Criar um Cloud Router para conectar uma rede VPC a uma de peering

Nesta página, descrevemos o processo de configuração do Cloud Router necessário para trocar rotas entre uma rede de nuvem privada virtual (VPC) ou um gateway do NCC e uma rede de peering. A rede de peering pode ser uma rede local, uma rede hospedada por outro provedor de nuvem, como AWS ou Azure, ou até mesmo outra rede VPC no Trusted Cloud by S3NS.

O processo de configuração do Cloud Router consiste nestas três tarefas de alto nível:

  1. Criar um Cloud Router.
  2. Configure um produto de conectividade de rede em Trusted Cloud.
  3. Criar sessões do protocolo de gateway de borda (BGP) com um roteador na rede de peering.

Antes de começar

gcloud

Para usar os exemplos de linha de comando deste guia:

  1. Instale ou atualize para a versão mais recente da Google Cloud CLI.
  2. Defina uma região e uma zona padrão.

API

Para usar os exemplos da API deste guia, configure o acesso a ela.

Número de sistema autônomo (ASN)

Ao criar um Cloud Router, escolha o ASN do Google para todas as sessões do BGP usadas pelo Cloud Router. As instruções para cada produto e como eles usam o ASN estão listadas em Produtos doTrusted Cloud que usam o Cloud Router.

Criar um Cloud Router

Para criar um Cloud Router, siga estas etapas.

Se você quiser criar um Cloud Router associado a um spoke do gateway do NCC, use a Google Cloud CLI ou as instruções da API Cloud Router nesta seção. Para mais informações, consulte Adicionar conexões híbridas ao gateway do NCC.

Console

  1. No console Trusted Cloud , acesse a página Criar um Cloud Router.

    Acesse Criar um Cloud Router.

  2. Especifique os detalhes do Cloud Router:

    • Nome: o nome do Cloud Router. Esse nome é exibido no console do Trusted Cloud e é usado pela Google Cloud CLI para fazer referência ao Cloud Router. Por exemplo, my-router.
    • Descrição (opcional): uma descrição do Cloud Router.
    • Rede: a rede VPC que contém as instâncias que você quer alcançar, por exemplo, my-network.
    • Região: a região em que você quer localizar o Cloud Router, por exemplo, asia-east1.

    • ASN do Google: qualquer ASN privado (64512-65534, 4200000000-4294967294) que você ainda não usa na rede local. O Cloud Router exige o uso de um ASN privado, mas seu ASN local pode ser público ou privado.

    • Intervalo de sinal de atividade do BGP: o intervalo entre duas mensagens de sinal de atividade sucessivas do BGP enviadas para o roteador de mesmo nível. Esse valor precisa ser um número inteiro entre 20 e 60 que especifique o número de segundos do intervalo. O padrão é 20 segundos. Para mais informações, consulte Como gerenciar timers do BGP.

    • Identificador do BGP: opcional. O identificador do BGP, às vezes chamado de ID de roteador, que identifica exclusivamente um Cloud Router em uma rede. Se omitido, os Cloud Routers com sessões IPv4 do BGP usam um dos endereços IPv4 do BGP como identificador do BGP, e adicionar a primeira interface IPv6 a esse Cloud Router preenche o campo automaticamente.

      Para mais informações, consulte Configurar o intervalo do identificador do BGP para um Cloud Router.

  3. Opcional: para especificar rotas divulgadas personalizadas, acesse a seção Rotas anunciadas. Para saber mais, consulte Rotas anunciadas.
    1. Para especificar Rotas personalizadas, selecione Criar rotas personalizadas.
    2. Escolha se você quer divulgar as sub-redes visíveis para o Cloud Router. A ativação dessa opção imita o comportamento padrão do Cloud Router.
    3. Para adicionar uma rota divulgada, selecione Adicionar rota personalizada e configure-a.
  4. Para salvar as configurações e criar um Cloud Router, clique em Criar. Seu novo roteador do Cloud Router é exibido na página de listagem do Cloud Router. Para visualizar os detalhes e configurar uma sessão do BGP, selecione-a.

gcloud

O comando gcloud compute routers create cria um novo Cloud Router. Um Cloud Router é associado a uma rede VPC ou a um raio do gateway do NCC. Depois de criado, não é possível mudar a região, a rede VPC associada ou o spoke do gateway do NCC associado.

A flag --set-advertisement-groups=ALL_SUBNETS só é válida quando a flag --advertisement-mode=CUSTOM está definida. Quando essa flag e esse valor são especificados, as divulgações no nível do roteador incluem intervalos de sub-rede local de acordo com o modo de roteamento dinâmico da rede VPC.

Para mais informações, consulte Anúncio de intervalo de sub-rede.

Inclua a flag --encrypted-interconnect-router somente se o Cloud Router gerenciar sessões do BGP para VPN de alta disponibilidade pelo Cloud Interconnect.

  • Para criar um Cloud Router associado a uma região de uma rede VPC, use o seguinte comando:

    gcloud compute routers create ROUTER_NAME \
    --project=PROJECT_ID \
    --network=NETWORK \
    --region=REGION\
    --asn=ASN_NUMBER \
    [--advertisement-mode=ADVERTISEMENT_MODE] \
    [--set-advertisement-groups=ALL_SUBNETS] \
    [--set-advertisement-ranges=CUSTOM_ADVERTISED_RANGES] \
    [--bgp-identifier-range=ROUTER_IDENTIFIER_RANGE] \
    [--keepalive-interval=KEEPALIVE_TIMER] \
    [--encrypted-interconnect-router]

    Substitua:

    • ROUTER_NAME: o nome do Cloud Router

    • PROJECT_ID: o ID do projeto que contém o Cloud Router

    • NETWORK: a rede VPC que contém o Cloud Router

    • REGION: a região que contém o Cloud Router

    • ASN_NUMBER: qualquer ASN particular (64512-65534, 4200000000-4294967294) que você ainda não esteja usando na rede local.

      O Cloud Router exige que você use um ASN privado, mas o ASN local pode ser público ou privado.

    • ADVERTISEMENT_MODE: especifica o modo de anúncio no nível do roteador.

      Os valores válidos são CUSTOM ou DEFAULT. Se você omitir a flag --advertisement-mode, Trusted Cloud usará o modo de divulgação DEFAULT no nível do roteador. Para informações sobre o significado do modo de divulgação no nível do roteador e o efeito dele nas divulgações de sessões individuais do BGP, consulte Modos de divulgação e Divulgações efetivas.

    • CUSTOM_ADVERTISED_RANGES: válido apenas quando --advertisement-mode=CUSTOM, uma lista opcional de intervalos de endereços IP personalizados no formato CIDR ou endereços IP individuais a serem incluídos nos anúncios no nível do roteador.

      Endereços IPv4 individuais são interpretados como um CIDR com uma máscara de sub-rede /32, e endereços IPv6 individuais são interpretados como um CIDR com uma máscara de sub-rede /128. Para informações sobre o número máximo de divulgações de rota personalizadas, consulte Limites.

    • ROUTER_IDENTIFIER_RANGE: um intervalo de endereços IPv4 opcional que serve como um identificador exclusivo para o Cloud Router

      Para mais informações, consulte Configurar o intervalo do identificador do BGP.

    • KEEPALIVE_TIMER: um tempo opcional, em segundos, que define o timer de sinal de atividade do BGP.

      Os valores válidos estão entre 20 e 60, incluindo esses dois valores. Se você omitir a flag --keepalive-interval, o Cloud Router usará um temporizador de manutenção de atividade do BGP de 20 segundos. Para mais informações, consulte Timer de sinal de atividade.

  • Para criar um Cloud Router associado a um spoke de gateway do NCC, use o seguinte comando.

    Use a flag --advertisement-mode=CUSTOM para definir o modo de divulgação no nível do roteador como CUSTOM e especificar divulgações de rota personalizadas no nível do roteador.

    Para informações sobre o efeito do modo de divulgação no nível do roteador em divulgações de sessões individuais do BGP, consulte Divulgações efetivas.

    gcloud compute routers create ROUTER_NAME \
    --project=PROJECT_ID \
    --ncc-gateway=NCC_GATEWAY_URI \
    --region=REGION\
    --asn=ASN_NUMBER \
    --advertisement-mode=CUSTOM \
    --set-advertisement-ranges=CUSTOM_ADVERTISED_RANGES \
    [--bgp-identifier-range=ROUTER_IDENTIFIER_RANGE] \
    [--keepalive-interval=KEEPALIVE_TIMER] \

    Substitua:

    • ROUTER_NAME: o nome do Cloud Router

    • PROJECT_ID: o ID do projeto que contém o Cloud Router

    • NCC_GATEWAY_URI: o URI completo do gateway do NCC associado ao roteador. O formato do URI segue este padrão: https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/GATEWAY_SPOKE_NAME

    • REGION: a região que contém o Cloud Router

    • ASN_NUMBER: qualquer ASN particular (64512-65534, 4200000000-4294967294) que você ainda não esteja usando na rede local.

      O Cloud Router exige que você use um ASN privado, mas o ASN local pode ser público ou privado.

    • --advertisement-mode=CUSTOM: define o modo de divulgação no nível do roteador como CUSTOM para que você possa especificar divulgações de rota personalizadas no nível do roteador.

      Para informações sobre o efeito do modo de divulgação no nível do roteador em divulgações de sessões individuais do BGP, consulte Divulgações efetivas.

    • CUSTOM_ADVERTISED_RANGES: a lista de intervalos de endereços IP personalizados no formato CIDR ou endereços IP individuais a serem incluídos nos anúncios no nível do roteador

      Endereços IPv4 individuais são interpretados como um CIDR com uma máscara de sub-rede /32, e endereços IPv6 individuais são interpretados como um CIDR com uma máscara de sub-rede /128. Para informações sobre o número máximo de anúncios de rota personalizados, consulte Limites.

    • ROUTER_IDENTIFIER_RANGE: um intervalo de endereços IPv4 opcional que serve como um identificador exclusivo para o Cloud Router.

      Para mais informações, consulte Configurar o intervalo do identificador do BGP.

    • KEEPALIVE_TIMER: um tempo opcional, em segundos, que define o timer de sinal de atividade do BGP.

      Os valores válidos estão entre 20 e 60, incluindo esses dois valores. Se você omitir a flag --keepalive-interval, o Cloud Router usará um temporizador de manutenção ativa do BGP de 20 segundos. Para mais informações, consulte Timer de sinal de atividade.

Terraform

Use o móduloTrusted Cloud do Terraform para o Cloud Router.

module "cloud_router" {
  source  = "terraform-google-modules/cloud-router/google"
  version = "~> 7.0"

  name   = "my-router"
  region = "us-central1"

  bgp = {
    # The ASN (16550, 64512 - 65534, 4200000000 - 4294967294) can be any private ASN
    # not already used as a peer ASN in the same region and network or 16550 for Partner Interconnect.
    asn = "65001"
  }

  project = var.project_id
  network = module.vpc.network_name
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

O método routers.insert cria um novo Cloud Router. Um Cloud Router é associado a uma rede VPC ou a um raio do gateway do NCC. Depois de criado, não é possível mudar a região, a rede VPC associada ou o spoke do gateway do NCC associado.

A flag "advertisedGroups": [ALL_SUBNETS] é válida apenas quando bgp.advertiseMode: CUSTOM. Quando bgp.advertisedGroups: [ALL_SUBNETS], as divulgações no nível do roteador incluem intervalos de sub-rede local de acordo com o modo de roteamento dinâmico da rede VPC. Para mais informações, consulte Anúncio de intervalo de sub-rede.

A flag encryptedInterconnectRouter é um parâmetro booleano para indicar se o Cloud Router gerencia sessões do BGP para VPN de alta disponibilidade pelo Cloud Interconnect.

  • Para criar um Cloud Router associado a uma região de uma rede VPC, use a seguinte solicitação:

         POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
     {
       "name": "ROUTER_NAME",
       "network": "NETWORK",
       "encryptedInterconnectRouter": True|False,
       "bgp": {
         "asn": "ASN_NUMBER",
         "advertiseMode": "ADVERTISEMENT_MODE",
         "advertisedGroups": [ALL_SUBNETS],
         "advertisedIpRanges": [
            {
               "range": CUSTOM_ADVERTISED_RANGE,
               "description": CUSTOM_ADVERTISED_RANGE_DESCRIPTION
            }, ...
         ],
         "identifierRange": ROUTER_IDENTIFIER_RANGE,
         "keepaliveInterval": KEEPALIVE_TIMER
       }
     }

    Substitua:

    • ROUTER_NAME: o nome do Cloud Router

    • PROJECT_ID: o ID do projeto que contém o Cloud Router

    • NETWORK: a rede VPC que contém o Cloud Router

    • REGION: a região que contém o Cloud Router

    • ASN_NUMBER: qualquer ASN particular (64512-65534, 4200000000-4294967294) que você ainda não esteja usando na rede local.

      O Cloud Router exige que você use um ASN privado, mas o ASN local pode ser público ou privado.

    • ADVERTISEMENT_MODE: especifica o modo de anúncio no nível do roteador.

      Os valores válidos são CUSTOM ou DEFAULT. Se você omitir bgp.advertiseMode, Trusted Cloud usará o modo de divulgação DEFAULT no nível do roteador. Para informações sobre o significado do modo de divulgação no nível do roteador e o efeito dele nas divulgações de sessões individuais do BGP, consulte Modos de divulgação e Divulgações efetivas.

    • CUSTOM_ADVERTISED_RANGE e CUSTOM_ADVERTISED_RANGE_DESCRIPTION: chaves em um dicionário que especificam uma divulgação de rota personalizada no nível do roteador

      bgp.advertisedIpRanges é a lista que contém cada dicionário de anúncio de rota personalizada. Especificar bgp.advertisedIpRanges requer bgp.advertiseMode: CUSTOM. Cada CUSTOM_ADVERTISED_RANGE é um intervalo de endereços IP no formato CIDR ou um endereço IP individual. Endereços IPv4 individuais são interpretados como um CIDR com uma máscara de sub-rede /32, e endereços IPv6 individuais são interpretados como um CIDR com uma máscara de sub-rede /128. Para informações sobre o número máximo de anúncios de rota personalizados, consulte Limites. Cada CUSTOM_ADVERTISED_RANGE_DESCRIPTION é uma string para descrever o anúncio.

    • ROUTER_IDENTIFIER_RANGE: define um intervalo de endereços IPv4 que serve como um identificador exclusivo para o Cloud Router.

      Para mais informações, consulte Configurar o intervalo do identificador do BGP.

    • KEEPALIVE_TIMER: um tempo opcional, em segundos, que define o timer de sinal de atividade do BGP.

      Os valores válidos estão entre 20 e 60, incluindo esses dois valores. Se você omitir bgp.keepaliveInterval, o Cloud Router usará um temporizador de sinal de atividade do BGP de 20 segundos. Para mais informações, consulte Timer de sinal de atividade.

    • encryptedInterconnectRouter: um parâmetro booleano para indicar se o Cloud Router gerencia sessões do BGP para VPN de alta disponibilidade no Cloud Interconnect

  • Para criar um Cloud Router associado a um spoke de gateway do NCC, use a seguinte solicitação.

    A flag bgp.advertiseMode: CUSTOM define o modo de divulgação no nível do roteador como CUSTOM para que você possa especificar divulgações de rota personalizadas no nível do roteador. Para informações sobre o efeito do modo de divulgação no nível do roteador em divulgações de sessões individuais do BGP, consulte Divulgações efetivas.

         POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
     {
       "name": "ROUTER_NAME",
       "ncc_gateway": "NCC_GATEWAY_URI",
       "bgp": {
         "asn": "ASN_NUMBER",
         "advertiseMode": CUSTOM,
         "advertisedIpRanges": [
            {
               "range": CUSTOM_ADVERTISED_RANGE,
               "description": CUSTOM_ADVERTISED_RANGE_DESCRIPTION
            }, ...
         ],
         "identifierRange": ROUTER_IDENTIFIER_RANGE,
         "keepaliveInterval": KEEPALIVE_TIMER
       }
     }

    Substitua:

    • ROUTER_NAME: o nome do Cloud Router

    • PROJECT_ID: o ID do projeto que contém o Cloud Router

    • NCC_GATEWAY_URI: o URI completo do gateway do NCC associado ao roteador. O formato do URI segue este padrão: https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/GATEWAY_SPOKE_NAME

    • REGION: a região que contém o Cloud Router

    • ASN_NUMBER: qualquer ASN particular (64512-65534, 4200000000-4294967294) que você ainda não esteja usando na rede local.

      O Cloud Router exige que você use um ASN privado, mas o ASN local pode ser público ou privado.

    • CUSTOM_ADVERTISED_RANGE e CUSTOM_ADVERTISED_RANGE_DESCRIPTION: chaves em um dicionário que especificam uma divulgação de rota personalizada no nível do roteador

      bgp.advertisedIpRanges é a lista que contém cada dicionário de anúncio de rota personalizada. Especificar bgp.advertisedIpRanges requer bgp.advertiseMode: CUSTOM. Cada CUSTOM_ADVERTISED_RANGE é um intervalo de endereços IP no formato CIDR ou um endereço IP individual. Endereços IPv4 individuais são interpretados como um CIDR com uma máscara de sub-rede /32, e endereços IPv6 individuais são interpretados como um CIDR com uma máscara de sub-rede /128. Para informações sobre o número máximo de divulgações de rota personalizadas, consulte Limites. Cada CUSTOM_ADVERTISED_RANGE_DESCRIPTION é uma string para descrever o anúncio.

    • ROUTER_IDENTIFIER_RANGE: define um intervalo de endereços IPv4 que serve como um identificador exclusivo para o Cloud Router.

      Para mais informações, consulte Configurar o intervalo do identificador do BGP.

    • KEEPALIVE_TIMER: um tempo opcional, em segundos, que define o timer de sinal de atividade do BGP.

      Os valores válidos estão entre 20 e 60, incluindo esses dois valores. Se você omitir bgp.keepaliveInterval, o Cloud Router usará um temporizador de sinal de atividade do BGP de 20 segundos. Para mais informações, consulte Timer de sinal de atividade.

Configurar o produto de conectividade de rede

Um Cloud Router associado a uma região de uma rede VPC pode gerenciar sessões do BGP para os seguintes produtos de conectividade:

Um Cloud Router associado a um spoke do gateway do NCC pode gerenciar sessões do BGP para anexos da VLAN associados ao spoke do gateway do NCC.

Cloud Interconnect

Para conectar uma rede VPC a uma rede no local usando o Cloud Interconnect e o Cloud Router, primeiro é necessário provisionar uma conexão de interconexão.

O Cloud Router e as sessões do BGP são configuradas quando os anexos da VLAN para a Cloud Interconnect são criados. Consulte Criar anexos da VLAN para a Interconexão dedicada e Criar anexos da VLAN para a Interconexão por parceiro.

Se você estiver implantando a VPN de alta disponibilidade pelo Cloud Interconnect, é necessário implantar dois Cloud Routers:

  • Um Cloud Router especial para o Cloud Interconnect configurado para os anexos da VLAN. Esse Cloud Router garante que apenas o tráfego criptografado pelos gateways da VPN de alta disponibilidade possa ser enviado para o anexo da VLAN.

  • Um Cloud Router normal que você configura para túneis de VPN de alta disponibilidade.

Cloud VPN

Para conectar uma rede VPC a uma rede no local ou a várias nuvens usando a VPN de alta disponibilidade e o Cloud Router, consulte Como criar um gateway de VPN de alta disponibilidade para um gateway de VPN de peering.

Para conectar uma rede VPC a outra rede VPC usando a VPN de alta disponibilidade e o Cloud Router, consulte Como criar uma VPN de alta disponibilidade entre redes Trusted Cloud .

O Cloud Router e as sessões do BGP são configurados quando os túneis de VPN de alta disponibilidade para a rede de peering são criados.

Dispositivos de roteador

Para conectar uma rede VPC a uma de peering usando dispositivos roteadores em um spoke híbrido do Network Connectivity Center, consulte Criar instâncias do dispositivo roteador.

Spokes de gateway do NCC

Para configurar anexos da VLAN em um spoke de gateway do NCC, consulte Adicionar conexões híbridas ao gateway do NCC.

Criar sessões do BGP

Ao configurar um produto de conectividade de rede com o Cloud Router, são estabelecidas sessões do protocolo de gateway de borda (BGP) entre o Cloud Router e o roteador na rede de peering.

É possível reutilizar o mesmo Cloud Router com diferentes produtos de conectividade de rede. No entanto, cada sessão do BGP é exclusiva do produto de conectividade de rede (anexo da VLAN, túnel do Cloud VPN ou instância do dispositivo roteador) configurados para uso com o Cloud Router. Produtos de conectividade de rede diferentes não podem usar a mesma sessão do BGP. Às vezes, pode ser necessário configurar várias sessões do BGP para que um produto de conectividade de rede tenha redundância suficiente. Por exemplo, várias sessões do BGP são configuradas quando o Cloud Router com VPN de alta disponibilidade é utilizado.

Para criar sessões do BGP entre o Cloud Router e o roteador na rede de peering, consulte Como criar sessões do BGP.

A seguir