Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Práticas recomendadas para o Cloud Interconnect

Use as seguintes práticas recomendadas ao planear e configurar o Cloud Interconnect.

Trabalhe com Trusted Cloud projetos

Se a arquitetura da sua rede o permitir, configure os projetos do Cloud Interconnect conforme recomendado nesta secção.

Aprovisione ligações físicas do Cloud Interconnect num projeto separado

Aprovisionar ligações físicas (portas) para o Cloud Interconnect num projeto, mas aprovisionar anexos de VLAN noutros projetos. Os outros projetos têm de estar na mesma organização Trusted Cloud by S3NS que o projeto que contém as ligações físicas.

As associações de VLAN que associam uma ligação física a uma região através de um Cloud Router não têm de estar no mesmo projeto que a ligação física. Para mais informações, consulte o artigo Use ligações noutros projetos.

Esta prática facilita os seguintes passos de configuração:

Pode associar uma conta de faturação interna separada ao projeto que contém as ligações físicas.
Pode configurar as funções e as autorizações da gestão de identidade e de acesso (IAM) no projeto que contém as ligações físicas.
Se quiser eliminar ou atualizar um recurso que não seja uma ligação física, pode fazê-lo sem afetar as ligações físicas.

Configure associações VLAN no projeto anfitrião da VPC partilhada

Numa rede VPC partilhada, configure todas as associações de VLAN, e não as ligações físicas do Cloud Interconnect (portas), no projeto anfitrião. Para mais informações sobre como ligar anexos a redes VPC partilhadas, consulte Opções para estabelecer ligação a várias redes VPC.

Crie ligações do Cloud Interconnect redundantes com capacidade suficiente

Esta secção descreve as práticas recomendadas para criar ligações redundantes do Cloud Interconnect com capacidade suficiente num cenário de comutação por falha. Seguir estas práticas garante que eventos como a manutenção planeada ou as falhas de hardware não causam tempo de inatividade.

As ligações do Cloud Interconnect oferecem proteção para até 50% do tráfego de rede na capacidade agregada quando a capacidade é dividida uniformemente entre os domínios de disponibilidade de limite. Isto garante capacidade suficiente em caso de falha ou manutenção planeada. A utilização de mais de 50% da capacidade do Cloud Interconnect pode sujeitar a ligação a restrições durante períodos de congestionamento da rede. Por exemplo, se pretender enviar 100 Gbps de tráfego protegido entre a sua rede no local e Trusted Cloud by S3NS, certifique-se de que aprovisiona ligações redundantes do Cloud Interconnect com, pelo menos, 200 Gbps de capacidade.

Pode criar ligações do Cloud Interconnect de acordo com uma das seguintes topologias recomendadas:

Quando cria ligações do Cloud Interconnect de acordo com estas topologias, cria pares de ligações numa ou mais áreas metropolitanas. Numa única área metropolitana, coloca ligações do Cloud Interconnect em diferentes domínios de disponibilidade de limite.

Recomendamos que crie associações redundantes através de grupos de associações. Para mais informações, consulte as opções de resiliência e SLA.

Certifique-se de que existe capacidade suficiente em cada domínio de disponibilidade de limite

Se houver tempo de inatividade ou manutenção num dos domínios de disponibilidade periférica numa área metropolitana, o tráfego é transferido para o outro domínio de disponibilidade periférica.

Para evitar a perda de pacotes se um único domínio de disponibilidade de limite falhar, siga estas orientações:

Tipo de capacidade	Orientação
Capacidade de ligação do Cloud Interconnect	Certifique-se de que cada domínio de disponibilidade de limite tem capacidade de ligação suficiente para transportar todo o seu tráfego de produção.
Capacidade da associação VLAN	Certifique-se de que cada domínio de disponibilidade de limite tem capacidade de anexos de VLAN suficiente para transportar todo o tráfego de produção para a rede VPC de destino. O tráfego de VPC em ligações do Cloud Interconnect é transportado através de anexos de VLAN, que associam a ligação a redes VPC. Mesmo que cada domínio de disponibilidade de limite tenha capacidade de ligação suficiente, também tem de ter capacidade de anexo de VLAN suficiente.

Tipo de capacidade

Orientação

Capacidade de ligação do Cloud Interconnect

Certifique-se de que cada domínio de disponibilidade de limite tem capacidade de ligação suficiente para transportar todo o seu tráfego de produção.

Capacidade da associação VLAN

Certifique-se de que cada domínio de disponibilidade de limite tem capacidade de anexos de VLAN suficiente para transportar todo o tráfego de produção para a rede VPC de destino.

O tráfego de VPC em ligações do Cloud Interconnect é transportado através de anexos de VLAN, que associam a ligação a redes VPC. Mesmo que cada domínio de disponibilidade de limite tenha capacidade de ligação suficiente, também tem de ter capacidade de anexo de VLAN suficiente.

Capacidade de associação VLAN e várias redes VPC

Se estiver a usar as suas ligações do Cloud Interconnect para aceder a mais do que uma rede de nuvem virtual privada (VPC), crie associações de VLAN a partir de cada rede de VPC para cada ligação do Cloud Interconnect. Para cada rede VPC, certifique-se de que existe capacidade de associação de VLAN suficiente para transportar todo o tráfego de produção dessa rede VPC se ocorrer uma comutação por falha.

Considere um exemplo em que tem as seguintes redes VPC e cargas de trabalho:

vpc-1 recebe 2 Gbps de tráfego total da sua rede no local.
vpc-2 também recebe 2 Gbps de tráfego total da sua rede no local.

A tabela seguinte descreve a quantidade mínima de capacidade de anexos de que precisa em cada domínio de disponibilidade de limites para cada rede VPC:

Domínio de disponibilidade da rede perimetral	Capacidade de ligação	Capacidade de anexos
`EDGE_DOMAIN_1`	1 x 10 Gbps	2 x 1 Gbps para `vpc-1` 2 x 1 Gbps para `vpc-2`
`EDGE_DOMAIN_2`	1 x 10 Gbps	2 x 1 Gbps para `vpc-1` 2 x 1 Gbps para `vpc-2`

Quando adiciona associações de VLAN através de uma ligação do Cloud Interconnect, a capacidade da associação configurada pode exceder a capacidade total da ligação. Embora esta configuração seja válida, o seu tráfego real não pode exceder a capacidade total da ligação. Certifique-se de que a sua carga de trabalho não gera mais tráfego do que a capacidade da ligação.

Use associações VLAN ativas-ativas

Existem duas formas de configurar associações VLAN redundantes:

Uma configuração ativa-ativa que divide o tráfego entre as associações de VLAN.
Uma configuração ativa/passiva que usa apenas uma associação de VLAN de cada vez.

Recomendamos que use uma configuração ativa-ativa porque facilita a determinação se todos os anexos de VLAN estão a funcionar corretamente durante o funcionamento normal. Quando usar uma configuração ativo-ativo, monitorize os padrões de utilização para garantir que tem capacidade suficiente se ocorrer uma falha.

Numa configuração ativa/passiva, as associações de VLAN podem ser configuradas incorretamente sem que se aperceba. Se usar esta configuração, certifique-se de que testa a comutação por falha antes de adicionar tráfego de produção.

Cenários

Esta secção descreve cenários nos quais configura recursos do Cloud Interconnect. Também descreve como cada configuração processa a sua carga de trabalho durante o funcionamento normal e a comutação por falha. Cada cenário inclui uma recomendação relacionada com as práticas recomendadas para redundância e capacidade.

Cenário 1: capacidade suficiente

Neste cenário, aprovisiona duas ligações Dedicated Interconnect em dois domínios de disponibilidade de limite diferentes, conforme mostrado na tabela seguinte:

Domínio de disponibilidade da rede perimetral	Capacidade de ligação	Capacidade de anexos	Região do anexo
`EDGE_DOMAIN_1`	1 x 10 Gbps	1 x 10 Gbps	`ATTACHMENT_REGION_1`
`EDGE_DOMAIN_2`	1 x 10 Gbps	1 x 10 Gbps	`ATTACHMENT_REGION_1`

A tabela seguinte descreve como esta configuração processa a sua carga de trabalho durante o funcionamento normal e a comutação por falha:

Recurso	Descrição
Tamanho da carga de trabalho	10 Gbps de tráfego total entre `ATTACHMENT_REGION_1` e a sua rede no local.
Capacidade durante o funcionamento normal	Capacidade suficiente 20 Gbps de capacidade de `ATTACHMENT_REGION_1` para a sua rede no local. A sua carga de trabalho de 10 Gbps é executada com êxito.
Capacidade durante a ativação pós-falha	Capacidade suficiente se a ligação do Cloud Interconnect falhar. Por exemplo, se a ligação em `EDGE_DOMAIN_1` falhar, a sua capacidade disponível é a ligação em `EDGE_DOMAIN_2`. Esta única ligação do Cloud Interconnect tem uma capacidade de 10 Gbps. Os 10 Gbps de capacidade de anexo que criou são suficientes para transportar a sua carga de trabalho de produção. Se a sua carga de trabalho aumentar para mais de 10 Gbps de tráfego, excede a capacidade do anexo e pode ocorrer perda de pacotes.
Recomendação	Aprovisione a capacidade de ligação do Cloud Interconnect e do anexo de VLAN para que cada domínio de disponibilidade de limite tenha capacidade suficiente para toda a sua carga de trabalho de produção.

Cenário 2: capacidade insuficiente durante a comutação por falha

Neste cenário, aprovisiona duas ligações Dedicated Interconnect em dois domínios de disponibilidade de limite diferentes, conforme mostrado na tabela seguinte:

Domínio de disponibilidade da rede perimetral	Capacidade de ligação	Capacidade de anexos	Região do anexo
`EDGE_DOMAIN_1`	1 x 100 Gbps	100 Gbps (2 x 50 Gbps)	`ATTACHMENT_REGION_1`
`EDGE_DOMAIN_2`	1 x 100 Gbps	100 Gbps (2 x 50 Gbps)	`ATTACHMENT_REGION_1`

A tabela seguinte descreve como esta configuração processa a sua carga de trabalho durante o funcionamento normal e a comutação por falha:

Recurso	Descrição
Tamanho da carga de trabalho	150 Gbps de tráfego total entre `ATTACHMENT_REGION_1` e a sua rede no local.
Capacidade durante o funcionamento normal	Capacidade suficiente 200 Gbps de capacidade de `ATTACHMENT_REGION_1` para a sua rede no local. A sua carga de trabalho de 150 Gbps é executada com êxito.
Capacidade durante a ativação pós-falha	Capacidade insuficiente se a ligação do Cloud Interconnect ficar inativa. Se uma das suas ligações do Cloud Interconnect ficar inativa para manutenção, toda a carga de trabalho de 150 Gbps tenta fazer failover para uma única ligação de 100 Gbps. Isto é superior à capacidade da ligação, pelo que sofre congestionamento e perda de pacotes.
Recomendação	Para garantir a disponibilidade total durante um evento de falha, certifique-se de que o tráfego combinado em cada ligação não excede a capacidade total de um único domínio de disponibilidade de limite. Neste cenário, precisa de, pelo menos, 200 Gbps de capacidade de ligação e 3 x 50 Gbps de capacidade de anexo em cada domínio de disponibilidade de limite para ter capacidade suficiente durante a comutação por falha.

Cenário 3: associações VLAN desequilibradas

Neste cenário, aprovisiona duas ligações do Dedicated Interconnect em dois domínios de disponibilidade de limite diferentes, conforme mostrado na tabela seguinte. Inicialmente, aprovisiona 1 x 10 Gbps de capacidade de anexos em EDGE_DOMAIN_1. Mais tarde, percebe que a sua carga de trabalho aumentou para 20 Gbps, pelo que atualiza apenas a capacidade de anexos em EDGE_DOMAIN_1 para 2 x 10 Gbps.

Domínio de disponibilidade da rede perimetral	Capacidade de ligação	Capacidade de anexos	Região do anexo
`EDGE_DOMAIN_1`	1 x 100 Gbps	1 x 10 Gbps (inicialmente aprovisionado) 2 x 10 Gbps (atualizado posteriormente)	`ATTACHMENT_REGION_1`
`EDGE_DOMAIN_2`	1 x 100 Gbps	1 x 10 Gbps	`ATTACHMENT_REGION_1`

A tabela seguinte descreve como esta configuração processa a sua carga de trabalho durante o funcionamento normal e a comutação por falha:

Recurso	Descrição
Tamanho da carga de trabalho	20 Gbps de tráfego total entre `ATTACHMENT_REGION_1` e a sua rede no local.
Capacidade durante o funcionamento normal	Capacidade suficiente 30 Gbps de capacidade de `ATTACHMENT_REGION_1` para a sua rede no local. A sua carga de trabalho de 20 Gbps é executada com êxito.
Capacidade durante a ativação pós-falha	Capacidade suficiente se a ligação do Cloud Interconnect em `EDGE_DOMAIN_2` ficar indisponível. Capacidade insuficiente se a ligação do Cloud Interconnect no `EDGE_DOMAIN_1` falhar. Se a ligação do Cloud Interconnect em `EDGE_DOMAIN_2` ficar inativa, ainda existem 20 Gbps de capacidade de anexo da ligação restante, e a sua carga de trabalho é executada com êxito. No entanto, se a ligação do Cloud Interconnect em `EDGE_DOMAIN_1` ficar inativa, só tem 10 Gbps de capacidade de anexo da ligação restante e sofre congestionamento e perda de pacotes.
Recomendação	Certifique-se de que tem igual capacidade para ambos os domínios de disponibilidade de limites numa área metropolitana. Isto aplica-se às ligações do Cloud Interconnect e aos anexos de VLAN. Neste cenário, precisa de, pelo menos, 2 x 10 Gbps de capacidade de anexo em cada domínio de disponibilidade de limite para garantir capacidade suficiente se alguma ligação do Cloud Interconnect ficar inativa.

Use a mesma MTU para todas as associações VLAN

Recomendamos que use a mesma MTU para todas as associações de VLAN que estão ligadas à mesma rede VPC e que defina a MTU da rede VPC para o mesmo valor. Embora seja a prática recomendada, não é obrigado a fazer com que as MTUs de anexos de VLAN e as MTUs de rede VPC correspondam. No entanto, pode ter pacotes perdidos, especialmente para protocolos que não sejam TCP, se fizer qualquer uma das seguintes ações:

Use MTUs de associações VLAN diferentes para associações VLAN ligadas à mesma rede VPC.
Configure MTUs de associações VLAN que sejam inferiores ao MTU da rede VPC que contém as associações VLAN.

Para obter informações gerais sobre como os protocolos processam MTUs em conflito, consulte o artigo MTUs em conflito, restrição de MSS e descoberta de MTU do caminho na documentação de MTU da VPC.

Os pacotes enviados através de uma associação VLAN são processados da seguinte forma:

Situação	Comportamento
Pacotes TCP SYN e SYN-ACK	Trusted Cloud realiza a restrição de MSS, alterando o MSS para que os pacotes se ajustem à MTU do anexo de VLAN. Por exemplo, se a MTU do anexo da VLAN for de 1500 bytes, a restrição de MSS usa um tamanho máximo de segmento de 1460 bytes.
Pacotes IP até (e incluindo) a MTU da associação VLAN	Trusted Cloud não faz alterações ao pacote, exceto aos pacotes SYN e SYN-ACK, conforme abordado na primeira linha.
Verificações de MTU para pacotes IP	A MTU dos pacotes enviados por recursos através de uma associação VLAN é limitada pela MTU da associação VLAN. Trusted Cloud Por exemplo, quando uma instância de VM envia pacotes para um destino acessível por uma rota dinâmica cujo próximo salto é uma associação VLAN, os pacotes que excedem o MTU da associação VLAN são ignorados: Trusted Cloud elimina o pacote e envia uma mensagem de fragmentação necessária (ICMP através de IPv4) ou pacote demasiado grande (ICMPv6) quando o bit Não fragmentar (DF) está ativado e também quando o bit DF está desativado. Tem de configurar as regras de firewall da VPC de permissão de entrada ou as regras nas políticas de firewall de modo que o ICMP (para IPv4) ou o ICMPv6 (para IPv6) sejam permitidos a partir de origens que correspondam aos destinos dos pacotes originais. As regras de encaminhamento para o balanceador de carga de rede de passagem interno e o encaminhamento de protocolos internos têm de usar o protocolo `L3_DEFAULT` para que processem o ICMP para a deteção de MTU do caminho (PMTUD) e o protocolo usado pelo pacote original. O Cloud Interconnect não aplica a MTU do anexo de VLAN para pacotes recebidos de uma rede no local. Em alternativa, Trusted Cloud aplica a MTU no Trusted Cloud recurso que recebe o pacote: Se o recurso que recebe o pacote for uma instância de VM, Trusted Cloud aplica a MTU da rede VPC usada pela interface de rede da VM de receção, como se a VM de receção tivesse recebido um pacote encaminhado na rede VPC. Os pacotes enviados para as APIs e os serviços Google a partir de instalações no local através de uma associação de VLAN são processados da mesma forma que os pacotes enviados a partir de instâncias de VM para as APIs e os serviços Google. Para mais informações, consulte o artigo Comunicação com as APIs Google e os serviços.
Pacotes enviados através da VPN de alta disponibilidade sobre o Cloud Interconnect	A VPN de alta disponibilidade através do Cloud Interconnect usa uma MTU de gateway de 1440 bytes e as MTUs de carga útil são mais pequenas, consoante as cifras usadas. Para mais informações, consulte as considerações sobre a MTU na documentação da VPN na nuvem.

O que se segue?

Para escolher um tipo de ligação para o Cloud Interconnect, consulte o artigo Escolher um produto de conetividade de rede.
Para saber mais sobre o Cloud Interconnect, consulte a vista geral do Cloud Interconnect.