Desativar o roteamento de sub-rede híbrida

Nesta página, descrevemos como desativar o roteamento de sub-rede híbrida depois de concluir uma migração compatível com o Hybrid Subnets.

Desative o roteamento de sub-rede híbrida se você não precisar mais da funcionalidade de Hybrid Subnets, por exemplo, porque todas as cargas de trabalho na rede local migraram para oGoogle Cloud ou foram desativadas. A desativação do roteamento de sub-rede híbrida restaura o comportamento padrão de roteamento para a sub-rede que usa o roteamento de sub-rede híbrida e permite remover a configuração temporária de migração.

Embora seja possível manter o roteamento de sub-rede híbrida ativado indefinidamente, o Google recomenda desativá-lo para evitar cobranças desnecessárias, simplificar a arquitetura de rede e remover a complexidade, como o gerenciamento de rotas anunciadas personalizadas.

Funções exigidas

Para receber as permissões necessárias para desativar o roteamento de sub-rede híbrida, peça ao administrador para conceder a você o papel do IAM de Administrador da rede do Compute (roles/compute.networkAdmin) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Atualizar divulgações de rotas do Cloud Router

Se você quiser desativar o roteamento de sub-rede híbrida e manter a conectividade entre as cargas de trabalho migradas e a rede local, atualize as divulgações de rota personalizadas.

Para atualizar os anúncios de rota personalizada do Cloud Router, faça o seguinte:

Remova as rotas anunciadas personalizadas que você configurou para cargas de trabalho migradas.
Verifique se você continua anunciando o intervalo de sub-rede da sub-rede que tinha o roteamento de sub-rede híbrida ativado. É possível fazer isso de uma das seguintes maneiras:
- Configure as sessões do BGP relevantes para usar a divulgação de intervalo de sub-rede.
- Configure as sessões do BGP relevantes para usar a divulgação personalizada, mas continue divulgando intervalos de sub-rede.
- Configure as sessões do BGP relevantes para usar a divulgação personalizada sem divulgar intervalos de sub-rede, mas use rotas divulgadas personalizadas que incluam o intervalo de sub-rede.
Para informações sobre como configurar sua sessão do BGP para usar um desses métodos de divulgação, consulte Divulgar intervalos de endereços personalizados.

Desativar o roteamento de sub-rede híbrida

Para desativar o roteamento de sub-rede híbrida em uma sub-rede, faça o seguinte.

Console

No console do Google Cloud , acesse a página Redes VPC.

Acessar redes VPC
Clique no nome da rede VPC que contém a sub-rede a ser atualizada.
Clique na guia Sub-redes.
Clique na sub-rede que você quer atualizar.
Clique em Editar.
Na seção Sub-rede híbrida, selecione Desativado.
Clique em Salvar.

gcloud

Use o comando gcloud compute networks subnets update.

gcloud compute networks subnets update SUBNET \
    --region=REGION \
    --no-allow-cidr-routes-overlap

Substitua:

SUBNET: o nome da sub-rede.
REGION: a região da sub-rede.

API

Encontre o ID fingerprint da sua sub-rede.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

PROJECT_ID: ID do projeto
REGION: a região da sua sub-rede
SUBNET_NAME: o nome da sub-rede

Método HTTP e URL:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você tenha feito login na CLI do gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você tenha feito login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "kind": "compute#subnetwork",
  "id": "5514771331600183201",
  "creationTimestamp": "2022-09-16T12:41:02.010-07:00",
  "name": "subnet-name",
  "network": "https://www.googleapis.com/compute/v1/projects/project-name/global/networks/network-name",
  "ipCidrRange": "10.6.0.0/16",
  "gatewayAddress": "10.6.0.1",
  "region": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/project-name/regions/us-central1/subnetworks/subnet-name",
  "privateIpGoogleAccess": true,
  "fingerprint": "YiItidAFRsA5",
  "allowSubnetCidrRoutesOverlap": false,
  "enableFlowLogs": true,
  "privateIpv6GoogleAccess": "DISABLE_GOOGLE_ACCESS",
  "purpose": "PRIVATE",
  "stackType": "IPV4_ONLY"
}

Desativar allowSubnetCidrRoutesOverlap.

Antes de usar os dados da solicitação, substitua SUBNET_FINGERPRINT pelo ID da impressão digital da sub-rede que você encontrou na solicitação anterior, por exemplo, YiItidAFRsA5.

Método HTTP e URL:

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME

Corpo JSON da solicitação:

{
  "allowSubnetCidrRoutesOverlap": false,
  "fingerprint": "SUBNET_FINGERPRINT"
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "kind": "compute#operation",
  "id": "5973660558170953708",
  "name": "operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "operationType": "compute.subnetworks.patch",
  "targetLink": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1/subnetworks/subnet-name-abceefg",
  "targetId": "5514771331600183201",
  "status": "RUNNING",
  "user": "user@gmail.com",
  "progress": 0,
  "insertTime": "2023-03-31T11:40:03.882-07:00",
  "startTime": "2023-03-31T11:40:03.893-07:00",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1/operations/operation-1680288003494-5f8368991917a-59bf1c92-1897c7c6",
  "region": "https://www.googleapis.com/compute/v1/projects/test-project/regions/us-central1"
}

Para verificar se allowSubnetCidrRoutesOverlap está ativado na sub-rede, faça outra solicitação GET e verifique se a resposta inclui o seguinte:
- "allowSubnetCidrRoutesOverlap": false

Remover configuração desnecessária

Considere o seguinte:

Se você não precisar do ARP do proxy para outra finalidade, desative-o. Para informações sobre como desativar o ARP do proxy, consulte a documentação da sua solução de ARP do proxy.
Se você não precisar mais de conectividade entre as redes locais e VPC, desconecte as duas. Para desconectar as redes, siga estas etapas.
1. Siga um destes procedimentos, dependendo de como você configurou a conectividade:
2. Se você não precisar mais dos Cloud Routers configurados para Hybrid Subnets, é possível excluí-los.
3. Se você não precisar mais da configuração de firewall adicionada para compatibilidade com Hybrid Subnets, remova-a.