Crie associações VLAN

As associações de VLANs para ligações do Partner Interconnect (também conhecidas como interconnectAttachments) associam as suas redes de nuvem privada virtual (VPC) à sua rede no local através da rede do seu fornecedor de serviços, atribuindo VLANs à ligação do seu fornecedor de serviços.

Pode criar associações VLAN não encriptadas ou associações VLAN encriptadas. As associações de VLAN não encriptadas suportam apenas IPv4 (pilha única) ou IPv4 e IPv6 (pilha dupla). As associações de VLAN encriptadas são usadas em implementações de VPN de alta disponibilidade sobre o Cloud Interconnect e só suportam IPv4 (pilha única).

Antes de poder criar anexos de VLAN para o Partner Interconnect, já tem de ter conetividade com um fornecedor de serviços suportado.

A faturação das associações de VLAN começa quando o seu fornecedor de serviços conclui as respetivas configurações, quer tenha pré-ativado ou não as associações. O seu fornecedor de serviços configura os anexos quando estes se encontram no estado PENDING_CUSTOMER ou ACTIVE. A faturação é interrompida quando o cliente ou o fornecedor de serviços elimina os anexos (quando estão no estado DEFUNCT).

O ID da VLAN é exclusivo da sua ligação Partner Interconnect e, por isso, pode reutilizar o mesmo ID da VLAN numa ligação diferente, independentemente da localização dessa ligação.

Para associações VLAN para a interligação dedicada, consulte o artigo Criar associações VLAN para a interligação dedicada.

Para ver as definições dos termos usados nesta página, consulte os termos-chave do Cloud Interconnect.

Para ajudar a resolver problemas comuns que pode encontrar ao usar o Partner Interconnect, consulte a secção Resolução de problemas.

Utilize várias associações VLAN

Os anexos de VLAN suportam velocidades de tráfego até 50 Gbps ou 6,25 milhões de pacotes por segundo (pps) para ligações de 100 Gbps. O débito depende do limite que atingir primeiro. Por exemplo, se o seu tráfego usar pacotes muito pequenos, pode atingir o limite de 6,25 milhões de pps antes do limite de 50 Gbps.

Para alcançar um débito mais elevado numa rede VPC, tem de configurar várias associações de VLAN na rede VPC. Para cada sessão do protocolo de gateway de fronteira (BGP), deve usar os mesmos valores MED para permitir que o tráfego use o encaminhamento de vários caminhos de custo igual (ECMP) em todos os anexos de VLAN configurados.

Se tiver várias associações de VLAN, incluindo associações em projetos diferentes, pode sincronizá-las com uma ligação do Partner Interconnect do mesmo fornecedor de serviços ou com ligações do Partner Interconnect de diferentes fornecedores de serviços.

Crie associações VLAN não encriptadas

Consola

  1. Na Google Cloud consola, aceda ao separador Anexos de VLAN do Cloud Interconnect.

    Aceda a associações VLAN

  2. Clique em Criar associações VLAN.

  3. Selecione Ligação Partner Interconnect.

  4. Na secção Encriptar interligação, selecione Configurar interligação não encriptada e, de seguida, clique em Continuar.

  5. Selecione Já tenho um fornecedor de serviços.

  6. Selecione Criar um par redundante de associações VLAN. A redundância oferece uma maior disponibilidade do que uma única ligação. Ambas as associações publicam tráfego, e o tráfego é equilibrado entre elas. Se um anexo falhar, por exemplo, durante a manutenção agendada, o outro anexo continua a publicar tráfego. Para mais informações, consulte o artigo Redundância e SLA.

    Se estiver a criar um anexo para fins de teste ou não precisar de alta disponibilidade, selecione Criar uma única VLAN para criar apenas um anexo de VLAN.

  7. Nos campos Rede e Região, selecione a rede VPC e a Google Cloud região onde os seus anexos vão estabelecer ligação.

  8. Especifique os detalhes das suas associações VLAN:

    • Cloud Router: um Cloud Router a associar a este anexo. Só pode escolher um Cloud Router na rede VPC e na região que selecionou com um ASN de 16550. Se não tiver um router na nuvem, crie um com um ASN de 16550. Cada anexo de VLAN pode ser associado a um único Cloud Router. A Google adiciona automaticamente uma interface e um par BGP no Cloud Router.

    • Nome da associação VLAN: um nome para a associação. Este nome é apresentado na consola e é usado pela CLI do Google Cloud para fazer referência à associação, por exemplo, my-attachment. Google Cloud

    • Tipo de pilha de IP: selecione o tipo de pilha de IP. IPv4 (pilha única) ou IPv4 e IPv6 (pilha dupla).

    • Unidade de transmissão máxima (MTU) para o anexo: para usar a unidade de transmissão máxima (MTU) de 1460, 1500 ou 8896 bytes, a rede VPC que usa o anexo tem de ter uma MTU definida com o mesmo valor. Além disso, as instâncias de máquinas virtuais (MV) e os routers no local também têm de ter o MTU definido para o mesmo valor. Se a sua rede tiver a MTU predefinida de 1460, selecione 1460 como a MTU do anexo de VLAN.

  9. Para criar os anexos, clique em Criar. Esta ação demora alguns minutos a ser concluída.

  10. Após a conclusão da criação, copie as chaves de sincronização. Partilha estas chaves com o seu fornecedor de serviços quando pede uma ligação com o mesmo.

    Se estiver a pedir uma ligação de camada 3 ao seu fornecedor de serviços, pode pré-ativar o anexo selecionando Ativar. A ativação dos anexos permite-lhe confirmar que está a estabelecer ligação ao fornecedor de serviços esperado. A pré-ativação de associações permite-lhe ignorar o passo de ativação e permite que as associações comecem a transmitir tráfego imediatamente após o seu fornecedor de serviços concluir a respetiva configuração.

  11. Para ver uma lista das suas associações VLAN, clique em OK.

Opcionalmente, pode atualizar as suas sessões de BGP para usar a autenticação MD5.

Se tiver uma ligação da camada 2, siga os passos em Adicione autenticação a uma sessão existente. Se tiver uma ligação de camada 3, contacte o seu fornecedor de serviços para receber instruções.

Opcional: pode atualizar a sua sessão de BGP para usar rotas aprendidas personalizadas. Quando usa esta funcionalidade, o Cloud Router comporta-se como se tivesse aprendido estas rotas com o par BGP. Para mais informações, consulte o artigo Atualize uma sessão existente para usar rotas aprendidas personalizadas.

Opcional: deteção de encaminhamento bidirecional (BFD) para o Cloud Router deteta interrupções do caminho de encaminhamento, como eventos de indisponibilidade de links, o que permite redes híbridas mais resilientes. Para atualizar a sessão de BGP para usar BFD, consulte o artigo Configurar BFD.

gcloud

Antes de criar uma associação de VLAN, tem de ter um Cloud Router existente na rede e na região que quer alcançar a partir da sua rede no local. Se não tiver um Cloud Router, crie um. O Cloud Router tem de ter um ASN BGP de 16550.

  1. Crie uma associação VLAN do tipo PARTNER, especificando os nomes do seu Cloud Router e o domínio de disponibilidade de limites (zona de disponibilidade metropolitana) da associação VLAN. A Google adiciona automaticamente uma interface e um par BGP no Cloud Router. O anexo gera uma chave de sincronização que tem de partilhar com o seu fornecedor de serviços.

    Pode especificar a MTU do seu anexo. Os valores válidos são 1440 (predefinição), 1460, 1500 e 8896. Para especificar uma MTU de 1460, 1500 ou 8896, use o parâmetro --mtu. Por exemplo, --mtu 1500. Para usar a MTU de 1460, 1500 ou 8896 bytes, a rede VPC que usa a associação tem de definir a mesma MTU. Além disso, as VMs e os routers no local têm de definir a mesma MTU

    Pode especificar o tipo de pilha da sua associação VLAN. O tipo de pilha predefinido é IPv4.

    O exemplo seguinte cria uma associação VLAN no domínio de disponibilidade availability-domain-1:

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --stack-type=STACK_TYPE \
    --edge-availability-domain availability-domain-1

    Substitua o seguinte:

    • ATTACHMENT_NAME: um nome para a associação VLAN.
    • REGION: a região da sua associação VLAN.
    • ROUTER_NAME: o nome do seu Cloud Router.
    • STACK_TYPE: o tipo de pilha para a associação VLAN. O tipo de pilha pode ser um dos seguintes:
      • IPV4_ONLY: seleciona apenas IPv4 (pilha única).
      • IPV4_IPV6: seleciona IPv4 e IPv6 (dual stack).

    Se estiver a pedir uma ligação de camada 3 ao seu fornecedor de serviços, pode pré-ativar o anexo selecionando a flag --admin-enabled. A ativação dos anexos permite-lhe confirmar que está a estabelecer ligação ao fornecedor de serviços esperado. A pré-ativação de associações permite-lhe ignorar o passo de ativação e permite que as associações comecem a transmitir tráfego imediatamente após o seu fornecedor de serviços concluir a respetiva configuração.

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --stack-type=STACK_TYPE \
    --edge-availability-domain availability-domain-1 \
    --admin-enabled
    • ATTACHMENT_NAME: um nome para a associação VLAN.
    • REGION: a região da sua associação VLAN.
    • ROUTER_NAME: o nome do seu Cloud Router.
    • STACK_TYPE: o tipo de pilha para a associação VLAN. O tipo de pilha pode ser um dos seguintes:
      • IPV4_ONLY: seleciona apenas IPv4 (pilha única).
      • IPV4_IPV6: seleciona IPv4 e IPv6 (dual stack).

  2. Descreva o anexo para obter a respetiva chave de sincronização. Tem de partilhar esta chave com o seu fornecedor de serviços quando lhe pedir uma ligação:

    gcloud compute interconnects attachments describe ATTACHMENT_NAME \
    --region=REGION

    O resultado é semelhante ao seguinte para associações de VLAN IPv4:

    adminEnabled: false
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
creationTimestamp: '2017-12-01T08:29:09.886-08:00'
id: '7976913826166357434'
kind: compute#interconnectAttachment
labelFingerprint: 42WmSpB8rSM=
name: ATTACHMENT_NAME
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/REGION/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/ROUTER_NAME
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME
stackType: IPV4_ONLY
state: PENDING_PARTNER
type: PARTNER

    O resultado é semelhante ao seguinte para anexos de VLAN IPv4 e IPv6 (pilha dupla):

    bandwidth: BPS_1G
cloudRouterIpAddress: 169.254.67.201/29
cloudRouterIpv6Address: 2600:2d00:0:1::1/125
creationTimestamp: '2017-12-01T08:31:11.580-08:00'
customerRouterIpAddress: 169.254.67.202/29
customerRouterIpv6Address: 2600:2d00:0:1::2/125
description: Interconnect for Customer 1
id: '7193021941765913888'
interconnect: https://www.googleapis.com/compute/alpha/projects/partner-project/global/interconnects/lga-2
kind: compute#interconnectAttachment
labelFingerprint: 42WmSpB8rSM=
name: partner-attachment
partnerMetadata:
  interconnectName: New York (2)
  partnerName: Partner Inc
  portalUrl: https://partner-portal.com
region: https://www.googleapis.com/compute/alpha/projects/partner-project/regions/REGION
selfLink: https://www.googleapis.com/compute/alpha/projects/partner-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME
stackType: IPV4_IPV6
state: ACTIVE
type: PARTNER
vlanTag8021q: 1000

    O campo pairingKey contém a chave de sincronização que tem de partilhar com o seu fornecedor de serviços. Trate a chave de sincronização como informações confidenciais até que a associação VLAN esteja configurada.

    O estado da associação VLAN é PENDING_PARTNER até pedir uma ligação ao seu fornecedor de serviços e este concluir a configuração da associação VLAN. Após a conclusão da configuração, o estado do anexo muda para ACTIVE ou PENDING_CUSTOMER.

Opcional: pode atualizar a sua sessão de BGP para usar rotas aprendidas personalizadas. Quando usa esta funcionalidade, o Cloud Router comporta-se como se tivesse aprendido estas rotas com o par BGP. Para mais informações, consulte o artigo Atualize uma sessão existente para usar rotas aprendidas personalizadas.

Opcional: pode atualizar as suas sessões de BGP para usar a autenticação MD5. Se tiver uma ligação da camada 2, siga os passos em Adicione autenticação a uma sessão existente. Se tiver uma ligação de camada 3, contacte o seu fornecedor de serviços para receber instruções.

Opcional: deteção de encaminhamento bidirecional (BFD) para o Cloud Router deteta interrupções do caminho de encaminhamento, como eventos de indisponibilidade de links, o que permite redes híbridas mais resilientes. Para atualizar a sessão de BGP para usar BFD, consulte o artigo Configurar BFD para o Cloud Router.

Se estiver a criar redundância com uma associação VLAN duplicada, repita estes passos para a segunda associação. Use o mesmo Cloud Router, mas especifique um domínio de disponibilidade de limite diferente. Além disso, quando pede associações ao seu fornecedor de serviços, tem de selecionar a mesma área metropolitana (cidade) para ambas as associações para que sejam redundantes. Para mais informações, consulte o artigo Redundância e SLA.

Use intervalos de endereços IP personalizados com ligações da camada 2

Se quiser usar intervalos de endereços IP personalizados com uma ligação de camada 2, adicione as flags --candidate-customer-router-ip-address e --candidate-cloud-router-ip-address, que também suportam endereços IP locais de ligação. Tenha em atenção que não pode combinar estas flags com as flags --candidate-subnets e --subnet-length, mas pode usar --candidate-subnets para anexos IPv4 locais com as flags --candidate-customer-router-ipv6-address e --candidate-cloud-router-ipv6-address. Para mais informações sobre o motivo pelo qual pode usar intervalos de endereços IP personalizados, consulte o artigo Intervalos de endereços IP personalizados.

Antes de começar, tem de ativar a API Network Connectivity no seu projeto. Além disso, precisa da autorização networkconnectivity.internalRanges.create, que é concedida pela função de administrador de rede do Compute (roles/compute.networkAdmin).

gcloud beta compute interconnects attachments partner create ATTACHMENT_NAME \
    --project=PROJECT_ID \
    --region=REGION \
    --router=ROUTER_NAME \
    --candidate-cloud-router-ip-address=CANDIDATE_CLOUD_ROUTER_IP_ADDRESS \
    --candidate-customer-router-ip-address=CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS

Substitua o seguinte:

  • CANDIDATE_CLOUD_ROUTER_IP_ADDRESS: o endereço CIDR IPv4 que quer atribuir ao final do Cloud Router da sua ligação VLAN
  • CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS: o endereço CIDR IPv4 que quer atribuir ao final do router do cliente da sua ligação VLAN

Se usar anexos de pilha dupla IPv6, use o seguinte comando.

gcloud beta compute interconnects attachments partner create ATTACHMENT_NAME \
    --project=PROJECT_ID \
    --region=REGION \
    --router=ROUTER_NAME \
    --stack-type=IPV4_IPV6 \
    --candidate-cloud-router-ipv6-address=CANDIDATE_CLOUD_ROUTER_IP_ADDRESS \
    --candidate-customer-router-ipv6-address=CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS

Substitua o seguinte:

  • CANDIDATE_CLOUD_ROUTER_IP_ADDRESS: um endereço CIDR IPv6, como 2001:db8::1/125
  • CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS: um endereço CIDR IPv6, como 2001:db8::1/125

Pode usar as flags --candidate-cloud-router-ip-address e --candidate-customer-router-ip-address juntamente com as flags --candidate-cloud-router-ipv6-address e --candidate-customer-router-ipv6-address para criar um anexo que use intervalos de endereços personalizados IPv4 e IPv6.

Use intervalos de endereços IP personalizados com ligações da camada 3

Se quiser usar intervalos de endereços IP personalizados com uma ligação de camada 3, tem de criar uma associação de VLAN. Em seguida, o fornecedor de serviços configura os intervalos de endereços IP personalizados durante o respetivo processo de configuração da associação de VLAN. Se tiver uma ligação de camada 3, contacte o seu fornecedor de serviços para receber instruções.

Crie associações VLAN encriptadas

As associações de VLAN encriptadas não suportam IPv4 e IPv6 (dual stack). A tentativa de criar um anexo de pilha dupla encriptado falha.

Consola

  1. Na Google Cloud consola, aceda ao separador Anexos de VLAN do Cloud Interconnect.

    Aceda a associações VLAN

  2. Clique em Criar associações VLAN.

  3. Selecione Ligação Partner Interconnect.

  4. Na secção Encriptar interconexão, selecione Configurar VPN de alta disponibilidade através da interconexão e, de seguida, clique em Continuar.

  5. Selecione Já tenho um fornecedor de serviços.

  6. Na página Criar associações de VLAN, selecione uma rede de VPC.

  7. No campo Router de interconexão encriptado, selecione um Cloud Router para associar a ambos os anexos de VLAN encriptados. O Cloud Router tem de estar na rede VPC à qual quer estabelecer ligação. Além disso, o Cloud Router que especificar só pode ser usado com anexos de VLAN encriptados. Este router anuncia apenas os encaminhamentos para interfaces de túneis de VPN de alta disponibilidade e VPN de pares.

    Se não tiver um Cloud Router existente que possa usar especificamente para o Cloud Interconnect encriptado, faça o seguinte:

    1. Selecione Criar novo router.
    2. Especifique uma região compatível com o Dataplane v2. Para ver que regiões são compatíveis com o Dataplane v2 para o seu fornecedor de serviços, consulte a lista de fornecedores de serviços por área geográfica.
    3. Para o número AS BGP, use 16550.

  8. Configure as duas associações VLAN. Para a associação VLAN 1 e a associação VLAN 2, configure os seguintes campos:

    • Nome: um nome para o anexo. Este nome é apresentado na consola e é usado pela Google Cloud CLI para referenciar o anexo, como attachment-a-zone1 ou attachment-a-zone2. Google Cloud
    • Descrição: introduza uma descrição opcional.

  9. Para configurar um ID de VLAN ou um intervalo de endereços IP específico para a sessão BGP, clique em ID de VLAN, IPs de BGP.

    • Para especificar um ID de VLAN, na secção ID de VLAN, selecione Personalizar.
    • Para especificar um intervalo de endereços IP para a sessão BGP, na secção Atribuir endereço IP BGP, selecione Manualmente.

    Se não especificar um ID da VLAN nem atribuir manualmente endereços IP de BGP, o Google Cloud atribui automaticamente estes valores.Google Cloud

  10. No campo Capacidade, selecione a largura de banda máxima para cada anexo de VLAN. O valor que selecionar para Associação VLAN 1 é aplicado automaticamente à Associação VLAN 2. Se não selecionar um valor, o Cloud Interconnect usa 10 Gbps. A capacidade que selecionar determina quantos túneis de VPN de alta disponibilidade tem de implementar.

  11. Em Endereços IP do gateway de VPN, selecione o tipo de endereços IP a usar para as interfaces do gateway de VPN de HA.

    • Se selecionar Endereços IP regionais internos, clique em Adicionar novo intervalo de endereços IP e introduza um Nome e um Intervalo de IPs. Para o intervalo de IP, especifique um intervalo IPv4 interno regional com um comprimento do prefixo entre 26 e 29. O comprimento do prefixo determina o número de endereços IP disponíveis para as interfaces do gateway de VPN e tem de se basear na capacidade da associação. Para mais informações, consulte o artigo Atribua intervalos de endereços IP internos a gateways de VPN de HA.
    • Se selecionar Endereços IP regionais externos, o Cloud Interconnect atribui automaticamente endereços IP externos regionais às interfaces de túnel da VPN de alta disponibilidade que criar na ligação VLAN.

    Ambas as associações de VLAN têm de usar o mesmo tipo de endereçamento, interno ou externo, para os respetivos endereços IP do gateway de VPN.

  12. Quando tiver criado ambas as associações de VLAN, clique em Criar. Os anexos demoram alguns momentos a ser criados.

  13. Após a conclusão da criação, copie as chaves de sincronização. Partilha estas chaves com o seu fornecedor de serviços quando pede uma ligação com o mesmo.

    Se estiver a pedir uma ligação de camada 3 ao seu fornecedor de serviços, pode pré-ativar o anexo selecionando Ativar. A ativação dos anexos permite-lhe confirmar que está a estabelecer ligação ao fornecedor de serviços esperado. A pré-ativação de associações permite-lhe ignorar o passo de ativação e permite que as associações comecem a transmitir tráfego imediatamente após o seu fornecedor de serviços concluir a respetiva configuração.

  14. Para ver uma lista das suas associações VLAN, clique em OK.

    O estado da associação VLAN é PENDING_PARTNER até pedir uma ligação ao seu fornecedor de serviços e este concluir a configuração da associação VLAN. Após a conclusão da configuração, o estado do anexo muda para ACTIVE ou PENDING_CUSTOMER.

    Para ativar as associações VLAN, consulte o artigo Ativar ligações.

    Opcional: pode atualizar a sua sessão de BGP para usar rotas aprendidas personalizadas. Quando usa esta funcionalidade, o Cloud Router comporta-se como se tivesse aprendido estas rotas com o par BGP. Para mais informações, consulte o artigo Atualize uma sessão existente para usar rotas aprendidas personalizadas.

    Opcional: pode atualizar as suas sessões de BGP para usar a autenticação MD5. Se tiver uma ligação da camada 2, siga os passos em Adicione autenticação a uma sessão existente. Se tiver uma ligação de camada 3, contacte o seu fornecedor de serviços para receber instruções.

    Não ative a deteção de encaminhamento bidirecional (BFD). A ativação do BFD ao nível do Cloud Interconnect não oferece uma deteção de falhas mais rápida para o tráfego do túnel da VPN de alta disponibilidade.

  15. Depois de ambos os anexos de VLAN estarem ativos, pode concluir a implementação da VPN de HA através do Cloud Interconnect configurando a VPN de HA para os anexos de VLAN.

    Consulte o artigo Configure a VPN de alta disponibilidade através do Cloud Interconnect.

gcloud

  1. Crie um Cloud Router encriptado para o Cloud Interconnect na rede e na região que quer alcançar a partir da sua rede no local. Especifique o sinalizador --encrypted-interconnect-router para identificar este router para utilização com a implementação da VPN de alta disponibilidade através do Cloud Interconnect.

    O Cloud Router tem de ter um ASN BGP de 16550.

    O exemplo seguinte cria um ASN do router de 16550:

     gcloud compute routers create ROUTER_NAME \
     --region=REGION \
     --network=NETWORK_NAME \
     --asn 16550 \
     --encrypted-interconnect-router

    Substitua NETWORK_NAME pelo nome da sua rede.

  2. Opcional: reserve um intervalo IPv4 interno regional com um comprimento do prefixo entre 26 e 29. O comprimento do prefixo determina o número de endereços IP disponíveis para as interfaces do gateway de VPN. O número de endereços que tem de reservar depende da capacidade da associação de VLAN associada.

    Por exemplo, para reservar um intervalo para a primeira associação VLAN com uma capacidade de 10 Gbps:

     gcloud compute addresses create ip-range-1 \
     --region=REGION \
     --addresses=192.168.1.0 \
     --prefix-length=29 \
     --network=NETWORK_NAME \
     --purpose=IPSEC_INTERCONNECT

    Para reservar um intervalo de endereços para a segunda associação VLAN:

     gcloud compute addresses create ip-range-2 \
     --region=REGION \
     --addresses=192.168.2.0 \
     --prefix-length=29 \
     --network=NETWORK_NAME \
     --purpose=IPSEC_INTERCONNECT

    Para mais informações sobre a reserva de endereços internos regionais, consulte o artigo Atribua intervalos de endereços IP internos a gateways de VPN de HA.

  3. Crie a primeira associação VLAN encriptada do tipo PARTNER, especificando os nomes do seu Cloud Router encriptado e o domínio de disponibilidade de limites (zona de disponibilidade metropolitana) da associação VLAN. O Google adiciona automaticamente uma interface e um par BGP no Cloud Router. O anexo gera uma chave de sincronização que tem de partilhar com o seu fornecedor de serviços.

    O exemplo seguinte cria um anexo encriptado para o domínio de disponibilidade de limite availability-domain-1. O comando também especifica o intervalo de endereços IP internos regionais, ip-range-1, a usar para todas as interfaces de gateway de VPN de HA criadas neste anexo.

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME_1 \
    --region=REGION \
    --router=ROUTER_NAME \
    --edge-availability-domain availability-domain-1 \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-1

    Se quiser usar endereços IP externos regionais para as interfaces do gateway de VPN de alta disponibilidade no anexo, omita a flag --ipsec-internal-addresses. Todas as interfaces de gateway da VPN de HA são atribuídas automaticamente a endereços IPv4 externos regionais.

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME_1 \
    --region=REGION \
    --router=ROUTER_NAME \
    --edge-availability-domain availability-domain-1 \
    --encryption IPSEC

    Se estiver a pedir uma ligação de camada 3 ao seu fornecedor de serviços, pode pré-ativar o anexo selecionando a flag --admin-enabled. A ativação dos anexos permite-lhe confirmar que está a estabelecer ligação ao fornecedor de serviços esperado. A pré-ativação de associações permite-lhe ignorar o passo de ativação e permite que as associações comecem a transmitir tráfego imediatamente após o seu fornecedor de serviços concluir a respetiva configuração.

    Não pode definir uma MTU personalizada (--mtu) com associações VLAN encriptadas. Todas as associações de VLAN encriptadas têm de usar uma MTU de 1440 bytes, que é o valor predefinido.

    Use intervalos de endereços IP personalizados com ligações da camada 2

    Se quiser usar intervalos de endereços IP personalizados com uma ligação de camada 2, adicione as flags --candidate-customer-router-ip-address e --candidate-cloud-router-ip-address, que também suportam endereços IP locais de ligação. Tenha em atenção que não pode combinar estas flags com as flags --candidate-subnets e --subnet-length, mas pode usar --candidate-subnets para anexos IPv4 locais com as flags --candidate-customer-router-ipv6-address e --candidate-cloud-router-ipv6-address. Para mais informações sobre o motivo pelo qual pode usar intervalos de endereços IP personalizados, consulte o artigo Intervalos de endereços IP personalizados.

    Antes de começar, tem de ativar a API Network Connectivity no seu projeto. Além disso, precisa da autorização networkconnectivity.internalRanges.create, que é concedida pela função de administrador de rede do Compute (roles/compute.networkAdmin).

    gcloud beta compute interconnects attachments partner create ATTACHMENT_NAME \
    --project=PROJECT_ID \
    --region=REGION \
    --router=ROUTER_NAME \
    --encryption IPSEC \
    --candidate-cloud-router-ip-address=CANDIDATE_CLOUD_ROUTER_IP_ADDRESS \
    --candidate-customer-router-ip-address=CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS

    Substitua o seguinte:

    • CANDIDATE_CLOUD_ROUTER_IP_ADDRESS: o endereço CIDR IPv4 que quer atribuir ao final do Cloud Router da sua ligação VLAN
    • CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS: o endereço CIDR IPv4 que quer atribuir ao final do router do cliente da sua ligação VLAN

    Se usar anexos de pilha dupla IPv6, use o seguinte comando. 

    gcloud beta compute interconnects attachments partner create ATTACHMENT_NAME \
    --project=PROJECT_ID \
    --region=REGION \
    --router=ROUTER_NAME \
    --stack-type=IPV4_IPV6 \
    --encryption IPSEC \
    --candidate-cloud-router-ipv6-address=CANDIDATE_CLOUD_ROUTER_IP_ADDRESS \
    --candidate-customer-router-ipv6-address=CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS

    Substitua o seguinte:

    • CANDIDATE_CLOUD_ROUTER_IP_ADDRESS: um endereço CIDR IPv6, como 2001:db8::1/125
    • CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS: um endereço CIDR IPv6, como 2001:db8::1/125

    Pode usar as flags --candidate-cloud-router-ip-address e --candidate-customer-router-ip-address juntamente com as flags --candidate-cloud-router-ipv6-address e --candidate-customer-router-ipv6-address para criar um anexo que use intervalos de endereços personalizados IPv4 e IPv6.

    Use intervalos de endereços IP personalizados com ligações da camada 3

    Se quiser usar intervalos de endereços IP personalizados com uma ligação de camada 3, crie uma nova associação de VLAN e, em seguida, o seu fornecedor de serviços configura os intervalos de endereços IP personalizados durante o respetivo processo de configuração da associação de VLAN. Se tiver uma ligação de camada 3, contacte o seu fornecedor de serviços para receber instruções.

    1. Crie a segunda associação de VLAN encriptada, especificando os nomes da segunda ligação do Cloud Interconnect e do Cloud Router para o Cloud Interconnect.

      O exemplo seguinte cria um anexo encriptado para o domínio de disponibilidade de limite availability-domain-2. O comando também especifica o intervalo de endereços IP internos regionais, ip-range-2, a usar para todas as interfaces do gateway de VPN de HA criadas neste anexo.

      gcloud compute interconnects attachments partner create ATTACHMENT_NAME_2 \
    --region=REGION \
    --router=ROUTER_NAME \
    --edge-availability-domain availability-domain-2 \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-2

      Quando criar a segunda associação de VLAN, tem de especificar o mesmo tipo de esquema de endereçamento, interno ou externo, que usou quando criou a primeira associação. A cada anexo de VLAN tem de ser atribuído um intervalo de endereços interno diferente. Só pode especificar um intervalo de IPs para cada anexo.

  4. Descreva os anexos para obter as respetivas chaves de sincronização. Tem de partilhar estas chaves com o seu fornecedor de serviços quando lhe pedir uma ligação:

    Para a primeira associação VLAN:

     gcloud compute interconnects attachments describe ATTACHMENT_NAME_1 \
     --region=REGION

    O resultado é semelhante ao seguinte:

    adminEnabled: false
creationTimestamp: '2021-12-01T08:29:09.886-08:00'
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
encryption: IPSEC
id: '7976913826166357434'
kind: compute#interconnectAttachment
name: ATTACHMENT_NAME_1
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/REGION/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME_1
stackType: IPV4_ONLY
state: PENDING_PARTNER
type: PARTNER

    Para a segunda associação VLAN:

     gcloud compute interconnects attachments describe ATTACHMENT_NAME_2 \
     --region=REGION

    O resultado é semelhante ao seguinte:

    adminEnabled: false
creationTimestamp: '2021-12-01T08:29:09.886-08:00'
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_2
encryption: IPSEC
id: '7976913826166334235'
kind: compute#interconnectAttachment
name: ATTACHMENT_NAME_2
pairingKey: 9f5fg371e-72a3-40b5-b844-2e3efefaee59/REGION/2
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME_2
stackType: IPV4_ONLY
state: PENDING_PARTNER
type: PARTNER

    Os campos pairingKey contêm as chaves de sincronização que tem de partilhar com o seu fornecedor de serviços. Trate as chaves de sincronização como informações confidenciais até que as associações VLAN estejam configuradas.

    O estado da associação VLAN é PENDING_PARTNER até pedir uma ligação ao seu fornecedor de serviços e este concluir a configuração da associação VLAN. Após a conclusão da configuração, o estado do anexo muda para ACTIVE ou PENDING_CUSTOMER.

    Para ativar as associações VLAN, consulte o artigo Ativar ligações.

    Opcional: pode atualizar a sua sessão de BGP para usar rotas aprendidas personalizadas. Quando usa esta funcionalidade, o Cloud Router comporta-se como se tivesse aprendido as rotas aprendidas personalizadas do par BGP. Para mais informações, consulte o artigo Atualize uma sessão existente para usar rotas aprendidas personalizadas.

    Opcional: pode atualizar as suas sessões de BGP para usar a autenticação MD5. Se tiver uma ligação da camada 2, siga os passos em Adicione autenticação a uma sessão existente. Se tiver uma ligação de camada 3, contacte o seu fornecedor de serviços para receber instruções.

    Não ative a Deteção de encaminhamento bidirecional (BFD). A ativação do BFD ao nível do Cloud Interconnect não oferece uma deteção de falhas mais rápida para o tráfego do túnel da VPN de alta disponibilidade.

  5. Depois de ambos os anexos de VLAN estarem ativos, pode concluir a implementação da VPN de HA através do Cloud Interconnect configurando a VPN de HA para os anexos de VLAN.

    Consulte o artigo Configure a VPN de alta disponibilidade através do Cloud Interconnect.

Restrinja a utilização da Interligação de parceiro

Por predefinição, qualquer rede VPC pode usar o Cloud Interconnect. Para controlar que redes VPC podem usar o Cloud Interconnect, pode definir uma política de organização. Para mais informações, consulte o artigo Restrinja a utilização do Cloud Interconnect.

O que se segue?

Anterior
Vista geral do aprovisionamento
Avançar
Pedir associações