Associe dois sites através de raios de VPN

Este tutorial descreve como usar um hub do Network Connectivity Center e raios do Cloud VPN para configurar a transferência de dados entre dois escritórios de sucursais.

Para mais informações sobre a criação de hubs e raios, consulte o artigo Trabalhe com hubs e raios.

Antes de começar

Antes de começar, reveja as secções seguintes.

Crie ou selecione um projeto

Para facilitar a configuração do Network Connectivity Center, comece por identificar um projeto válido.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

1. Se estiver a usar a CLI do Google Cloud, defina o ID do projeto com o comando gcloud config set.

   gcloud config set project PROJECT_ID

   Substitua PROJECT_ID pelo seu ID do projeto exclusivo.

   As instruções da CLI gcloud nesta página pressupõem que definiu o ID do projeto.

2. Para confirmar que definiu o ID do projeto corretamente, use o comando gcloud config list.

   gcloud config list --format='text(core.project)'

Convenções para identificar recursos

Quando faz referência a recursos através da CLI gcloud ou da API, use as convenções descritas na tabela seguinte.

Congresso	Compatível com	Notas	Exemplo
URI completo	Todos os recursos	Use um destes métodos para fazer referência a instâncias do dispositivo Router.	"https://www.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
Nome do recurso relativo	Todos os recursos		"projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
Nome	Recursos regionais e globais	Use este método para hubs, spokes, túneis de VPN e associações de VLAN.	"HUB_NAME"

Topologia de exemplo

O diagrama seguinte descreve os recursos de exemplo usados neste tutorial.






Configure a conetividade da transferência de dados

Para configurar a conetividade de transferência de dados, siga estes passos:

1. Criar Google Cloud recursos, como uma rede de nuvem virtual privada (VPC), gateways e túneis de VPN de alta disponibilidade e routers na nuvem.
2. Crie um centro.
3. Defina um spoke para o escritório filial primeiro e segundo. Cada spoke deve usar um túnel de VPN como recurso subjacente.
4. Valide a configuração.

Crie Google Cloud recursos

Este tutorial pressupõe que já criou os seguintes Google Cloud recursos:

• Uma rede VPC que tem o modo de encaminhamento dinâmico definido como global
• Na região mais próxima de Office1, uma sub-rede, um gateway de VPN de alta disponibilidade, um Cloud Router e um túnel que liga a interface do gateway a Office1
• Na região mais próxima de Office2, uma sub-rede, um gateway de VPN de alta disponibilidade, um Cloud Router e um túnel que liga a interface do gateway a Office2

Se precisar de criar estes recursos, consulte os seguintes documentos:

• Para criar uma rede VPC, consulte o artigo Criar redes. Uma vez que esta configuração usa raios em diferentes regiões, defina o modo de encaminhamento dinâmico da rede como global.
• Para criar sub-redes, consulte o artigo Adicionar sub-redes.
• Para criar gateways de VPN de alta disponibilidade, túneis e um Cloud Router, consulte o artigo Criar um gateway de VPN de alta disponibilidade para um gateway de VPN de intercâmbio.

Depois de identificar os recursos Google Cloud existentes ou criar novos, continue para a secção seguinte.

Crie o hub

Primeiro, crie um hub. Posteriormente, associa raios a este centro.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de lhe ter sido concedidas as seguintes autorizações ou as seguintes funções do IAM.

Autorizações

• networkconnectivity.hubs.create
• Se estiver a trabalhar na Google Cloud consola:
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.list
  • networkconnectivity.spokes.list
  • compute.projects.get

Funções

• Administrador do hub e raios (roles/networkconnectivity.hubAdmin)

• Se estiver a trabalhar na Google Cloud consola: Visitante da rede de computação (roles/compute.networkViewer)

Consola

1. Na Google Cloud consola, aceda à página Centro de conetividade de rede.

   Aceder ao Network Connectivity Center

2. No menu pendente do projeto, selecione um projeto. No diagrama de exemplo, o projeto é my-project.

3. Introduza um nome do hub. Neste caso, my-hub.

4. Introduza uma Descrição opcional.

5. Valide o ID do projeto. Se o ID do projeto estiver incorreto, selecione um projeto diferente através do menu pendente na parte superior do ecrã.

6. Clique em Continuar.

7. Para adicionar o Office1 falou com o hub, continue a Criar o raio para o Office 1.

gcloud

Para criar um hub, use o comando gcloud network-connectivity hubs create.

  gcloud network-connectivity hubs create HUB_NAME \
     --description="DESCRIPTION" \
     --labels="KEY"="VALUE"

Substitua os seguintes valores:

• HUB_NAME: o nome do novo hub, neste caso, my-hub
• DESCRIPTION: texto opcional que descreve o hub
• KEY: a chave no par de chave-valor para o texto da etiqueta opcional
• VALUE: o valor no par de chave-valor para o texto da etiqueta opcional

Para adicionar o Office1 falou com o hub, continue a Criar o raio para o Office 1.

API

Para criar um hub, use o método networkconnectivity.hubs.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/hubs
  {
    "name":"HUB_NAME",
    "description":"DESCRIPTION",
    "labels": {
      "KEY": "VALUE"
    }
  }

Substitua os seguintes valores:

• PROJECT_ID: o ID do projeto que contém o novo hub, por exemplo, my-project
• HUB_NAME: o nome do novo hub, por exemplo, my-hub
• DESCRIPTION: texto opcional que descreve o hub
• KEY: a chave no par de chave-valor para o texto da etiqueta opcional
• VALUE: o valor no par de chave-valor para o texto da etiqueta opcional

Para adicionar o Office1 falou com o hub, continue a Criar o raio para o Office 1.

Crie o nó para o Office 1

Crie um nó para Office1. Use dois túneis de VPN de alta disponibilidade como os recursos subjacentes do spoke. Cada túnel deve ter origem num gateway de VPN de alta disponibilidade na região mais próxima do escritório. No diagrama de exemplo, estes túneis são representados como vpn-tunnel1-office1 e vpn-tunnel2-office1.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de lhe ter sido concedidas as seguintes autorizações ou as seguintes funções do IAM.

Autorizações

• networkconnectivity.spokes.create
• compute.routers.get
• compute.vpnTunnels.get
• Se estiver a trabalhar na Google Cloud consola, precisa de autorização para ver determinados recursos de rede. Para ver detalhes, consulte o artigo Funções e autorizações.

Funções

• Uma das seguintes opções:
  • Administrador do hub (roles/networkconnectivity.spokeAdmin)
  • Administrador do hub e spoke (roles/networkconnectivity.hubAdmin)
• Uma função, como Visualizador da rede de computação (roles/compute.networkViewer)—que lhe concede autorização para ler recursos do Cloud Router e o tipo de recurso do spoke (neste caso, túneis VPN)
• Se estiver a trabalhar na Google Cloud consola, Visualizador de rede de computação (roles/compute.networkViewer)

Consola

Os passos seguintes são uma continuação de Crie o hub. Explicam como criar um raio imediatamente após especificar o nome e a descrição do centro.

1. No formulário Novo ponto de acesso, defina o campo Tipo de ponto de acesso como Túnel VPN.
2. Introduza um nome do raio. Neste caso, office-1-spoke.
3. Opcionalmente, introduza uma descrição do spoke.
4. Selecione a Região do spoke. No diagrama de exemplo, o spoke está localizado em us-west1.
5. Em Transferência de dados de site para site, selecione Ativado.
6. Selecione a rede de VPC adequada. No diagrama de exemplo, o spoke está localizado em network-a.
7. Selecione um túnel de VPN. Se for adequado, clique em Adicionar túnel para adicionar outro campo de túnel de VPN. No diagrama de exemplo, são usados dois túneis: vpn-tunnel1-office1 e vpn-tunnel2-office1. Quando terminar de adicionar túneis, clique em Concluído.
8. Clique em Criar.

A página Centro de conectividade de rede é atualizada para mostrar detalhes sobre os raios que criou. Para adicionar o Office2 falou com o hub, continue para Criar o spoke para o Office 2.

gcloud

Para criar o spoke, use o comando gcloud network-connectivity spokes linked-vpn-tunnels create.

  gcloud network-connectivity spokes linked-vpn-tunnels create SPOKE_NAME \
    --hub=HUB_NAME \
    --description="DESCRIPTION" \
    --vpn-tunnels=TUNNEL_NAME,TUNNEL_NAME_2 \
    --region=REGION \
    --labels="KEY"="VALUE" \
    --site-to-site-data-transfer

Substitua os seguintes valores:

• SPOKE_NAME: o nome do raio. Neste caso, office-1-spoke
• HUB_NAME: o nome do centro ao qual está a associar o raio, neste caso, my-hub
• DESCRIPTION: texto opcional que descreve o raio
• TUNNEL_NAME: o nome do primeiro túnel de HA VPN. Neste caso, vpn-tunnel1-office1
• TUNNEL_NAME_2: o nome do túnel redundante. Neste caso, vpn-tunnel2-office1. Quando incluir um segundo túnel, não use um espaço entre a vírgula e o nome do segundo túnel
• REGION: a Google Cloud região onde o spoke está localizado. Neste caso, us-west1
• KEY: a chave no par de chave-valor para o texto da etiqueta opcional
• VALUE: o valor no par de chave-valor para o texto da etiqueta opcional

Para adicionar o Office2 falou com o hub, continue a Criar o spoke para o Office 2.

API

Para criar o spoke, use o método networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME
  {
    "hub": "HUB_NAME",
    "labels": {"KEY": "VALUE"},
    "linkedVpnTunnels": {
      "uris: [
        "TUNNEL_NAME",
        "TUNNEL_NAME_2"
      ],
      "siteToSiteDataTransfer": true
    }
  }

Substitua os seguintes valores:

• PROJECT_ID: o ID do projeto
• REGION: a Google Cloud região onde quer localizar o spoke. Neste caso, us-west1
• SPOKE_NAME: o nome do raio
• HUB_NAME: o nome do hub ao qual está a anexar o spoke
• KEY: a chave no par de chave-valor para o texto da etiqueta opcional
• VALUE: o valor no par de chave-valor para o texto da etiqueta opcional
• TUNNEL_NAME: o nome do primeiro túnel de HA VPN. Neste caso, vpn-tunnel1-office1
• TUNNEL_NAME_2: o nome do túnel redundante. Neste caso, vpn-tunnel2-office1. Quando incluir um segundo túnel, não use um espaço entre a vírgula e o nome do segundo túnel

Crie o nó para o Office 2

Crie um nó para Office2. Use dois túneis de VPN de alta disponibilidade como os recursos subjacentes do spoke. Cada túnel deve ter origem num gateway de VPN de alta disponibilidade na região mais próxima do escritório. No diagrama de exemplo, estes túneis são representados como vpn-tunnel1-office2 e vpn-tunnel2-office2.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de lhe ter sido concedidas as seguintes autorizações ou as seguintes funções do IAM.

Autorizações

• networkconnectivity.spokes.create
• compute.routers.get
• compute.vpnTunnels.get
• Se estiver a trabalhar na Google Cloud consola, precisa de autorização para ver determinados recursos de rede. Para ver detalhes, consulte o artigo Funções e autorizações.

Funções

• Uma das seguintes opções:
  • Administrador do hub (roles/networkconnectivity.spokeAdmin)
  • Administrador do hub e spoke (roles/networkconnectivity.hubAdmin)
• Uma função, como Visualizador da rede de computação (roles/compute.networkViewer)—que lhe concede autorização para ler recursos do Cloud Router e o tipo de recurso do spoke (neste caso, túneis VPN)
• Se estiver a trabalhar na Google Cloud consola, Visualizador de rede de computação (roles/compute.networkViewer)

Consola

Para criar o segundo raio, faça o seguinte:

1. Aceda à página do Network Connectivity Center.

   Aceder ao Network Connectivity Center

2. No menu pendente do projeto, selecione um projeto. No diagrama de exemplo, o projeto é my-project.

3. Clique no separador Spokes.

4. Clique em Adicionar raios para abrir a página Adicionar raios.

5. No formulário Novo ponto de acesso, defina o campo Tipo de ponto de acesso como Túnel VPN.

6. Introduza um nome do raio. Neste caso, office-2-spoke.

7. Opcionalmente, introduza uma descrição do spoke.

8. Selecione a Região do spoke. No diagrama de exemplo, o spoke está localizado em us-east1.

9. Em Transferência de dados de site para site, selecione Ativado.

10. Verifique se o campo Rede VPC está definido para a mesma rede que o último spoke que criou. No diagrama de exemplo, é network-a.

11. Selecione um túnel de VPN. Se for adequado, clique em Adicionar túnel para adicionar outro campo de túnel de VPN. No diagrama de exemplo, são usados dois túneis: vpn-tunnel1-office2 e vpn-tunnel2-office2. Quando terminar de adicionar túneis, clique em Concluído.

12. Clique em Criar.

gcloud

Para criar o spoke, use o comando gcloud network-connectivity spokes linked-vpn-tunnels create.

  gcloud network-connectivity spokes linked-vpn-tunnels create SPOKE_NAME \
    --hub=HUB_NAME \
    --description="DESCRIPTION" \
    --vpn-tunnels=TUNNEL_NAME,TUNNEL_NAME_2 \
    --region=REGION \
    --labels="KEY"="VALUE" \
    --site-to-site-data-transfer

Substitua os seguintes valores:

• SPOKE_NAME: o nome do raio. Neste caso, office-2-spoke
• HUB_NAME: o nome do centro ao qual está a associar o raio, neste caso, my-hub
• DESCRIPTION: texto opcional que descreve o raio
• TUNNEL_NAME: o nome do primeiro túnel de HA VPN. Neste caso, vpn-tunnel1-office2
• TUNNEL_NAME_2: o nome do túnel redundante. Neste caso, vpn-tunnel2-office2. Quando incluir um segundo túnel, não use um espaço entre a vírgula e o nome do segundo túnel
• REGION: a Google Cloud região onde o spoke está localizado. Neste caso, emus-east1
• KEY: a chave no par de chave-valor para o texto da etiqueta opcional

• VALUE: o valor no par de chave-valor para o texto da etiqueta opcional

  Para adicionar o Office2 falou com o hub, continue a Criar o spoke para o Office 2.

API

Para criar o spoke, use o método networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME
  {
    "hub": "HUB_NAME",
    "labels": {"KEY": "VALUE"},
    "linkedVpnTunnels": {
      "uris": [
        "TUNNEL_NAME",
        "TUNNEL_NAME_2"
      ],
      "siteToSiteDataTransfer": true
    }
  }

Substitua os seguintes valores:

• PROJECT_ID: o ID do projeto
• REGION: a Google Cloud região onde quer localizar o spoke. Neste caso, us-east1
• SPOKE_NAME: o nome do raio
• HUB_NAME: o nome do hub ao qual está a anexar o spoke
• KEY: a chave no par de chave-valor para o texto da etiqueta opcional
• VALUE: o valor no par de chave-valor para o texto da etiqueta opcional
• TUNNEL_NAME: o nome do primeiro túnel de HA VPN. Neste caso, vpn-tunnel1-office2
• TUNNEL_NAME_2: o nome do túnel redundante. Neste caso, vpn-tunnel2-office2. Quando incluir um segundo túnel, não use um espaço entre a vírgula e o nome do segundo túnel

Valide a configuração

Depois de configurar o hub e os respetivos spokes, deve conseguir transmitir tráfego da instância de máquina virtual (VM) num escritório para a instância de VM no outro escritório. Para o fazer, cada VM tem de ter acesso ao túnel de VPN na respetiva região.

Limpe a configuração

Siga os passos nas secções seguintes para limpar a configuração de exemplo. Para evitar a faturação contínua, elimine os recursos que criou.

Elimine o projeto

Se quiser eliminar o projeto que criou, siga estes passos. Em alternativa, pode manter o projeto e eliminar recursos individuais, conforme descrito nas secções seguintes.

1. In the Google Cloud console, go to the Manage resources page.

   Go to Manage resources

2. In the project list, select the project that you want to delete, and then click Delete.
3. In the dialog, type the project ID, and then click Shut down to delete the project.

Elimine ambos os raios

Tem de eliminar todos os raios antes de poder eliminar um hub.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de lhe ter sido concedidas as seguintes autorizações ou as seguintes funções do IAM.

Autorizações

• networkconnectivity.spokes.delete
• Além disso, se estiver a trabalhar na Google Cloud consola:
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.list
  • networkconnectivity.spokes.list
  • compute.projects.get

Funções

• Uma das seguintes opções:
  • Administrador do hub (roles/networkconnectivity.spokeAdmin
  • Administrador do hub e raios (roles/networkconnectivity.hubAdmin)

• Além disso, se estiver a trabalhar na Google Cloud consola:

  • Visualizador da rede de computação (roles/compute.networkViewer)

Consola

1. Aceda à página Network Connectivity Center.

   Aceder ao Network Connectivity Center

2. No menu pendente do projeto, selecione um projeto. No diagrama de exemplo, o projeto é my-project.

3. Clique no separador Spokes.

4. Veja a lista de nomes de raios para o projeto.

5. Selecione as caixas de verificação dos raios que quer eliminar. Neste caso, office-1-spoke e office-2-spoke.

6. Clique em deleteEliminar raios.

7. Na caixa de diálogo de confirmação, clique em Eliminar.

gcloud

Para eliminar raios, use o comando gcloud network-connectivity spokes delete. Use o comando duas vezes: uma para eliminar office-1-spoke e outra para eliminar office-2-spoke.

  gcloud network-connectivity spokes delete SPOKE_NAME \
    --region=REGION

Substitua os seguintes valores:

• SPOKE_NAME: o nome do raio a eliminar. Neste caso, office-1-spoke e office-2-spoke
• REGION: a Google Cloud região onde o ponto de acesso está localizado

API

Para eliminar raios, use o método networkconnectivity.spokes.delete. Use este método duas vezes, uma para eliminar office-1-spoke e outra para eliminar office-2-spoke.

  DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME

Substitua os seguintes valores:

• PROJECT_ID: o ID do projeto que contém o spoke. No diagrama de exemplo, o projeto é my-project
• REGION: a Google Cloud região onde o ponto de acesso está localizado
• SPOKE_NAME: o nome do raio a eliminar. Neste caso, office-1-spoke e office-2-spoke

Elimine o hub

Depois de eliminar os raios, pode eliminar o centro.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de lhe ter sido concedidas as seguintes autorizações ou as seguintes funções do IAM.

Autorizações

• networkconnectivity.hubs.delete
• Além disso, se estiver a trabalhar na Google Cloud consola:
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.list
  • networkconnectivity.spokes.list
  • compute.projects.get

Funções

• Administrador do hub e raios (roles/networkconnectivity.hubAdmin)

• Além disso, se estiver a trabalhar na Google Cloud consola, Compute Network Viewer (roles/compute.networkViewer)

Consola

1. Na Google Cloud consola, aceda à página Centro de conetividade de rede.

   Aceder ao Network Connectivity Center

2. No menu pendente do projeto, selecione um projeto. No diagrama de exemplo, o projeto é my-project.

3. Clique em deleteEliminar hub.

4. Na caixa de diálogo de confirmação, clique em Eliminar para eliminar o hub.

gcloud

Para eliminar o hub, use o comando gcloud network-connectivity hubs delete.

  gcloud network-connectivity hubs delete HUB_NAME /
    --project=PROJECT_ID

Substitua os seguintes valores:

• HUB_NAME: o nome do hub a eliminar. Neste caso, my-hub.
• PROJECT_ID: o ID do projeto que contém o hub; no diagrama de exemplo, o projeto é my-project

API

Para eliminar o hub, use o método networkconnectivity.hubs.delete.

  DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/hubs/HUB_NAME

Substitua os seguintes valores:

• PROJECT_ID: o ID do projeto que contém o hub; no diagrama de exemplo, o projeto é my-project
• HUB_NAME: o nome do hub a eliminar

Elimine a rede de VPC e a sub-rede

Elimine a rede e a sub-rede de VPC que configurou para este tutorial.

O que se segue?

• Para ver uma topologia de exemplo, consulte o artigo Topologia de exemplo para a transferência de dados de site a site.
• Para saber como o Network Connectivity Center permite a conetividade de malha completa, consulte o artigo Troca de rotas com transferência de dados entre sites.
• Para saber mais acerca dos requisitos de elevada disponibilidade, consulte o artigo Requisitos de elevada disponibilidade para recursos spoke.
• Para criar centros e nós, consulte o artigo Trabalhe com centros e nós.
• Para encontrar soluções para problemas do Network Connectivity Center, consulte a secção Resolução de problemas.