN de alta disponibilidade. O tráfego segue a rota da sub-rede até a rede VPC da carga de trabalho relevante. A rota é aprendida pelo Network Connectivity Center.
Rede VPC de carga de trabalho	Rede VPC de carga de trabalho	O tráfego que sai de uma VPC de carga de trabalho segue a rota mais específica para a outra VPC de carga de trabalho pelo Network Connectivity Center. O tráfego de retorno inverte esse caminho.

Produtos usados

• Nuvem privada virtual: um sistema virtual que oferece funcionalidade de rede global e escalonável para suas cargas de trabalho do Google Cloud . A VPC inclui o peering de rede VPC, o Private Service Connect, o acesso a serviços particulares e a VPC compartilhada.
• Network Connectivity Center: um framework de orquestração que simplifica a conectividade de rede entre recursos spoke conectados a um recurso de gerenciamento central chamado hub.
• Cloud Interconnect: um serviço que estende sua rede externa para a rede do Google por meio de uma conexão de alta disponibilidade e baixa latência.
• Cloud VPN: um serviço que estende com segurança sua rede de peering para a rede do Google por um túnel de VPN IPsec.
• Cloud Router: uma oferta distribuída e totalmente gerenciada que oferece recursos de resposta a incidentes e alto-falante do Border Gateway Protocol (BGP). O Cloud Router funciona com o Cloud Interconnect, o Cloud VPN e os roteadores para criar rotas dinâmicas em redes VPC com base em rotas recebidas pelo BGP e aprendidas de forma personalizada.
• Firewall do Cloud de última geração: um serviço de firewall totalmente distribuído com recursos avançados de proteção, microssegmentação e gerenciamento simplificado para ajudar a proteger suas cargas de trabalho do Google Cloud contra ataques internos e externos.

Considerações sobre o design

Nesta seção, descrevemos fatores de design, práticas recomendadas e recomendações de design que você precisa considerar ao usar essa arquitetura de referência para desenvolver uma topologia que atenda aos seus requisitos específicos de segurança, confiabilidade e desempenho.

Segurança e compliance

A lista a seguir descreve as considerações de segurança e compliance para esta arquitetura de referência:

• Por motivos de compliance, talvez você queira implantar cargas de trabalho em uma única região. Se você quiser manter todo o tráfego em uma única região, use uma topologia de 99,9%.
• Use o Cloud Next Generation Firewall (Cloud NGFW) para proteger o tráfego que entra e sai das redes VPC de acesso a serviços e de carga de trabalho. Para inspecionar o tráfego que passa entre redes híbridas pela rede de trânsito ou entre redes externas e serviços gerenciados do Google, use firewalls externos ou NVAs.
• Se você precisar de inspeção de tráfego L7, ative o serviço de detecção e prevenção de intrusões (opcionalmente com suporte à inspeção de TLS) para bloquear atividades maliciosas e proteger suas cargas de trabalho contra ameaças, com suporte a vulnerabilidade, anti-spyware e antivírus. O serviço cria endpoints de firewall zonais gerenciados pelo Google que usam a tecnologia de interceptação de pacotes para inspecionar de maneira transparente as cargas de trabalho sem exigir uma nova arquitetura de rotas. O Cloud Next Generation Firewall Enterprise gera custos de endpoint de firewall zonal e de processamento de dados.
• Se você quiser permitir ou bloquear o tráfego com base nos dados do Google Threat Intelligence, use esse serviço. Você vai receber cobranças de processamento de dados padrão do Cloud Next Generation Firewall.
• Ative a geração de registros de regras de firewall e use o Firewall Insights para auditar, verificar o efeito, entender e otimizar suas regras de firewall. A geração de registros de regras de firewall pode gerar custos, portanto, use-a de maneira seletiva.
• Ative os Testes de conectividade para garantir que o tráfego esteja funcionando como esperado.
• Ative a geração de registros e o monitoramento conforme apropriado para seu tráfego e necessidades de compliance. Para gerar insights sobre seus padrões de tráfego, use os registros de fluxo de VPC com o Flow Analyzer.
• Use o Cloud IDS ou o serviço de prevenção contra intrusões do Cloud NGFW Enterprise no modo de alerta para coletar mais insights sobre seu tráfego.

Confiabilidade

A lista a seguir descreve as considerações de confiabilidade para esta arquitetura de referência:

• Para ter 99,99% de disponibilidade do Cloud Interconnect, é necessário conectar-se a duas Google Cloud regiões diferentes de áreas metropolitanas diferentes em duas zonas distintas.
• Para melhorar a confiabilidade e minimizar a exposição a falhas regionais, distribua cargas de trabalho e outros recursos da nuvem em várias regiões.
• Para lidar com o tráfego esperado, crie um número suficiente de túneis de VPN. Os túneis VPN individuais têm limites de largura de banda.

Otimização de desempenho

A lista a seguir descreve as considerações de desempenho para esta arquitetura de referência:

• É possível melhorar o desempenho da rede aumentando a unidade máxima de transmissão (MTU) das redes e conexões. Para mais informações, consulte Unidade de transmissão máxima.
• A comunicação entre a VPC de trânsito e os recursos de carga de trabalho é feita por uma conexão do Network Connectivity Center. Essa conexão oferece uma taxa de transferência de linha completa para todas as VMs na rede sem custo adicional. Você tem várias opções para conectar sua rede externa à rede de trânsito. Para mais informações sobre como equilibrar considerações de custo e desempenho, consulte Como escolher um produto de conectividade de rede.

Implantação

Nesta seção, discutimos como implantar a conectividade entre VPCs da rede entre nuvens usando a arquitetura do Network Connectivity Center descrita neste documento.

A arquitetura neste documento cria três tipos de conexões com uma VPC de trânsito central, além de uma conexão entre redes VPC de carga de trabalho e redes VPC de carga de trabalho. Depois que o Network Connectivity Center estiver totalmente configurado, ele vai estabelecer comunicação entre todas as redes.

Essa implantação pressupõe que você está criando conexões entre as redes externas e de trânsito em duas regiões, embora as sub-redes de carga de trabalho possam estar em outras regiões. Se as cargas de trabalho forem colocadas em apenas uma região, as sub-redes precisarão ser criadas somente nessa região.

Para implantar essa arquitetura de referência, conclua as seguintes tarefas:

1. Criar segmentação de rede com o Network Connectivity Center
2. Identificar regiões para colocar conectividade e cargas de trabalho
3. Crie suas redes e sub-redes VPC
4. Crie conexões entre redes externas e sua rede VPC de trânsito
5. Criar conexões entre a rede VPC de trânsito e as redes VPC de acesso a serviços
6. Estabeleça a conectividade entre a rede VPC de trânsito e as redes VPC de carga de trabalho
7. Configurar políticas do Cloud NGFW
8. Testar a conectividade com cargas de trabalho

Criar segmentação de rede com o Network Connectivity Center

Antes de criar um hub do Network Connectivity Center pela primeira vez, decida se você quer usar uma topologia de malha completa ou em estrela. A decisão de usar uma malha completa de VPCs interconectadas ou uma topologia em estrela de VPCs é irreversível. Use as seguintes diretrizes gerais para tomar essa decisão irreversível:

• Se a arquitetura de negócios da sua organização permitir o tráfego entre qualquer uma das suas redes VPC, use a malha do Network Connectivity Center.
• Se o fluxo de tráfego entre determinados spokes VPC diferentes não for permitido, mas esses spokes VPC puderem se conectar a um grupo principal de spokes VPC, use uma topologia em estrela do Network Connectivity Center.

Identificar regiões para colocar conectividade e cargas de trabalho

Em geral, é recomendável colocar a conectividade e as cargas de trabalho Google Cloud perto das redes locais ou de outros clientes de nuvem. Para mais informações sobre como colocar cargas de trabalho, consulte Google Cloud Seletor de região e Práticas recomendadas para a seleção de regiões do Compute Engine.

Criar redes e sub-redes VPC

Para criar redes e sub-redes VPC, conclua as seguintes tarefas:

1. Crie ou identifique os projetos em que você vai criar as redes VPC. Para orientações, consulte Segmentação de rede e estrutura do projeto. Se você pretende usar redes de VPC compartilhada, provisione seus projetos como projetos host da VPC compartilhada.

2. Planeje as alocações de endereços IP para suas redes. É possível pré-alocar e reservar seus intervalos criando intervalos internos. Isso facilita a configuração e as operações posteriores.

3. Crie uma VPC de rede de trânsito com o roteamento global ativado.

4. Crie redes VPC de acesso a serviços. Se você planeja ter cargas de trabalho em várias regiões, ative o roteamento global.

5. Crie redes VPC de carga de trabalho. Se você tiver cargas de trabalho em várias regiões, ative o roteamento global.

Criar conexões entre redes externas e sua rede VPC de trânsito

Esta seção pressupõe conectividade em duas regiões e que os locais externos estão conectados e podem fazer failover entre si. Ele também pressupõe que há uma preferência para que clientes em um local externo alcancem serviços na região em que o local externo existe.

1. Configure a conectividade entre redes externas e sua rede de trânsito. Para entender como pensar sobre isso, consulte Conectividade externa e híbrida. Para orientações sobre como escolher um produto de conectividade, consulte Como escolher um produto de conectividade de rede.

2. Configure o BGP em cada região conectada da seguinte maneira:

   • Configure o roteador no local externo especificado da seguinte maneira:
     • Anuncie todas as sub-redes desse local externo usando o mesmo MED do BGP nas duas interfaces, como 100. Se as duas interfaces anunciarem o mesmo MED, o Google Cloud poderá usar o ECMP para balancear a carga do tráfego nas duas conexões.
     • Anuncie todas as sub-redes do outro local externo usando um MED de prioridade menor do que o da primeira região, como 200. Anuncie o mesmo MED nas duas interfaces.
   • Configure o Cloud Router voltado para o exterior na VPC de trânsito da região conectada da seguinte maneira:
     • Configure o Cloud Router com um ASN particular.
     • Use divulgações de rota personalizada para anunciar todos os intervalos de sub-rede de todas as regiões nas duas interfaces do Cloud Router voltadas para o exterior. Agregue-os, se possível. Use o mesmo MED nas duas interfaces, como 100.

3. Trabalhe com o hub e os spokes híbridos do Network Connectivity Center usando os parâmetros padrão.

   • Crie um hub do Network Connectivity Center. Se a organização permitir o tráfego entre todas as redes VPC, use a configuração de malha completa padrão.
   • Se você estiver usando a Interconexão por parceiro, a Interconexão dedicada, a VPN de alta disponibilidade ou um dispositivo de roteador para acessar prefixos locais, configure esses componentes como spokes híbridos diferentes do Network Connectivity Center.
     • Para anunciar as sub-redes da tabela de rotas do hub do Network Connectivity Center aos vizinhos BGP remotos, defina um filtro para incluir todos os intervalos de endereços IPv4.
     • Se a conectividade híbrida terminar em um Cloud Router em uma região que oferece suporte à transferência de dados, configure o spoke híbrido com a transferência de dados site a site ativada. Isso permite a transferência de dados site a site que usa a rede backbone do Google.

Crie conexões entre a rede VPC de trânsito e as redes VPC de acesso a serviços

Para fornecer roteamento transitivo entre redes externas e a VPC de acesso a serviços e entre VPCs de carga de trabalho e a VPC de acesso a serviços, a VPC de acesso a serviços usa a VPN de alta disponibilidade para conectividade.

1. Estime quanto tráfego precisa viajar entre as VPCs de trânsito e de acesso a serviços em cada região. Ajuste o número esperado de túneis de acordo com isso.

2. Configure a VPN de alta disponibilidade entre a rede VPC de trânsito e a rede VPC de acesso a serviços na região A usando as instruções em Criar gateways de VPN de alta disponibilidade para conectar redes VPC. Crie um Cloud Router de VPN de alta disponibilidade dedicado na rede VPC de trânsito. Deixe o roteador voltado para a rede externa para conexões de rede externa.

   • Configuração do Cloud Router da VPC de trânsito:
     • Para anunciar sub-redes VPC de rede externa e de carga de trabalho à VPC de acesso a serviços, use divulgações de rota personalizadas no Cloud Router na VPC de trânsito.
   • Configuração do Cloud Router da VPC de acesso a serviços:
     • Para anunciar sub-redes da rede VPC de acesso a serviços para a VPC de trânsito, use anúncios de rota personalizados no Cloud Router da rede VPC de acesso a serviços.
     • Se você usar o acesso a serviços particulares para conectar uma rede VPC de serviços gerenciados à VPC de acesso a serviços, use rotas personalizadas para anunciar essas sub-redes também.
   • No lado da VPC de trânsito do túnel de VPN de alta disponibilidade, configure o par de túneis como um spoke híbrido do Network Connectivity Center:
     • Para oferecer suporte à transferência de dados entre regiões, configure o spoke híbrido com a transferência de dados site a site ativada.
     • Para anunciar as sub-redes da tabela de rotas do hub do Network Connectivity Center para vizinhos BGP remotos, defina um filtro para incluir todos os intervalos de endereços IPv4. Essa ação anuncia todas as rotas de sub-rede IPv4 ao vizinho.
       • Para instalar rotas dinâmicas quando a capacidade do roteador externo é limitada, configure o Cloud Router para anunciar uma rota de resumo com uma divulgação de rota personalizada. Use essa abordagem em vez de anunciar a tabela de rotas completa do hub do Network Connectivity Center.

3. Se você conectar uma VPC de serviços gerenciados à VPC de acesso a serviços usando o acesso a serviços particulares depois que a conexão de peering de rede VPC for estabelecida, também será necessário atualizar o lado da VPC de acesso a serviços da conexão de peering de rede VPC para exportar rotas personalizadas.

Estabelecer conectividade entre a rede VPC de trânsito e as redes VPC de carga de trabalho

Para estabelecer conectividade entre VPCs em grande escala, use o Network Connectivity Center com spokes de VPC. O Network Connectivity Center é compatível com dois tipos diferentes de modelos de plano de dados: o modelo de plano de dados de malha completa ou o modelo de plano de dados de topologia em estrela.

• Se todas as suas redes puderem se comunicar entre si, estabeleça a conectividade de malha completa.
• Se a arquitetura de negócios exigir uma topologia ponto a multiponto, estabeleça a conectividade de topologia em estrela.

Estabelecer conectividade de malha completa

Os spokes VPC do Network Connectivity Center incluem as VPCs de trânsito, as VPCs de consumidor do Private Service Connect e todas as VPCs de carga de trabalho.

• Embora o Network Connectivity Center crie uma rede totalmente interconectada de spokes VPC, os operadores de rede precisam permitir fluxos de tráfego entre as redes de origem e destino usando regras ou políticas de firewall.
• Configure todas as VPCs de carga de trabalho, trânsito e consumidor do Private Service Connect como spokes de VPC do Network Connectivity Center. Não pode haver sobreposições de sub-rede entre os spokes VPC.
  • Ao configurar o spoke VPC, anuncie intervalos de sub-redes de endereços IP não sobrepostos para a tabela de rotas do hub do Network Connectivity Center:
    • Incluir intervalos de sub-rede de exportação.
    • Excluir intervalos de sub-rede de exportação.
• Se os spokes da VPC estiverem em projetos diferentes e forem gerenciados por administradores que não sejam os do hub do Network Connectivity Center, os administradores de spoke da VPC precisarão iniciar uma solicitação para participar do hub do Network Connectivity Center nos outros projetos.
  • Use as permissões do Identity and Access Management (IAM) no projeto do hub do Network Connectivity Center para conceder o papel roles/networkconnectivity.groupUser a esse usuário.
• Para permitir que as conexões de serviço particulares sejam acessadas de modo transitivo e global por outros spokes do Network Connectivity Center, ative a propagação das conexões do Private Service Connect no hub do Network Connectivity Center.

Se a comunicação inter-VPC de malha completa entre as VPCs de carga de trabalho não for permitida, considere usar uma topologia em estrela do Network Connectivity Center.

Estabelecer conectividade de topologia em estrela

Arquiteturas de negócios centralizadas que exigem uma topologia ponto a multiponto podem usar uma topologia em estrela do Network Connectivity Center.

Para usar uma topologia em estrela do Network Connectivity Center, conclua as seguintes tarefas:

1. No Network Connectivity Center, crie um hub e especifique uma topologia em estrela.
2. Para permitir que as conexões de serviço particulares sejam acessíveis de forma transitiva e global por outros spokes do Network Connectivity Center, ative a propagação das conexões do Private Service Connect no hub do Network Connectivity Center.
3. Ao configurar o hub do Network Connectivity Center para uma topologia em estrela, é possível agrupar as VPCs em um de dois grupos predeterminados: grupos de centro ou de borda.

4. Para agrupar as VPCs no grupo central, configure a VPC de trânsito e as VPCs consumidoras do Private Service Connect como um spoke de VPC do Network Connectivity Center como parte do grupo central.

   O Network Connectivity Center cria uma rede totalmente interconectada entre os spokes VPC que são colocados no grupo central.

5. Para agrupar as VPCs de carga de trabalho no grupo de borda, configure cada uma dessas redes como spokes VPC do Network Connectivity Center dentro desse grupo.

   O Network Connectivity Center cria um caminho de dados ponto a ponto de cada spoke VPC do Network Connectivity Center para todas as VPCs no grupo central.

Configurar políticas do Cloud NGFW

Além das orientações em Segurança e compliance, considere as Práticas recomendadas para regras de firewall.

Outras considerações:

• Recomendamos que você use políticas de firewall de rede em vez de regras de firewall da VPC se as cargas de trabalho forem executadas em VMs do Compute Engine. As políticas de firewall de rede têm benefícios como segurança granular e controle de acesso usando tags, gerenciamento simplificado de regras, facilidade de operações, conjunto de recursos mais completo e residência de dados flexível. Se você já tiver regras de firewall da VPC, use a ferramenta de migração de regras de firewall da VPC para ajudar na migração para uma política de firewall de rede global.
• O Google Kubernetes Engine cria e gerencia automaticamente algumas regras de firewall da VPC para permitir o tráfego essencial. Por isso, recomendamos que você não modifique nem exclua essas regras. No entanto, as políticas de firewall de rede ainda podem ser usadas com regras de firewall da VPC e, opcionalmente, mudar a ordem de aplicação da política.
• Recomendamos que você use tags em vez de tags de rede com regras de firewall devido aos controles do IAM, à escalonabilidade aprimorada e ao suporte para políticas de firewall de rede. No entanto, as tags não são compatíveis com políticas hierárquicas de firewall ou com redes com peering do Network Connectivity Center. Portanto, nesses casos, é necessário criar regras com base em intervalos CIDR.

1. Se você quiser ativar a inspeção da camada 7 no Cloud NGFW, configure o serviço de prevenção de invasões, incluindo perfis de segurança, endpoint de firewall e associação de VPC.
2. Crie uma política de firewall de rede global e as regras de firewall necessárias. Considere as regras implícitas para permitir o tráfego de saída e negar o tráfego de entrada presentes em todas as rede VPC.
3. Associe a política às redes VPC.
4. Se você já usa regras de firewall da VPC nas suas redes, mude a ordem de avaliação da política e da regra para que as novas regras sejam avaliadas antes das regras de firewall da VPC.
5. Opcionalmente, ative o registro de regras de firewall.

Testar a conectividade com cargas de trabalho

Se você tiver cargas de trabalho já implantadas nas suas redes VPC, teste o acesso a elas agora. Se você conectou as redes antes de implantar cargas de trabalho, faça isso agora e teste.

A seguir

• Saiba mais sobre os produtos do Google Cloud usados neste guia de design:
  • Redes VPC
  • Network Connectivity Center
  • Cloud Interconnect
  • VPN de alta disponibilidade
• Para mais arquiteturas de referência, diagramas e práticas recomendadas, confira a Central de arquitetura do Cloud.

Colaboradores

Autores:

• Eric Yu | Engenheiro de clientes especialista em rede
• Deepak Michael | Engenheiro de clientes especialista em rede
• Victor Moreno | Gerente de produtos, Cloud Networking
• Osvaldo Costa | Engenheiro de clientes especialista em rede

Outros colaboradores:

• Mark Schlagenhauf | Redator técnico, Rede
• Ammett Williams | Engenheiro de relações com desenvolvedores
• Ghaleb Al-habian | Especialista em rede
• Tony Sarathchandra | Gerente de produtos sênior