Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Esta página foi traduzida pela API Cloud Translation.

Criar uma sub-rede híbrida

As sub-redes híbridas ajudam a migrar cargas de trabalho de outra rede (a rede de origem) para uma sub-rede de nuvem privada virtual (VPC) sem precisar mudar os endereços IP. Neste documento, descrevemos as etapas para criar uma sub-rede híbrida, migrar cargas de trabalho para a parte Cloud de Confiance by S3NS de uma sub-rede híbrida e testar a conectividade em uma sub-rede híbrida.

Antes de começar

Verifique se você concluiu as etapas em Preparar-se para a conectividade de Hybrid Subnets.
Para usar os exemplos de linha de comando neste guia, instale ou atualize para a versão mais recente da Google Cloud CLI.
Ative a API Compute Engine no projeto Cloud de Confiance . Para mais informações, consulte a API Compute Engine.
Ative a API Network Connectivity no seu projeto Cloud de Confiance . Para mais informações, consulte a API Network Connectivity.

Funções exigidas

Para receber as permissões necessárias para criar uma sub-rede híbrida, peça ao administrador para conceder a você o papel do IAM de Administrador de rede do Compute (roles/compute.networkAdmin) no seu projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Configurar o roteamento de sub-rede híbrida

Para criar uma sub-rede híbrida, é necessário ter uma sub-rede VPC com o roteamento de sub-rede híbrida ativado. É possível criar a sub-rede usando o console do Cloud de Confiance . Se você estiver usando a CLI gcloud ou a API, primeiro crie uma sub-rede e depois ative o roteamento híbrido de sub-rede.

Crie uma nova sub-rede com o roteamento de sub-rede híbrida ativado

Console

No console do Cloud de Confiance , acesse a página Redes VPC.

Acessar redes VPC
Clique no nome da rede VPC em que você quer criar uma sub-rede híbrida.
Clique na guia Sub-redes.
Clique em Adicionar sub-rede. No painel que aparecerá, faça o seguinte:
1. Forneça um Nome.
2. Selecione uma Região.
3. Na seção Finalidade, selecione Nenhuma.
4. Na seção Tipo de pilha, selecione IPv4 (pilha única).
5. No campo Intervalo IPv4, insira o intervalo de endereços IPv4 do segmento da rede de origem que você quer usar para a sub-rede híbrida.
6. Na seção Acesso privado do Google, selecione Desativado.
7. Na seção Sub-rede híbrida, selecione Ativado.
8. Clique em Adicionar.

Ativar o roteamento de sub-rede híbrida para uma sub-rede atual

É possível ativar o roteamento de sub-rede híbrida para uma sub-rede atual em que o intervalo de endereços IPv4 principal corresponda ao intervalo do segmento da rede de origem que você quer usar para a sub-rede híbrida.

Para ativar o roteamento de sub-rede híbrida em uma sub-rede atual, ative a sobreposição de rotas CIDR para essa sub-rede. Isso modifica o comportamento do roteamento de rede VPC para permitir a sobreposição entre o intervalo de endereços IP da sub-rede e os de rotas dinâmicas personalizadas.

Para mais informações sobre a sobreposição de rotas CIDR, consulte o campo allowSubnetCidrRoutesOverlap na referência da API Compute Engine.

Console

No console do Cloud de Confiance , acesse a página Redes VPC.

Acessar redes VPC
Clique no nome da rede VPC que contém a sub-rede a ser atualizada.
Clique na guia Sub-redes.
Clique na sub-rede que você quer atualizar.
Clique em Editar.
Na seção Sub-rede híbrida, selecione Ativado.
Clique em Salvar.

gcloud

Use o comando gcloud beta compute networks subnets update.

gcloud beta compute networks subnets update SUBNET \
    --region=REGION \
    --allow-cidr-routes-overlap

Substitua:

SUBNET: o nome da sub-rede.
REGION: a região da sub-rede.

API

Encontre o ID fingerprint da sua sub-rede.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

PROJECT_ID: ID do projeto
REGION: a região da sua sub-rede
SUBNET_NAME: o nome da sub-rede

Método HTTP e URL:

GET https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você tenha feito login na CLI do gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você tenha feito login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "kind": "compute#subnetwork",
  "id": "5514771331600183201",
  "creationTimestamp": "2022-09-16T12:41:02.010-07:00",
  "name": "subnet-name",
  "network": "https://www.googleapis.com/compute/v1/projects/project-name/global/networks/network-name",
  "ipCidrRange": "10.6.0.0/16",
  "gatewayAddress": "10.6.0.1",
  "region": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1/subnetworks/subnet-name",
  "privateIpGoogleAccess": true,
  "fingerprint": "YiItidAFRsA5",
  "allowSubnetCidrRoutesOverlap": false,
  "enableFlowLogs": true,
  "privateIpv6GoogleAccess": "DISABLE_GOOGLE_ACCESS",
  "purpose": "PRIVATE",
  "stackType": "IPV4_ONLY"
}

Ative o roteamento de sub-rede híbrido.

Antes de usar os dados da solicitação, substitua SUBNET_FINGERPRINT pelo ID da impressão digital da sub-rede que você encontrou na solicitação anterior, por exemplo, YiItidAFRsA5.

Método HTTP e URL:

PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

Corpo JSON da solicitação:

{
  "allowSubnetCidrRoutesOverlap": true,
  "fingerprint": "SUBNET_FINGERPRINT"
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "kind": "compute#operation",
  "id": "5973660558170953708",
  "name": "operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "operationType": "compute.subnetworks.patch",
  "targetLink": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1/subnetworks/subnet-name",
  "targetId": "5514771331600183201",
  "status": "RUNNING",
  "user": "user@gmail.com",
  "progress": 0,
  "insertTime": "2023-03-31T11:40:03.882-07:00",
  "startTime": "2023-03-31T11:40:03.893-07:00",
  "selfLink": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1/operations/operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "region": "https://www.googleapis.com/compute/beta/projects/test-project/regions/us-central1"
}

Para verificar se allowSubnetCidrRoutesOverlap está ativado na sua sub-rede, faça outra solicitação GET e verifique se a resposta inclui o seguinte:
- "allowSubnetCidrRoutesOverlap": true

Testar a conectividade da rede de origem na sua rede VPC

Para testar a conectividade entre a sub-rede híbrida e o intervalo de endereços IP sobreposto da rede de origem, faça o seguinte:

Crie uma VM de teste na sub-rede híbrida da rede VPC.
Anote o endereço IPv4 interno principal da VM de teste.
Atualizar o modo de divulgação personalizado do BGP do Cloud Router sessão para incluir um /32 personalizado anunciado trajeto para o o endereço IPv4 interno principal da VM de teste.
Use o SSH para se conectar à VM.
No prompt do sistema operacional, use o comando ping para testar a conectividade com um sistema na parte da rede de origem da sua sub-rede híbrida.

Se o teste de ping falhar, verifique se a configuração de firewall na origem e nas partes da rede VPC da sub-rede híbrida permite ICMP nos intervalos de endereços IP da sub-rede híbrida.

Mover cargas de trabalho e atualizar o roteamento

Sempre que você migrar uma carga de trabalho ou um grupo de cargas de trabalho, siga estas etapas.

Migrar cargas de trabalho

Migre cargas de trabalho e VMs da rede de origem para a rede VPC usando o método que preferir. Para migrar VMs para o Compute Engine, recomendamos usar Migrate to Virtual Machines.

Para informações sobre opções de migração, consulte Hybrid Subnets e Migrate to Virtual Machines.

Atualizar rota divulgada personalizada

Ao migrar VMs para Cloud de Confiance, atualize as rotas divulgadas personalizadas da sessão do BGP do Cloud Router para incluir o endereço IPv4 interno principal de cada VM migrada.

Adicione endereços IP individuais usando uma rota /32 personalizada anunciada. Para blocos de endereços IP contíguos, consolide os endereços no menor número possível de anúncios personalizados. As divulgações precisam permanecer mais específicas (ter máscaras de sub-rede mais longas) do que o intervalo de endereços IP da sub-rede híbrida.

Testar a conectividade com uma VM migrada da rede de origem

Para testar a conectividade com uma VM que você migrou para Cloud de Confiance, faça o seguinte:

Verifique se você atualizou as divulgações de rota personalizadas para as sessões do BGP que gerenciam a conectividade híbrida. As divulgações de rota precisam incluir o endereço IPv4 interno principal da VM migrada.
Use o comando ping para testar a conectividade de um sistema na rede de origem com o endereço IP da VM migrada.

A seguir

Desativar uma sub-rede híbrida.