Propor um spoke VPC em um projeto diferente

Ao criar um spoke, é necessário associá-lo a um hub. Se o spoke estiver em um projeto diferente do hub, o administrador do hub precisará aprovar seu spoke proposto antes que ele possa ficar ativo. Para criar um spoke VPC que você quer conectar a um hub em um projeto diferente, siga estas etapas.

Para informações sobre como trabalhar com spokes, incluindo criar, listar, atualizar e excluir spokes, consulte Trabalhar com spokes.

Antes de começar

Antes de começar, leia as seções a seguir.

Crie ou selecione um projeto.

Para facilitar a configuração do Network Connectivity Center, identifique um projeto válido.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

Para inicializar a gcloud CLI, execute o seguinte comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

Para inicializar a gcloud CLI, execute o seguinte comando:

gcloud init

1. Se você estiver usando a Google Cloud CLI, defina o ID do projeto usando o comando gcloud config set.

   gcloud config set project PROJECT_ID

   Substitua PROJECT_ID pelo ID exclusivo do seu projeto.

   As instruções da CLI gcloud nesta página presumem que você tenha definido o ID do projeto.

2. Para confirmar se você definiu o ID do projeto corretamente, use o comando gcloud config list.

   gcloud config list --format='text(core.project)'

Ativar a API Network Connectivity

Antes de executar qualquer tarefa do Network Connectivity Center, é necessário ativar a API Network Connectivity.

Console

Para ativar a API Network Connectivity:

1. No console Google Cloud , acesse a página Network Connectivity Center.

   Acessar o Network Connectivity Center

2. Clique em Ativar.

Como alternativa, é possível ativar a API usando a biblioteca de APIs do console doGoogle Cloud , conforme descrito em Como ativar APIs.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as seguintes permissões ou papéis do IAM.

Permissões

• compute.networks.use na rede apropriada, dependendo do tipo de spoke:
  • Para spokes de VPC: na rede VPC que está sendo adicionada a um spoke
  • Para spokes de VPC do produtor: na rede VPC do consumidor com peering
• networkconnectivity.groups.use no hub ao qual o spoke está sendo associado
• networkconnectivity.spokes.create no projeto adequado, dependendo do tipo de hub:
  • Para spokes de VPC: no projeto em que a rede VPC está localizada
  • Para spokes de VPC do produtor: no projeto em que a rede VPC do consumidor com peering está localizada
• networkconnectivity.spokes.use somente para spokes de VPC produtora. Você precisa ter essa permissão no spoke de VPC consumidora com peering.

Papéis

• Administrador de rede do Compute (roles/compute.networkAdmin) na rede apropriada, dependendo do tipo de spoke:
  • Para spokes de VPC: a rede VPC que está sendo adicionada a um spoke
  • Para spokes de VPC do produtor: a rede VPC do consumidor pareada
• Usuário do grupo (roles/networkconnectivity.groupUser) no hub ao qual o spoke está sendo associado
• Administrador do Spoke (roles/networkconnectivity.spokeAdmin) no projeto adequado, dependendo do tipo de spoke:
  • Para spokes de VPC: no projeto em que a rede VPC está localizada
  • Para spokes de VPC do produtor: no projeto em que a rede VPC do consumidor com peering está localizada

Propor um spoke

Para criar um spoke VPC no mesmo projeto que o hub ou em um projeto diferente, siga estas etapas.

Se você quiser atribuir excluir intervalos de exportação ou incluir intervalos de exportação, use as opções apropriadas durante a criação do spoke.

Console

1. No console Google Cloud , acesse a página Network Connectivity Center.

   Acessar o Network Connectivity Center

2. No menu do projeto, selecione um projeto em que você quer criar o spoke.

3. Clique na guia Spokes.

4. Clique em Add spokes.

5. Na seção Selecionar hub, para anexar o novo spoke a um hub em outro projeto, selecione o local do hub como Em outro projeto.

6. Digite o código do projeto e o nome do hub a que você quer anexar o novo spoke.

7. Insira um Nome de spoke e, opcionalmente, uma Descrição.

8. Se o hub a que você está se conectando estiver configurado para topologia em estrela, selecione ou insira o nome do Grupo de spoke para seu spoke. Para informações sobre topologia em estrela, consulte Topologia em estrela. Para mais informações sobre grupos de spoke, consulte Grupos de spoke.

9. Em Tipo de spoke, as seguintes opções estão disponíveis:

   • Para um hub em um projeto diferente, o tipo Spoke padrão é a VPC spoke.
   • Para um hub no mesmo projeto, os tipos de spoke permitidos são determinados por tipos de spoke pré-existentes.
   • Se não houver spokes, você poderá selecionar qualquer tipo de spoke, mesmo que a opção pré-selecionada seja o túnel do Cloud VPN.

10. Para adicionar uma rede VPC ao spoke, selecione a rede VPC na lista.

11. Opcional: no campo Filtro de spoke VPC, adicione um filtro para personalizar como as rotas são anunciadas. Basta especificar intervalos de endereços IP para excluir ou incluir a exportação do spoke para o hub. É possível configurar o spoke para exportar apenas intervalos de sub-rede que usam endereços IPv4 particulares, apenas intervalos de sub-rede IPv6 (internos e externos) ou ambos os intervalos de sub-rede que usam endereços IPv4 particulares e intervalos de sub-rede IPv6 internos e externos.

    1. Intervalos IPv4: configure a exportação de intervalos de sub-rede IPv4.

       • Incluir a exportação de intervalos de sub-redes IPv4 do spoke para o hub: por padrão, essa caixa de seleção fica marcada, e todos os intervalos de sub-rede que usam endereços IPv4 particulares são exportados.

         Se você não quiser exportar intervalos de sub-rede IPv4, desmarque essa caixa de seleção.

         Se você quiser exportar apenas intervalos de sub-rede IPv4 específicos, selecione Especificar intervalos IPv4 e insira os intervalos de endereços que você quer exportar. Os intervalos de sub-rede IPv4 especificados precisam ser intervalos de endereços IPv4 particulares, exceto endereços IPv4 públicos usados de modo privado. Para mais informações, consulte Intervalos IPv4 válidos.

       • Excluir exportação de intervalos de sub-redes do spoke para o hub: se o spoke exportar todos os intervalos de sub-redes que usam endereços IPv4 particulares e você quiser excluir intervalos específicos da exportação, insira esses intervalos neste campo.

    2. Intervalos IPv6: configure a exportação de intervalos de sub-redes IPv6.

       • Incluir a exportação de todos os intervalos de sub-rede IPv6 do spoke para o hub: para exportar todos os intervalos de sub-rede IPv6 internos e externos para o hub, marque a caixa de seleção.

12. Clique em Concluído.

13. Se quiser adicionar mais spokes, clique em Adicionar spoke e comece o processo novamente, primeiramente inserindo um Nome do spoke.

14. Quando terminar de adicionar spokes, clique em Criar. A página Network Connectivity Center é atualizada para exibir detalhes dos spokes que você criou.

    O status do spoke permanece Inactive até que o administrador do hub revise e aceite seu spoke proposto.

gcloud

Para criar um spoke VPC, use o comando gcloud network-connectivity spokes linked-vpc-network create.

gcloud network-connectivity spokes linked-vpc-network create SPOKE_NAME \
    --hub=HUB_URI \
    --global \
    --vpc-network=VPC_NETWORK \
    --include-export-ranges=[INCLUDE_EXPORT_RANGES] \
    --exclude-export-ranges=[EXCLUDE_EXPORT_RANGES] \
    --group=GROUP_NAME

Substitua:

• SPOKE_NAME: um nome para o spoke que você está criando.
• HUB_URI: o URI de um hub em um projeto diferente em que você quer criar o spoke.
• VPC_NETWORK: a rede VPC à qual este spoke fornece conectividade. A rede VPC precisa estar no mesmo projeto que o spoke.

• INCLUDE_EXPORT_RANGES: uma lista separada por vírgulas de palavras-chave, CIDRs ou uma combinação de palavras-chave e CIDRs que definem quais intervalos de endereços IP de sub-rede podem ser exportados para o hub.

  • A palavra-chave ALL_PRIVATE_IPV4_RANGES adiciona todos os intervalos de sub-rede que usam endereços IPv4 particulares à lista de intervalos de exportação de inclusão.

  • A palavra-chave ALL_IPV6_RANGES adiciona todos os intervalos de sub-rede IPv6 à lista de intervalos de exportação incluídos.

  • A lista de intervalos de exportação incluídos aceita até 16 intervalos CIDR IPv4 ou IPv6 exclusivos e não sobrepostos. Nenhum CIDR na lista pode corresponder ou conter outro CIDR na lista. Todo intervalo de sub-rede atual e futuro na rede VPC spoke que se sobrepõe a um CIDR na lista de intervalos de exportação incluídos precisa atender a uma das seguintes condições:

    • Corresponde exatamente a um CIDR na lista de intervalos de exportação incluídos.

    • Se encaixam em um CIDR na lista de intervalos de exportação incluídos. Nessa situação, um intervalo de sub-rede tem um comprimento de máscara de sub-rede maior do que o CIDR na lista de intervalos de exportação de inclusão. Por exemplo, se a rede de spoke da VPC tiver o intervalo de sub-rede 10.1.2.0/24, 10.1.0.0/16 será um CIDR válido para a lista de intervalos de exportação de inclusão, mas 10.1.2.0/25 não será.

  • Se você omitir a lista INCLUDE_EXPORT_RANGES, o Network Connectivity Center vai operar como se a lista de intervalos de exportação incluídos fosse [ALL_PRIVATE_IPV4_RANGES].

• EXCLUDE_EXPORT_RANGES: uma lista delimitada por vírgulas de CIDRs que definem quais intervalos de endereços IP de sub-rede nunca são exportados para o hub.

  • A lista de intervalos de exclusão aceita até 16 CIDRs exclusivos e não sobrepostos. Nenhum CIDR na lista pode corresponder ou conter outro CIDR na lista.

  • Cada CIDR especificado na lista de intervalos de exclusão precisa ser expandido para endereços IP totalmente contidos na lista de intervalos de exportação de inclusão.

  • Se você omitir a lista EXCLUDE_EXPORT_RANGES, o Network Connectivity Center vai operar como se a lista de intervalos de exportação excluídos estivesse vazia ([]).

• GROUP_NAME: o grupo a que este spoke pertence. Os valores aceitos são default para um hub de topologia de malha ou center ou edge para um hub de topologia em estrela. Esse campo é obrigatório para grupos de spoke que usam topologia em estrela. Para informações detalhadas sobre grupos de spoke, consulte Grupos de spoke.

API

Para criar um spoke do VPC, use o método networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/spokes
  {
    "name":"SPOKE_NAME",
    "hub":"HUB_URI",
    "linkedVpcNetwork": {
       "uri": VPC_URI,
       "include_export_ranges": "[INCLUDE_EXPORT_RANGES]",
       "exclude_export_ranges": "[EXCLUDE_EXPORT_RANGES]",
       "group": "GROUP_NAME"
    },
  }

Substitua:

• PROJECT_ID: o ID do projeto que contém o novo spoke.
• SPOKE_NAME: um nome para o spoke que você está criando
• HUB_URI: o URI completo do hub, incluindo o projeto, já que o hub está em um projeto diferente do spoke. Por exemplo projects/hub-project-ID/locations/global/hubs/hub-name.
• VPC_URI: a rede VPC que esse spoke aponta, como vpc_uri

• INCLUDE_EXPORT_RANGES: uma lista separada por vírgulas de palavras-chave, CIDRs ou uma combinação de palavras-chave e CIDRs que definem quais intervalos de endereços IP de sub-rede podem ser exportados para o hub.

  • A palavra-chave ALL_PRIVATE_IPV4_RANGES adiciona todos os intervalos de sub-rede que usam endereços IPv4 particulares à lista de intervalos de exportação de inclusão.

  • A palavra-chave ALL_IPV6_RANGES adiciona todos os intervalos de sub-rede IPv6 à lista de intervalos de exportação incluídos.

  • A lista de intervalos de exportação de inclusão aceita até 16 CIDRs exclusivos e não sobrepostos. Nenhum CIDR na lista pode corresponder ou conter outro CIDR na lista. Todo intervalo de sub-rede atual e futuro na rede VPC spoke que se sobrepõe a um CIDR na lista de intervalos de exportação incluídos precisa atender a uma das seguintes condições:

    • Corresponde exatamente a um CIDR na lista de intervalos de exportação incluídos.

    • Se encaixam em um CIDR na lista de intervalos de exportação incluídos. Nessa situação, um intervalo de sub-rede tem um comprimento de máscara de sub-rede maior do que o CIDR na lista de intervalos de exportação de inclusão. Por exemplo, se a rede de spoke da VPC tiver o intervalo de sub-rede 10.1.2.0/24, 10.1.0.0/16 será um CIDR válido para a lista de intervalos de exportação de inclusão, mas 10.1.2.0/25 não será.

  • Se você omitir a lista INCLUDE_EXPORT_RANGES, o Network Connectivity Center vai operar como se a lista de intervalos de exportação incluídos fosse [ALL_PRIVATE_IPV4_RANGES].

• EXCLUDE_EXPORT_RANGES: uma lista delimitada por vírgulas de CIDRs que definem quais intervalos de endereços IP de sub-rede nunca são exportados para o hub.

  • A lista de intervalos de exclusão aceita até 16 CIDRs exclusivos e não sobrepostos. Nenhum CIDR na lista pode corresponder ou conter outro CIDR na lista.

  • Cada CIDR especificado na lista de intervalos de exclusão precisa ser expandido para endereços IP totalmente contidos na lista de intervalos de exportação de inclusão.

  • Se você omitir a lista EXCLUDE_EXPORT_RANGES, o Network Connectivity Center vai operar como se a lista de intervalos de exportação excluídos estivesse vazia ([]).

• GROUP_NAME: o grupo a que esse spoke pertence, por exemplo, center ou edge. Esse campo é obrigatório para grupos de spoke que usam topologia em estrela. Para informações detalhadas sobre grupos de spoke, consulte Grupos de spoke.

A seguir

• Para criar hubs e spokes, consulte Como trabalhar com hubs e spokes.
• Para uma lista de parceiros com soluções integradas à Network Connectivity Center, consulte Parceiros da Network Connectivity Center.
• Para encontrar soluções para problemas comuns, consulte Resolver problemas do Network Connectivity Center.
• Para ver detalhes sobre os comandos da API e do gcloud, consulte APIs e referência.