Neste documento, apresentamos uma arquitetura de referência que pode ser usada para implantar uma topologia de rede entre VPCs de rede entre nuvens em Google Cloud. Esse design de rede permite a implantação de serviços de software em Google Cloud e em redes externas, como data centers locais ou outros provedores de serviços em nuvem (CSPs, na sigla em inglês).
O público-alvo deste documento inclui administradores de rede, arquitetos de nuvem e arquitetos corporativos que vão criar a conectividade de rede. Ele também inclui arquitetos de nuvem que planejam como as cargas de trabalho são implantadas. O documento pressupõe uma compreensão básica de roteamento e conectividade com a Internet.
Esse design oferece suporte a várias conexões externas, várias redes de nuvem privada virtual (VPC) com acesso a serviços que contêm serviços e pontos de acesso de serviço e várias redes VPC de carga de trabalho.
Neste documento, o termo pontos de acesso a serviços se refere a pontos de acesso a serviços disponibilizados usando Google Cloud o Acesso a serviços particulares e o Private Service Connect. O Network Connectivity Center é um modelo de plano de controle hub e spoke para o gerenciamento de conectividade de rede no Google Cloud. O recurso de hub fornece gerenciamento centralizado de conectividade para spokes de VPC do Network Connectivity Center.
O hub do Network Connectivity Center é um plano de controle global que aprende e distribui rotas entre os vários tipos de spoke conectados a ele. Os spokes de VPC normalmente injetam rotas de sub-rede na tabela de rotas do hub centralizado. Os spokes híbridos costumam injetar rotas dinâmicas na tabela de rotas de hub centralizada. Usando as informações do plano de controle do hub do Network Connectivity Center, Google Cloud estabelece automaticamente a conectividade do plano de dados entre os spokes do Network Connectivity Center.
O Network Connectivity Center é a abordagem recomendada para interconectar VPCs e ter um crescimento escalonável em Google Cloud. Se você precisa inserir dispositivos virtuais de rede (NVAs, na sigla em inglês) no caminho de tráfego, use a funcionalidade do dispositivo roteador para rotas dinâmicas ou use rotas estáticas ou baseadas em políticas com o peering de rede VPC para interconectar as VPCs. Para mais informações, consulte Conectividade entre redes VPC entre nuvens com peering de rede VPC.
Arquitetura
O diagrama a seguir mostra uma visão de alto nível da arquitetura das redes e os diferentes fluxos de pacotes que essa arquitetura suporta.
A arquitetura contém os seguintes elementos de alto nível:
| Componente | Finalidade | Interações |
|---|---|---|
| Redes externas (no local ou outra rede CSP) | Hospeda os clientes de cargas de trabalho executadas nas VPCs de carga de trabalho e de acesso a serviços. As redes externas também podem hospedar serviços. | Troca dados com as redes VPC de Google Cloud
pela rede de trânsito. Conecta-se à rede de trânsito
usando o Cloud Interconnect ou VPN de Encerra uma extremidade dos seguintes fluxos:
|
| Rede VPC de trânsito (também conhecida como rede VPC de roteamento no Network Connectivity Center) | Atua como um hub para a rede externa, a rede VPC de acesso a serviços e as redes VPC de carga de trabalho. | Conecta a rede externa, a rede VPC de acesso a serviços, a rede do consumidor do Private Service Connect e as redes VPC de carga de trabalho por meio de uma combinação de Cloud Interconnect, VPN de alta disponibilidade e Network Connectivity Center. |
| Rede VPC de acesso a serviços | Dá acesso a serviços necessários para as cargas de trabalho em execução nas redes VPC de carga de trabalho ou nas redes externas. Também fornece pontos de acesso a serviços gerenciados hospedados em outras redes. | Troca dados com as redes externas, de carga de trabalho e
do consumidor do Private Service Connect pela
rede de trânsito. Conecta-se à VPC de trânsito
usando VPN de alta disponibilidade. O roteamento transitivo fornecido pela VPN de alta disponibilidade permite que o tráfego externo alcance as VPCs de serviços gerenciados por meio da rede VPC de acesso a serviços. Encerra uma extremidade dos seguintes fluxos:
|
| Rede VPC de serviços gerenciados | Hospeda serviços gerenciados necessários para clientes em outras redes. | Troca de dados com redes externas, de acesso a serviços,
de consumidor do Private Service Connect e de
carga de trabalho. Conecta-se à rede VPC de acesso a serviços
usando o acesso a serviços particulares, que
usa peering de rede VPC. A VPC de serviços gerenciados também pode se conectar à VPC do consumidor do Private Service Connect usando o Private Service Connect ou o acesso a serviços particulares. Encerra uma extremidade dos fluxos de todas as outras redes. |
| VPC do consumidor do Private Service Connect | Hospeda endpoints do Private Service Connect acessíveis de outras redes. Ela também pode ser uma VPC de carga de trabalho. | Troca dados com as redes VPC externas e de acesso a serviços pela rede VPC de trânsito. Conecta-se à rede de trânsito e a outras redes VPC de carga de trabalho usando spokes de VPC do Network Connectivity Center. |
| Redes VPC de carga de trabalho | Hospeda cargas de trabalho necessárias para clientes em outras redes. Essa arquitetura permite várias redes VPC de carga de trabalho. | Troca dados com as redes VPC externas e
de acesso a serviços pela rede VPC de
trânsito. Conecta-se à rede de trânsito, redes de consumo do Private Service Connect e outras redes VPC de carga de trabalho usando spokes de VPC do Network Connectivity Center. Encerra uma extremidade dos seguintes fluxos:
|
| Network Connectivity Center | O hub do Network Connectivity Center incorpora um banco de dados de roteamento global que serve como um plano de controle de rede para as sub-redes VPC e as rotas de conexão híbridas em qualquer Google Cloud região. | Interconecta várias redes VPC e híbridas em uma topologia do tipo qualquer a qualquer ao criar um caminho de dados que usa a tabela de roteamento do plano de controle. |
O diagrama a seguir mostra uma visão detalhada da arquitetura que destaca as quatro conexões entre os componentes:
Descrições de conexões
Esta seção descreve as quatro conexões mostradas no diagrama anterior. Na documentação do Network Connectivity Center, a rede VPC de trânsito se refere à VPC de roteamento. Embora essas redes tenham nomes diferentes, elas servem à mesma finalidade.
Conexão 1: entre as redes externas e as redes VPC de trânsito
Essa conexão entre as redes externas e as redes VPC de trânsito ocorre por meio do Cloud Interconnect ou de VPN de alta disponibilidade. As rotas são trocadas usando o BGP entre os Cloud Routers na rede VPC de trânsito e entre os roteadores externos na rede externa.
- Os roteadores nas redes externas anunciam as rotas das sub-redes externas para os Cloud Routers VPC de trânsito. Em geral, os roteadores externos de um determinado local anunciam rotas do mesmo local externo como mais preferenciais do que as rotas para outros locais externos. A preferência das rotas pode ser expressa usando métricas e atributos do BGP.
- Os Cloud Routers na rede VPC de trânsito anunciam rotas para prefixos nas VPCs do Google Cloud para as redes externas. Essas rotas precisam ser anunciadas usando anúncios de rotas personalizadas do Cloud Router.
- O Network Connectivity Center permite transferir dados entre diferentes redes locais usando a rede de backbone do Google. Ao configurar os anexos da VLAN de interconexão como spokes híbridos do Network Connectivity Center, é necessário ativar a transferência de dados site a site.
- Os anexos da VLAN do Cloud Interconnect que vêm dos mesmos prefixos de rede externa são configurados como um único spoke do Network Connectivity Center.
Conexão 2: entre redes VPC de trânsito e redes VPC de acesso a serviços
Essa conexão entre redes VPC de trânsito e redes VPC de acesso a serviços acontece por VPN de alta disponibilidade, com túneis separados para cada região. As rotas são trocadas usando o BGP entre os Cloud Routers regionais nas redes VPC de trânsito e nas redes VPC de acesso a serviços.
- VPN de alta disponibilidade da VPC de transporte público Os Cloud Routers anunciam rotas para prefixos de rede externa, VPCs de carga de trabalho e outras VPCs de acesso a serviços para o Cloud Router VPC de acesso a serviços. Essas rotas precisam ser anunciadas usando anúncios de rotas personalizadas do Cloud Router.
- A VPC de acesso a serviços anuncia as sub-redes e as sub-redes de qualquer rede VPC de serviços gerenciados anexada à rede VPC de trânsito. As rotas da VPC de serviços gerenciados e as rotas de sub-rede da VPC de acesso a serviços precisam ser anunciadas usando os anúncios de rotas personalizadas do Cloud Router.
Conexão 3: entre a rede VPC de trânsito, as redes VPC de carga de trabalho e as redes VPC de acesso a serviços do Private Service Connect
A conexão entre a rede VPC de trânsito, as redes VPC de carga de trabalho e as redes VPC de consumidor do Private Service Connect ocorre quando as sub-redes e as rotas de prefixo são trocadas usando o Network Connectivity Center. Essa conexão permite a comunicação entre as redes VPC de carga de trabalho, as redes VPC de acesso a serviços conectadas como spokes de VPC do Network Connectivity Center e outras redes conectadas como spokes híbridos do Network Connectivity Center. Essas outras redes incluem as redes externas e as redes VPC de acesso a serviços que usam a conexão 1 e a conexão 2, respectivamente.
- Os anexos do Cloud Interconnect ou de VPN de alta disponibilidade na rede VPC de trânsito usam o Network Connectivity Center para exportar rotas dinâmicas para as redes VPC de carga de trabalho.
- Quando você configura a rede VPC de carga de trabalho como um spoke do hub do Network Connectivity Center, a rede VPC de carga de trabalho exporta automaticamente as sub-redes para a rede VPC de trânsito. Outra opção é configurar a rede VPC de trânsito como um spoke VPC. Nenhuma rota estática é exportada da rede VPC de carga de trabalho para a rede VPC de trânsito. Nenhuma rota estática é exportada da rede VPC de trânsito para a rede VPC da carga de trabalho.
Conexão 4: VPC de consumidor do Private Service Connect com propagação do Network Connectivity Center
- Os endpoints do Private Service Connect são organizados em uma VPC comum que permite aos consumidores acessar serviços gerenciados próprios e de terceiros.
- A rede VPC do consumidor do Private Service Connect está configurada como um spoke VPC do Network Connectivity Center. Esse spoke permite a propagação do Private Service Connect no hub do Network Connectivity Center. A propagação do Private Service Connect anuncia o prefixo do host do endpoint do Private Service Connect como uma rota para a tabela de roteamento de hub do Network Connectivity Center.
- As redes VPC de consumidor com acesso a serviços do Private Service Connect se conectam a redes VPC de carga de trabalho e a redes VPC de trânsito. Essas conexões permitem a conectividade transitiva com os endpoints do Private Service Connect. O hub do Network Connectivity Center precisa ter a propagação de conexão do Private Service Connect ativada.
- O Network Connectivity Center cria automaticamente um caminho de dados de todos os spokes até o endpoint do Private Service Connect.
Fluxos de tráfego
O diagrama a seguir mostra os fluxos que são ativados por esta arquitetura de referência.
A tabela a seguir descreve os fluxos no diagrama:
| Origem | Destino | Descrição |
|---|---|---|
| Rede externa | Rede VPC de acesso a serviços |
|
| Rede VPC de acesso a serviços | Rede externa |
|
| Rede externa | Rede VPC de carga de trabalho ou rede VPC de consumidor do Private Service Connect |
|
| Rede VPC de carga de trabalho ou rede VPC de consumidor do Private Service Connect | Rede externa |
|
| Rede VPC da carga de trabalho | Rede VPC de acesso a serviços |
|
| Rede VPC de acesso a serviços | Rede VPC da carga de trabalho |
|
| Rede VPC da carga de trabalho | Rede VPC da carga de trabalho | O tráfego que sai de uma VPC de carga de trabalho segue a rota mais específica para a outra VPC de carga de trabalho pelo Network Connectivity Center. O tráfego de retorno inverte esse caminho. |
Produtos usados
- Nuvem privada virtual (VPC): um sistema virtual que oferece funcionalidade de rede global e escalonável para suas cargas de trabalho Google Cloud . A VPC inclui peering de rede VPC, Private Service Connect, acesso a serviços particulares e VPC compartilhada.
- Network Connectivity Center: um framework de orquestração que simplifica a conectividade de rede entre recursos de spoke conectados a um recurso de gerenciamento central chamado hub.
- Cloud Interconnect: um serviço que estende sua rede externa para a rede do Google por meio de uma conexão de alta disponibilidade e baixa latência.
- Cloud VPN: um serviço que estende com segurança sua rede de peering para a rede do Google por um túnel VPN IPsec.
- Cloud Router: uma oferta distribuída e totalmente gerenciada que fornece recursos de alto-falante e resposta do protocolo de gateway de borda (BGP, na sigla em inglês). O Cloud Router trabalha com dispositivos Cloud Interconnect, Cloud VPN e Router para criar rotas dinâmicas em redes VPC com base em rotas aprendidas personalizadas e recebidas por BGP.
- Cloud Next Generation Firewall: um serviço de firewall totalmente distribuído com recursos avançados de proteção, microssegmentação e gerenciamento simplificado para ajudar a proteger suas Google Cloud cargas de trabalho contra ataques internos e externos.
Considerações sobre o design
Nesta seção, descrevemos fatores de design, práticas recomendadas e sugestões de design que você precisa considerar ao usar essa arquitetura de referência para desenvolver uma topologia que atenda aos requisitos específicos de segurança, confiabilidade e desempenho.
Segurança e compliance
A lista a seguir descreve as considerações de segurança e conformidade para esta arquitetura de referência:
- Por motivos de conformidade, é possível implantar cargas de trabalho apenas em uma região única. Caso queira manter todo o tráfego em uma única região, use uma topologia de 99,9%.
- Usar o Cloud Next Generation Firewall (Cloud NGFW) para proteger o tráfego que entra e sai das redes VPC de acesso a serviços e carga de trabalho. Para inspecionar o tráfego que passa entre redes híbridas pela rede de trânsito ou entre redes externas e serviços gerenciados do Google, você precisa usar firewalls externos ou firewalls NVA.
- Se você precisar da inspeção de tráfego L7, ative o serviço de detecção e prevenção de intrusões (opcionalmente com suporte à inspeção TLS) para bloquear atividades maliciosas e proteger suas cargas de trabalho contra ameaças, oferecendo suporte a vulnerabilidade, antispyware e antivírus. Esse serviço cria endpoints de firewall zonais gerenciados pelo Google que usam a tecnologia de interceptação de pacotes para inspecionar as cargas de trabalho de maneira transparente, sem exigir qualquer rearquitetura de rotas. O Cloud Next Generation Firewall Enterprise incorre em cobranças de processamento de dados e endpoint de firewall zonal.
- Use o Google Threat Intelligence para permitir ou bloquear tráfego com base nos dados do Google Threat Intelligence. Você receberá cobranças de processamento de dados padrão do Firewall de última geração do Cloud.
- Ative a geração de registros de regras de firewall e use o Firewall Insights para auditar, verificar o efeito, entender e otimizar suas regras de firewall. A geração de registros de regras de firewall pode gerar custos, portanto, convém usá-la de maneira seletiva.
- Ative os Testes de conectividade para garantir que o tráfego esteja se comportando conforme o esperado.
- Ative a geração de registros e o monitoramento conforme apropriado para suas necessidades de tráfego e conformidade. Para ter insights sobre seus padrões de tráfego, use os registros de fluxo de VPC com o Flow Analyzer.
- Use o Cloud IDS ou o serviço de prevenção de intrusões do Cloud NGFW Enterprise no modo de alerta para coletar mais insights sobre o tráfego.
Confiabilidade
A lista a seguir descreve as considerações de confiabilidade para essa arquitetura de referência:
- Para ter 99,99% de disponibilidade do Cloud Interconnect, você precisa se conectar em duas regiões Google Cloud diferentes de diferentes áreas metropolitanas em duas zonas distintas.
- Para melhorar a confiabilidade e minimizar a exposição a falhas regionais, é possível distribuir cargas de trabalho e outros recursos de nuvem entre regiões.
- Para processar o tráfego esperado, crie um número suficiente de túneis VPN. Túneis VPN individuais têm limites de largura de banda.
Otimização de desempenho
A lista a seguir descreve as considerações de desempenho para essa arquitetura de referência:
- É possível melhorar o desempenho da rede aumentando a unidade máxima de transmissão (MTU, na sigla em inglês) das suas redes e conexões. Para mais informações, consulte Unidade máxima de transmissão.
- A comunicação entre a VPC de trânsito e os recursos de carga de trabalho é feita por uma conexão do Essa conexão oferece uma capacidade de taxa de linha completa para todas as VMs na rede sem custo adicional. Há várias opções para conectar a rede externa à rede de trânsito. Para mais informações sobre como equilibrar custos e desempenho, consulte Como escolher um produto de conectividade de rede.
Implantação
Nesta seção, discutimos como implantar a conectividade entre VPCs e de rede entre nuvens usando a arquitetura do Network Connectivity Center descrita neste documento.
A arquitetura neste documento cria três tipos de conexões com uma VPC de trânsito central, além de uma conexão entre redes VPC de carga de trabalho e redes VPC de carga de trabalho. Depois que o Network Connectivity Center está totalmente configurado, ele estabelece a comunicação entre todas as redes.
Essa implantação pressupõe que você esteja criando conexões entre as redes externa e de trânsito em duas regiões, embora as sub-redes de carga de trabalho possam estar em outras regiões. Se as cargas de trabalho forem colocadas em apenas uma região, as sub-redes precisarão ser criadas somente nessa região.
Para implantar essa arquitetura de referência, conclua as tarefas a seguir:
- Criar segmentação de rede com o Network Connectivity Center
- Identificar regiões para colocar conectividade e cargas de trabalho
- Crie suas redes e sub-redes VPC
- Crie conexões entre redes externas e sua rede VPC de trânsito
- Crie conexões entre sua rede VPC de trânsito e redes VPC de acesso a serviços
- Estabelecer conectividade entre a rede VPC de trânsito e as redes VPC de carga de trabalho
- Configurar políticas de NGFW do Cloud
- Testar a conectividade com cargas de trabalho
Criar segmentação de rede com o Network Connectivity Center
Antes de criar um hub do Network Connectivity Center pela primeira vez, você precisa decidir se quer usar uma topologia de malha completa ou uma topologia em estrela. A decisão de se comprometer com uma malha completa de VPCs interconectadas ou uma topologia em estrela de VPCs é irreversível. Use as seguintes diretrizes gerais para tomar essa decisão irreversível:
- Se a arquitetura de negócios da sua organização permitir o tráfego entre qualquer uma das redes VPC, use a malha do Network Connectivity Center.
- Se os fluxos de tráfego entre determinados spokes de VPC diferentes não forem permitidos, mas eles puderem se conectar a um grupo principal de spokes de VPC, use uma topologia em estrela do Network Connectivity Center.
Identifique regiões para colocar conectividade e cargas de trabalho
Em geral, convém colocar conectividade e Google Cloud cargas de trabalho próximas às suas redes locais ou outros clientes da nuvem. Para mais informações sobre como posicionar cargas de trabalho, consulte Google Cloud Seletor de região e Práticas recomendadas para a seleção de regiões do Compute Engine.
Crie suas redes e sub-redes VPC
Para criar redes e sub-redes VPC, conclua as tarefas a seguir:
Crie ou identifique os projetos em que você criará suas redes VPC. Para orientações, consulte Segmentação da rede e estrutura do projeto. Se você pretende usar redes VPC compartilhadas, provisione seus projetos como projetos host da VPC compartilhada.
Planeje as alocações de endereços IP para suas redes. É possível pré-alocar e reservar seus intervalos criando intervalos internos. Isso torna as configurações e operações posteriores mais diretas.
Criar uma VPC de rede de trânsito com roteamento global ativado.
Criar redes VPC de acesso a serviços. Se você planeja ter cargas de trabalho em várias regiões, ative o roteamento global.
Criar redes VPC de carga de trabalho. Se você tiver cargas de trabalho em várias regiões, ative o roteamento global.
Criar conexões entre redes externas e sua rede VPC de trânsito
Nesta seção, consideramos a conectividade em duas regiões e pressupõe que os locais externos estejam conectados e possam fazer failover entre si. Ele também pressupõe que há uma preferência por clientes em um local externo para acessar serviços na região onde esse local externo existe.
- Configure a conectividade entre redes externas e sua rede de trânsito. Para entender como pensar sobre isso, consulte Conectividade externa e híbrida. Para orientações sobre como escolher um produto de conectividade, consulte Como escolher um produto de conectividade de rede.
Configure o BGP em cada região conectada da seguinte maneira:
- Configure o roteador no local externo informado da seguinte maneira:
- Anuncie todas as sub-redes desse local externo usando o mesmo BGP MED em ambas as interfaces, como 100. Se as duas interfaces anunciarem o mesmo MED, o Google Cloud poderá usar o ECMP para balancear a carga do tráfego nas duas conexões.
- Anuncie todas as sub-redes do outro local externo usando um MED de prioridade mais baixa que o da primeira região, como 200. Anunciar o mesmo MED nas duas interfaces.
- Configure o Cloud Router externo na
VPC de trânsito da região conectada da seguinte maneira:
- Defina o Cloud Router com um ASN privado.
- Use divulgações de rota personalizadas para anunciar todos os intervalos de sub-rede de todas as regiões nas duas interfaces externas do Cloud Router. Agregue-as, se possível. Use o mesmo MED nas duas interfaces, como 100.
- Configure o roteador no local externo informado da seguinte maneira:
Para trabalhar com o hub e os spokes híbridos do Network Connectivity Center, use os parâmetros padrão.
- Criar um hub do Network Connectivity Center. Se a organização permitir o tráfego entre todas as redes VPC, use a configuração padrão de malha completa.
- Se você estiver usando a Interconexão por parceiro,
a Interconexão dedicada, a HA-VPN ou um dispositivo roteador para
alcançar prefixos locais, configure esses componentes
como diferentes spokes híbridos do Network Connectivity Center.
- Para anunciar as sub-redes da tabela de rota do hub do Network Connectivity Center aos vizinhos remotos do BGP, defina um filtro para incluir todos os intervalos de endereços IPv4.
- Se a conectividade híbrida terminar em um Cloud Router em uma região compatível com a transferência de dados, configure o spoke híbrido com a transferência de dados site a site ativada. Isso dá suporte à transferência de dados site a site que usa a rede de backbone do Google.
Criar conexões entre sua rede VPC de trânsito e redes VPC de acesso a serviços
Para fornecer roteamento transitivo entre redes externas e a VPC de acesso a serviços e entre VPCs de carga de trabalho e a VPC de acesso a serviços, a VPC de acesso a serviços usa VPN de alta disponibilidade para conectividade.
- Estime quanto tráfego precisa passar entre as VPCs de trânsito e acesso a serviços em cada região. Dimensione o número esperado de túneis de acordo.
Configure a VPN de alta disponibilidade entre a rede VPC de trânsito e a rede VPC de acesso a serviços na região A usando as instruções em Criar gateways de VPN de alta disponibilidade para conectar redes VPC. Crie um Cloud Router de VPN de alta disponibilidade dedicado na rede VPC de trânsito. Deixe o roteador voltado para a rede externa para conexões de rede externas.
- Configuração do Cloud Router da VPC de transporte público:
- Para anunciar as sub-redes VPC de rede externa e carga de trabalho para a VPC de acesso a serviços, use divulgações de rota personalizadas no Cloud Router na VPC de trânsito.
- Configuração do Cloud Router da VPC de acesso a serviços:
- Para anunciar as sub-redes VPC de acesso a serviços para a VPC de trânsito, use divulgações de rota personalizadas no Cloud Router da rede VPC de acesso a serviços.
- Se você usar o acesso a serviços particulares para conectar uma rede VPC de serviços gerenciados a ela, use rotas personalizadas para anunciar essas sub-redes também.
- No lado da VPC de trânsito do
túnel de VPN de alta disponibilidade,
configure o par de túneis como um spoke híbrido do Network Connectivity Center:
- Para dar suporte à transferência de dados inter-regional, configure o spoke híbrido com a transferência de dados site a site ativada.
- Para anunciar as sub-redes da tabela de rota do hub do Network Connectivity Center
aos vizinhos remotos do BGP, defina um filtro para
incluir todos os intervalos de endereços IPv4. Essa ação anuncia todas as rotas
de sub-rede IPv4 para o vizinho.
- Para instalar rotas dinâmicas quando a capacidade for limitada no roteador externo, configure o Cloud Router para anunciar uma rota resumida com uma divulgação de rota personalizada. Use essa abordagem em vez de anunciar a tabela de rotas completa do hub do Network Connectivity Center.
- Configuração do Cloud Router da VPC de transporte público:
Se você conectar uma VPC de serviços gerenciados à VPC services-access usando o Private Service-access depois que a conexão do peering de rede VPC for estabelecida, também será necessário atualizar o lado da VPC de acesso a serviços da conexão do peering de rede VPC para exportar rotas personalizadas.
Estabelecer conectividade entre a rede VPC de trânsito e as redes VPC de carga de trabalho
Para estabelecer conectividade entre VPCs em escala, use o Network Connectivity Center com spokes de VPC. O Network Connectivity Center é compatível com dois tipos diferentes de modelos de plano de dados: o modelo de plano de dados de malha completa ou o modelo de plano de dados de topologia em estrela.
- Caso todas as suas redes tenham permissão para se intercomunicar, estabeleça a conectividade de malha completa.
- Se a arquitetura de negócios exigir uma topologia ponto a multiponto, estabeleça a conectividade da topologia em estrela.
Estabelecer conectividade de malha completa
Os spokes de VPC do Network Connectivity Center incluem as VPCs de trânsito, as VPCs de consumidor do Private Service Connect e todas as VPCs de carga de trabalho.
- Embora o Network Connectivity Center crie uma rede em malha completa de spokes de VPC, os operadores de rede precisam permitir fluxos de tráfego entre as redes de origem e de destino usando regras ou políticas de firewall.
- Configure todas as VPCs de carga de trabalho,
trânsito e consumidor do Private Service Connect como
spokes de VPC do Network Connectivity Center. Não pode haver sobreposições de
sub-redes entre spokes de VPC.
- Ao configurar o spoke VPC, anuncie intervalos de sub-rede de endereços IP não sobrepostos na tabela de rotas do hub do Network Connectivity Center:
- Inclua intervalos de sub-redes de exportação.
- Excluir intervalos de sub-redes de exportação.
- Ao configurar o spoke VPC, anuncie intervalos de sub-rede de endereços IP não sobrepostos na tabela de rotas do hub do Network Connectivity Center:
- Se os spokes de VPC estiverem em projetos diferentes e forem gerenciados por administradores que não sejam os administradores do hub do Network Connectivity Center, os administradores de spoke da VPC precisarão iniciar uma solicitação para ingressar no hub do Network Connectivity Center nos outros projetos.
- Use as permissões do Identity and Access Management (IAM) no
projeto do hub do Network Connectivity Center para conceder o
papel
roles/networkconnectivity.groupUsera esse usuário.
- Use as permissões do Identity and Access Management (IAM) no
projeto do hub do Network Connectivity Center para conceder o
papel
- Para permitir que as conexões de serviços particulares sejam acessíveis de maneira transitiva e global a partir de outros spokes do Network Connectivity Center, ative a propagação de conexões do Private Service Connect no hub do Network Connectivity Center.
Se a comunicação entre VPCs de malha completa entre VPCs de carga de trabalho não for permitida, use uma topologia em estrela do Network Connectivity Center.
Estabelecer conectividade de topologia em estrela
Arquiteturas de negócios centralizadas que exigem uma topologia ponto a multiponto podem usar uma topologia em estrela do Network Connectivity Center.
Para usar uma topologia em estrela do Network Connectivity Center, conclua as seguintes tarefas:
- No Network Connectivity Center, crie um hub do Network Connectivity Center e especifique uma topologia em estrela.
- Para permitir que as conexões de serviços particulares sejam acessíveis de maneira transitiva e global a partir de outros spokes do Network Connectivity Center, ative a propagação de conexões do Private Service Connect no hub dele.
- Ao configurar o hub do Network Connectivity Center para uma topologia em estrela, é possível agrupar VPCs em um destes dois grupos predeterminados: grupos centrais ou de borda.
Para agrupar as VPCs no grupo central, configure as VPCs de trânsito e do consumidor do Private Service Connect como um spoke VPC do Network Connectivity Center como parte do grupo central.
O Network Connectivity Center cria uma rede totalmente em malha entre spokes de VPC colocados no grupo central.
Para agrupar VPCs de carga de trabalho no grupo de borda, configure cada uma dessas redes como spokes de VPC do Network Connectivity Center dentro desse grupo.
O Network Connectivity Center cria um caminho de dados ponto a ponto de cada VPC do Network Connectivity Center spoke com todas as VPCs no grupo central.
Configurar políticas de NGFW do Cloud
Além da orientação em Segurança e compliance, considere as Práticas recomendadas para regras de firewall.
Outras considerações:
- Se as cargas de trabalho forem executadas em VMs do Compute Engine, recomendamos o uso de políticas de firewall de rede em vez das regras de firewall da VPC. As políticas de firewall de rede têm benefícios como segurança granular e controle de acesso usando tags, gerenciamento de regras simplificado, facilidade de operações, conjunto de recursos mais avançados e residência de dados flexível. Se você já tiver regras de firewall da VPC, use a ferramenta de migração de regras de firewall de VPC para ajudar na migração para uma política de firewall de rede global.
- O Google Kubernetes Engine cria e gerencia automaticamente determinadas regras de firewall de VPC para permitir o tráfego essencial. Portanto, recomendamos não modificar ou excluir essas regras. No entanto, as políticas de firewall de rede ainda podem ser usadas com as regras de firewall da VPC e, opcionalmente, alterar a ordem de aplicação da política.
- Recomendamos que você use tags em vez de tags de rede com regras de firewall devido aos controles do IAM, escalonamento aprimorado e suporte a políticas de firewall de rede. No entanto, as tags não são compatíveis com políticas hierárquicas de firewall ou em redes com peering do Network Connectivity Center. Portanto, nesses casos, você precisa criar regras com base em intervalos CIDR.
- Se você quiser ativar a inspeção L7 no Cloud NGFW, configure o serviço de prevenção de intrusões, incluindo perfis de segurança, endpoint de firewall e associação de VPC.
- Crie uma política de firewall de rede global e as regras de firewall necessárias. Considere as regras implícitas atuais para permitir o tráfego de saída e negar o tráfego de entrada, presentes em todas as redes VPC.
- Associe a política às redes VPC.
- Se você já estiver usando regras de firewall de VPC nas suas redes, altere a ordem de avaliação de políticas e regras para que as novas regras sejam avaliadas antes das regras de firewall da VPC.
- Se quiser, ative a geração de registros de regras de firewall.
Testar a conectividade com cargas de trabalho
Se você tiver cargas de trabalho que já estejam implantadas nas redes VPC, teste o acesso a elas agora. Se você conectou as redes antes de implantar as cargas de trabalho, pode implantá-las agora e testá-las.
A seguir
- Saiba mais sobre os Google Cloud produtos usados neste guia de design:
- Para mais arquiteturas de referência, diagramas e práticas recomendadas, confira a Central de arquitetura do Cloud.
Colaboradores
Autores:
- Eric Yu | Engenheiro de clientes especialista em rede
- Deepak Michael | Engenheiro de clientes especialista em rede
- Victor Moreno | Gerente de produtos, Cloud Networking
- Osvaldo Costa | Engenheiro de clientes especialista em rede
Outros colaboradores:
- Mark Schlagenhauf | Redator técnico, Rede
- Ammett Williams | Engenheiro de relações com desenvolvedores
- Ghaleb Al-habian | Especialista em rede
- Tony Sarathchandra, gerente sênior de produtos