Visão geral do Network Connectivity Center

O Network Connectivity Center é um framework de orquestração que simplifica a conectividade de rede entre recursos spoke conectados a um recurso de gerenciamento central chamado de hub. O Network Connectivity Center é compatível com três tipos de spokes:

Raios de nuvem privada virtual (VPC)
Spokes de VPC do produtor (pré-lançamento)
spokes híbridos, que consistem em:
- Túneis de VPN de alta disponibilidade
- Anexos da VLAN do Cloud Interconnect
- VMs de dispositivos roteadores

Com a conectividade hub-spoke, é possível fazer o seguinte:

Conecte várias redes VPC entre si. As redes VPC podem estar localizadas em diferentes projetos na mesma organização do Google Cloud ou em organizações diferentes.
Conectar várias redes VPC à infraestrutura no local ou a outras redes de provedor de nuvem. Essas redes externas podem ser acessadas por qualquer tipo de spoke híbrido. Essa abordagem é conhecida como conectividade site a nuvem.
Utilize as VMs do dispositivo roteador para gerenciar a conectividade entre as redes VPC.
Utilize uma rede VPC do Google Cloud como uma rede de longa distância (WAN, na sigla em inglês) para conectar redes fora do Google Cloud. É possível estabelecer conectividade entre sites externos usando qualquer tipo de spoke híbrido. Essa abordagem é conhecida como conectividade site a nuvem.

Como funciona

Quando um hub usa spokes VPC, é possível configurar a conectividade entre essas redes VPC conectadas ao hub trocando rotas de sub-rede entre todas ou algumas das redes VPC.

Quando um hub usa spokes VPC e híbridos, a conectividade de qualquer um para qualquer um é aceita em todos esses spokes.

Quando um hub usa spokes híbridos localizados em uma única rede VPC, também é possível configurar a transferência de dados de site para site para que as rotas dinâmicas com próximos saltos que sejam spokes híbridos (por exemplo, um anexo da VLAN do Cloud Interconnect) sejam anunciadas para uma rede local pelas sessões do BGP dos outros spokes híbridos nessa rede VPC.

Consulte as seções a seguir para conferir uma descrição detalhada dos hubs e spokes.

Hubs

Um hub da central de conectividade de rede é um recurso global ao qual você anexa spokes. Um único hub pode conter raios de várias regiões. No entanto, se algum dos spokes de um hub usar o recurso de transferência de dados site a site, os recursos associados a esses spokes precisarão estar na mesma rede VPC. Os spokes que não usam a transferência de dados site a site podem ser associados a qualquer rede VPC no projeto.

Spokes

Um spoke representa um ou mais recursos de rede do Google Cloud conectados a um hub.

Ao criar um spoke, associe-o a pelo menos um recurso de conectividade compatível, que também é chamado de recurso de apoio.

Um spoke pode usar qualquer um dos seguintes recursos do Google Cloud como apoio.

Spokes VPC

Os spokes VPC permitem conectar duas ou mais redes VPC a um hub para que as redes troquem rotas de sub-rede IPv4. Os spokes VPC anexados a um único hub podem fazer referência a redes VPC no mesmo projeto ou em um projeto diferente (incluindo um projeto em uma organização diferente).

Para informações detalhadas sobre os spokes VPC, consulte Visão geral dos spokes VPC.

Os spokes VPC fornecem conectividade entre intervalos de sub-rede IPv4 de várias redes VPC.

Spokes de VPC do produtor (pré-lançamento)

Se você tiver um spoke VPC que consome um serviço de uma rede de produtor em outro projeto pelo peering de rede VPC, será possível tornar o serviço acessível pelos outros spokes no hub do Network Connectivity Center criando um spoke VPC de produtor.

Para informações detalhadas sobre spokes de VPC do produtor, consulte Spokes de VPC do produtor.

Spokes híbridos

Um spoke híbrido representa um ou mais recursos de conectividade de rede conectados a um hub. Um tipo de spoke híbrido pode ser qualquer um dos seguintes recursos associados a um spoke:

VMs de dispositivos roteadores
Túneis de VPN de alta disponibilidade
Anexos da VLAN do Cloud Interconnect

Um único spoke híbrido pode ser associado a mais de um recurso do mesmo tipo. Por exemplo, um spoke híbrido pode fazer referência a dois ou mais túneis de VPN de alta disponibilidade, mas esse mesmo spoke híbrido também não pode referenciar VMs do dispositivo roteador ou anexos da VLAN do Cloud Interconnect.

A transferência de dados site a site usando spokes híbridos exige que os spokes estejam localizados na mesma rede VPC. Saiba mais em Visão geral da transferência de dados site a site.

Portas do dispositivo roteador

Um spoke associado a uma instância de VM do dispositivo roteador oferece suporte aos seguintes casos de uso:

Conectividade do site para a nuvem IPv4: estabeleça a conectividade entre um site externo e os recursos de rede VPC.
Transferência de dados site a site IPv4: use a rede do Google como parte de uma rede de longa distância (WAN, na sigla em inglês) que inclui seus sites externos para transferir dados entre todos os sites.
Conectividade IPv4 entre redes VPC: use um dispositivo virtual de rede de terceiros para estabelecer a conectividade entre as redes VPC.

Todos os spokes site a site conectados ao mesmo hub precisam ter todos os recursos de suporte na mesma rede VPC.

Spokes de túnel de VPN de alta disponibilidade

Um spoke associado a túneis do Cloud VPN (VPN de alta disponibilidade) oferece suporte aos seguintes casos de uso:

Conectividade do site para a nuvem IPv4: estabeleça a conectividade entre um site externo e os recursos de rede VPC.
Transferência de dados site a site IPv4: use a rede do Google como parte de uma rede de longa distância (WAN, na sigla em inglês) que inclui seus sites externos para transferir dados entre todos os sites.

Todos os dispositivos vinculados a um único spoke e todos os túneis do Cloud VPN e anexos da VLAN precisam estar na mesma rede VPC.

Spokes de anexo da VLAN do Cloud Interconnect

Um spoke associado a anexos da VLAN do Cloud Interconnect oferece suporte aos seguintes casos de uso:

Conectividade IPv4 de site para nuvem: todos os dispositivos vinculados a um único spoke precisam estar na mesma rede VPC
Transferência de dados IPv4 site a site: todos os túneis do Cloud VPN, anexos da VLAN ou ambos precisam estar na mesma rede VPC

Troca de rotas com conectividade VPC

Os spokes VPC do Network Connectivity Center aceitam a troca de intervalos de endereços IPv4 da sub-rede que usam endereços particulares, exceto os endereços IPv4 públicos usados de modo privado. Rotas dinâmicas, ou seja, rotas aprendidas por spokes híbridos pelo BGP, também podem ser trocadas com spokes de VPC ou outros spokes híbridos. Rotas estáticas em uma rede VPC spoke não podem ser trocadas com outros spokes VPC no hub.

Importação de sub-redes de hub para spokes híbridos

É possível conseguir a divulgação automática de intervalos de sub-rede de IP de spokes da VPC para redes locais e de outros provedores de nuvem pelo BGP, ativando a importação de sub-redes de hub para spokes híbridos. Quando ativado, todas as novas sub-redes da VPC que são criadas ou excluídas e estão na tabela de rotas do hub são importadas automaticamente pelos spokes híbridos e anunciadas pelo BGP para os pares remotos.

Para anunciar automaticamente os intervalos de endereços IP da sub-rede do spoke da VPC para spokes híbridos, use a flag --include-import-ranges com o campo ALL_IPV4_RANGES durante a criação do spoke. Por padrão, o campo --include-import-ranges está vazio, o que significa que nenhuma sub-rede de hub é importada para spokes híbridos novos ou existentes até que o ALL_IPV4_RANGES seja especificado.

Para informações detalhadas sobre como criar spokes híbridos, consulte Trabalhar com spokes.

Divulgação de rota personalizada

A divulgação de rota personalizada no Cloud Router oferece controle manual sobre os prefixos anunciados por spokes híbridos. É possível especificar rotas anunciadas personalizadas (incluindo rotas padrão, 0.0.0.0/0 para rotas IPv4 ou ::/0 para rotas IPv6) para todas as sessões do BGP quando você não precisa de divulgação automática de sub-redes de spoke da VPC. Por padrão, outras sub-redes de spoke da VPC não são anunciadas, o que significa que os locais locais não aprendem automaticamente sobre a capacidade de acesso a esses intervalos de endereços IP.

Considerações sobre a importação de sub-redes de hub

Considere as seguintes considerações ao usar o recurso de sub-redes do hub de importação.

Todas as sub-redes de spoke da VPC na tabela de rotas do hub são anunciadas para um spoke híbrido por padrão se o spoke híbrido tiver ALL_IPV4_RANGES especificado no campo --include-import-ranges.
A prioridade de rota seguida é sub-redes de rede VPC de destino, sub-redes de hub e rotas personalizadas do Cloud Router nessa ordem.
O Network Connectivity Center evita sobreposições entre sub-redes VPC de roteamento e sub-redes hub de outros spokes VPC.
Se uma rota personalizada do Cloud Router for exatamente igual ou se sobrepor às sub-redes VPC de destino ou de hub, essa rota personalizada do Cloud Router será ignorada.
Os atributos BGP das sub-redes do hub são iguais às sub-redes da VPC de destino do spoke híbrido.
As políticas do Cloud Router na sessão do BGP também são aplicadas às sub-redes de hub importadas do Network Connectivity Center.
Se a rede VPC de roteamento do spoke híbrido definir o modo de roteamento dinâmico como regional, somente as sub-redes do hub na mesma região do spoke híbrido serão anunciadas.

Exemplos de casos de uso

As seções a seguir descrevem os principais casos de uso do Network Connectivity Center.

Conectar diferentes redes VPC com o Network Connectivity Center

Quando você anexa dois ou mais spokes VPC a um hub, o Network Connectivity Center fornece conectividade de sub-rede IPv4 entre todas as redes VPC representadas pelos spokes. O uso de um hub simplifica o gerenciamento da conectividade de sub-rede de malha em grande escala. Consulte cotas para ver quantas redes VPC podem ser conectadas a um hub.

O diagrama a seguir mostra dois spokes VPC.

Conecte os spokes a uma rede VPC. — Conectar spokes a uma rede VPC (clique para ampliar)

Conectividade local para spokes de VPC

Os spokes de VPC podem se conectar a redes locais usando spokes híbridos localizados em outras redes VPC (roteamento).Os spokes de VPC podem se conectar a redes locais usando spokes híbridos localizados em outras redes VPC (roteamento). Cada hub do Network Connectivity Center aceita vários spokes de VPC e anexos da VLAN do Cloud Interconnect, túneis de VPN de alta disponibilidade ou VMs de dispositivo roteador adicionados como spokes híbridos. O diagrama a seguir mostra um exemplo de hub com spokes VPC e híbridos no mesmo hub da central de conectividade de rede.

Troca de rotas dinâmicas com spokes de VPC. — Troca de rotas dinâmicas com spokes de VPC (clique para ampliar).

Conectar redes usando VMs do dispositivo roteador

O Network Connectivity Center pode usar VMs do dispositivo roteador nos dois cenários de conectividade IPv4 abaixo:

Como conectar uma rede VPC a uma rede local ou de outro provedor de nuvem usando rotas dinâmicas
Como conectar duas redes VPC entre si usando rotas dinâmicas

Com essa opção, o Cloud Router gerencia as sessões do BGP para as VMs do dispositivo de roteador.

Conectar uma rede externa ao Google Cloud

O diagrama a seguir usa um spoke híbrido com uma VM de dispositivo do roteador para conectar duas redes VPC a uma rede externa. A VM do Cloud Router tem uma interface de rede (NIC, na sigla em inglês) em cada rede VPC.

Para mais informações sobre esse caso de uso, consulte Topologias site a nuvem que usam um dispositivo de terceiros.

Gerenciar a conectividade entre redes VPC

O diagrama a seguir usa um spoke híbrido com uma VM de dispositivo roteador que executa um software especializado de firewall ou inspeção de pacotes para conectar duas redes VPC.

Use um firewall de terceiros. — Usar um firewall de terceiros (clique para ampliar)

Para mais informações, consulte Topologia VPC para VPC que usa um dispositivo de terceiros.

Transferência de dados pela rede do Google (site a site)

A transferência de dados fornece conectividade IPv4 entre redes externas usando uma rede VPC do Google Cloud e spokes híbridos. É possível transferir dados entre várias redes locais ou para outras redes na nuvem.

Ao criar um spoke híbrido, é possível ativar a opção de transferência de dados para esse spoke. Quando a transferência de dados é ativada para spokes híbridos conectados ao mesmo hub, as rotas dinâmicas aprendidas por cada VM do dispositivo Router, túnel do Cloud VPN ou anexo da VLAN do Cloud Interconnect são divulgadas novamente para as outras VMs, túneis ou anexos da VLAN associados a qualquer spoke híbrido conectado ao mesmo hub. A transferência de dados exige que todos os spokes híbridos se refiram às VMs do dispositivo roteador, aos túneis do Cloud VPN ou aos anexos da VLAN do Cloud Interconnect em uma única rede VPC.

Por exemplo, imagine que você tem data centers em Nova York, Sydney e Tóquio. Depois de usar recursos compatíveis para conectar sua rede VPC a cada um desses sites, crie um spoke para representar cada rede. Depois de concluir essa configuração, o Network Connectivity Center passa a fornecer conectividade de malha completa entre os três sites.

Conforme mostrado no diagrama a seguir, é possível criar spokes que dependem de recursos de conectividade, como Cloud VPN, Cloud Interconnect e dispositivo roteador.

O diagrama não mostra o Cross-Cloud Interconnect, mas também é possível usar anexos da VLAN do Cloud Interconnect.

Transferência de dados pela rede do Google. — Transferência de dados pela rede do Google (clique para ampliar)

Saiba mais sobre esse caso de uso na Visão geral da transferência de dados site a site.

Considerações sobre a central de conectividade de rede

Antes de configurar o Network Connectivity Center, leia as seções a seguir.

Endereços IP

O Network Connectivity Center é compatível com endereços IPv4. Ele não é compatível com IPv6. Exemplo:

Se um spoke tiver a transferência de dados site a site ativada, os recursos associados aos spokes serão compatíveis com o tráfego IPv4. Esses spokes não podem trocar tráfego IPv6. Esta instrução se aplica a todos os tipos spoke: roteador, anexo da VLAN e spokes VPN.
Os spokes do appliance do site para a nuvem são compatíveis com o tráfego IPv4. O tráfego IPv6 não é compatível.
Quando você cria uma VM de dispositivo roteador, o endereço IPv4 interno da VM precisa ser um endereço RFC 1918.
Quando os spokes VPC contêm sub-redes IPv4 e IPv6, somente sub-redes IPv4 são trocadas entre eles.

Roteamento

As rotas instaladas por spokes híbridos do Network Connectivity Center são tratadas como rotas dinâmicas.

Saiba mais sobre como as rotas dinâmicas são tratadas em comparação com outros tipos de rotas em Aplicabilidade e ordem na documentação da VPC.

Recurso	Casos de uso aplicáveis
Priorização	Todos os recursos spoke híbridos usam o Cloud Router. Para ver detalhes sobre o modelo de seleção de caminho usado pelo Cloud Router, consulte Como o caminho do prefixo AS e o tamanho do caminho AS na visão geral do Cloud Router.
ASN	Todos os roteadores de peering que não são do Google e que estão associados a um único spoke precisam usar o mesmo ASN ao divulgar prefixos para o Cloud Router. Isso é importante porque, se dois pares divulgarem o mesmo prefixo com caminhos AS ou ASNs diferentes, apenas o caminho AS e o ASN de um deles será divulgado novamente nesse prefixo. Spokes diferentes precisam ter ASNs diferentes. Ou seja, se duas sessões do BGP pertencerem a spokes diferentes, elas precisarão ter ASNs diferentes. Além disso, ao usar o recurso de transferência de dados, você precisa atribuir ASNs, conforme descrito nos Requisitos de ASN para a transferência de dados site a site.
Sessões do BGP	As comunidades de BGP não são compatíveis.

Direcionar alterações na divulgação ao usar a transferência de dados site a site

Quando você adiciona um anexo da VLAN do Cloud Interconnect ou um túnel do Cloud VPN a um spoke híbrido, o Network Connectivity Center atualiza a sessão do BGP correspondente para o anexo da VLAN ou o túnel do Cloud VPN para que ele anuncie novamente os prefixos aprendidos por sessões do BGP dos outros anexos da VLAN do Cloud Interconnect ou túneis do Cloud VPN conectados a qualquer um dos spokes híbridos do hub que têm a opção de transferência de dados de site para site ativada.

Compatibilidade com outros produtos

As seções a seguir descrevem como o Network Connectivity Center funciona com outros produtos e recursos de rede.

Spokes VPC e peering de rede VPC

Os spokes VPC do Network Connectivity Center só aceitam a troca de intervalos de endereços IPv4 da sub-rede válida que usam endereços particulares, exceto os endereços IPv4 públicos usados de modo privado excluindo intervalos de sub-redes IPv6 e excluindo rotas estáticas e dinâmicas:

Para mais informações sobre spokes VPC do Network Connectivity Center, consulte Visão geral dos spokes VPC.
Para saber como as rotas são trocadas usando o peering de rede VPC, consulte opções de troca de rota na documentação do peering de rede VPC.

Mesmo que os spokes VPC do Network Connectivity Center não aceitem a troca de rotas estáticas ou dinâmicas, uma rede VPC spoke ainda pode importar as rotas estáticas e dinâmicas de outra rede VPC usando o peering de rede VPC. Se a outra rede VPC tiver rotas dinâmicas com próximos anexos da VLAN do Cloud Interconnect ou túneis do Cloud VPN que se conectam a uma rede local, será possível conectar a rede VPC spoke à rede local usando divulgações de rotas personalizadas do Cloud Router e opções de troca de rotas de peering de redes VPC, conforme descrito na documentação de exemplo de rede de trânsito do peering de rede VPC

Redes VPC compartilhadas

Ao usar redes VPC compartilhadas, é necessário criar o hub no projeto host. Essa limitação só se aplica a spokes híbridos.

Recomendamos atribuir o papel networkconnectivity.googleapis.com/spokeAdmin aos administradores de projetos de serviço. Para ver detalhes sobre esse e outros papéis do Network Connectivity Center, consulte Papéis e permissões.

Redes legadas

Os recursos spoke não podem fazer parte de uma rede legada.

Túneis VPN

Túneis VPN clássicos não são compatíveis.

Transferência de dados

Se você estiver usando a transferência de dados, revise a seção Considerações da visão geral da transferência de dados site a site.

Contrato de nível de serviço

Para informações sobre o contrato de nível de serviço (SLA) do Network Connectivity Center, consulte este link.

Preços

Para mais informações, consulte Preços do Network Connectivity Center.

A seguir

Para saber como gerenciar hubs e spokes, consulte Trabalhar com hubs e spokes.
Para saber como usar os spokes do Cloud VPN, consulte Conectar dois locais usando os spokes do Cloud VPN.
Para uma lista de parceiros com soluções integradas à Network Connectivity Center, consulte Parceiros da Network Connectivity Center.
Para conferir as cotas e os limites da central de conectividade de rede, consulte Cotas e limites.