Existem várias formas de ligar clusters do Google Distributed Cloud, executados no seu centro de dados no local, à rede. Google CloudAs possibilidades incluem:
- Ligação à Internet normal
- HA VPN
- Interligação de parceiro
- Interligação dedicada
Ligação à Internet normal
Em determinados cenários, pode usar a Internet como a ligação entre a Google e o seu centro de dados no local. Por exemplo:
A sua implementação do Google Distributed Cloud é autónoma nas suas instalações e os componentes no local comunicam raramente com a rede Google Cloud. Usa a ligação principalmente para a gestão de clusters. A velocidade, a fiabilidade e a segurança da ligação não são críticas.
O cluster no local é autónomo, exceto no que diz respeito ao acesso a um serviço Google, como o Cloud SQL. O tráfego entre o cluster no local e o serviço Google usa endereços IP públicos. Configura regras de firewall para fornecer segurança.
HA VPN
Com a VPN de HA e o router na nuvem, o tráfego entre a Google e o seu centro de dados no local atravessa a Internet pública, mas é encriptado. Os componentes no local podem comunicar com os componentes na nuvem através de endereços IP privados. O Cloud Router troca dinamicamente rotas entre as suas redes do Google Cloud e a sua rede nas instalações. O encaminhamento dinâmico é especialmente vantajoso à medida que a sua rede se expande e altera, porque garante que o estado de encaminhamento correto é propagado para o seu centro de dados no local.
Interligação de parceiro
O Partner Interconnect oferece conetividade entre a sua rede no local e a rede Google Cloud através de um fornecedor de serviços suportado. O tráfego entre a Google e o seu centro de dados no local não atravessa a Internet pública. Os componentes nas instalações podem comunicar com os componentes na nuvem através de endereços IP privados. A sua ligação ao Google é rápida, segura e fiável.
Interligação dedicada
O Dedicated Interconnect oferece uma ligação física direta entre a sua rede no local e a Google Cloud rede. Este tipo de ligação pode ser rentável se precisar de uma largura de banda elevada. O tráfego entre a Google e o seu centro de dados no local não atravessa a Internet pública. Os componentes no local podem comunicar com os componentes na nuvem através de endereços IP privados. A sua ligação à Google é segura e fiável, e é ainda mais rápida do que uma ligação através da Partner Interconnect.
Impacto de uma desativação temporária
Para informações sobre o que acontece se a ligação for interrompida, consulte o artigo Impacto da interrupção temporária da ligação ao Google Cloud.
Escolher um tipo de ligação
Para obter orientações adicionais sobre a escolha de um tipo de associação, consulte:
Monitorização da rede
Independentemente da forma como estabelece uma ligação fundamental à Google, pode beneficiar das estatísticas fornecidas pelo registo e pela monitorização de rede. Para mais informações, consulte Registo e monitorização para o Google Distributed Cloud.
Melhorar a sua ligação fundamental
Depois de estabelecer a ligação fundamental, pode adicionar funcionalidades que melhoram o acesso, a segurança e a visibilidade. Por exemplo, pode ativar o acesso privado à Google ou a opção Associar.
O resto das orientações neste tópico pressupõe que está a usar uma das seguintes opções para a sua ligação fundamental à Google:
Acesso privado do Google
O acesso privado à Google permite que as VMs que têm apenas endereços IP privados alcancem os endereços IP das APIs Google e dos serviços. Este cenário inclui o caso em que os nós do cluster do Google Distributed Cloud têm apenas endereços IP privados. Ativa o acesso privado à Google ao nível da sub-rede.
Com o acesso privado à Google, os pedidos do seu centro de dados no local aos serviços Google atravessam a sua ligação Cloud Interconnect ou Cloud VPN em vez de atravessarem a Internet pública.
Use o acesso privado à Google nestas situações:
As suas VMs no local sem endereços IP públicos têm de se ligar a serviços Google, como o BigQuery, o Pub/Sub ou o Container Registry.
Quer estabelecer ligação aos serviços Google sem atravessar a Internet pública.
Para ver uma lista de serviços que suportam o acesso privado da Google a partir de VMs no local, consulte os Serviços suportados. Para informações sobre a utilização do acesso privado à Google a partir de VMs no local, consulte o artigo Configurar o acesso privado à Google para anfitriões no local.
Serviços que não requerem o acesso privado da Google
Por vezes, não precisa do acesso privado à Google para aceder a um serviço a partir de uma VM que tenha apenas um endereço IP privado. Por exemplo:
Cria uma instância do Cloud SQL com um endereço IP público e um endereço IP privado. Em seguida, os seus componentes no local podem aceder à instância do Cloud SQL através do respetivo endereço IP privado. Neste caso, não precisa do acesso privado à Google, porque não precisa de alcançar o endereço IP público de um serviço Google. Esta abordagem só funciona se o Cloud Router anunciar o endereço IP privado da instância do Cloud SQL à sua rede no local.
Tem um cluster do Google Distributed Cloud em Google Cloude os nós do cluster têm endereços IP privados. Os seus componentes no local podem aceder a um serviço NodePort ou a um serviço de balanceador de carga interno na nuvem do cluster do Google Distributed Cloud.
VPC Service Controls
Se quiser proteção adicional contra a exfiltração, pode usar os VPC Service Controls. Com os VPC Service Controls, pode configurar perímetros de segurança em torno dos recursos dos seus serviços geridos pela Google e controlar a movimentação de dados no limite do perímetro.
Se usar os VPC Service Controls, pode ver erros quando executar alguns comandos gkectl, como "Validation Category: GCP - [UNKNOWN] GCP
service: [Stackdriver] could not get GCP services". Para evitar estes erros, adicione o parâmetro --skip-validation-gcp aos seus comandos.
Ligar
A opção Associar permite-lhe ver e gerir os seus clusters de utilizadores no local a partir da Google Cloud consola.