Visão geral dos spokes VPC

Nesta página, você encontra uma visão geral do suporte a spokes da nuvem privada virtual (VPC) no Network Connectivity Center (NCC).

Spokes VPC

O Network Connectivity Center fornece conectividade de rede entre VPCs em grande escala com o suporte a spokes VPC. Os spokes VPC reduzem a complexidade operacional da gestão das conexões de peering de rede VPC entre pares usando spokes VPC e o modelo de gerenciamento de conectividade centralizado. Os spokes VPC podem exportar e importar todas as rotas de sub-rede de outras VPCs spoke em um hub do Network Connectivity Center. Isso garante conectividade completa entre todas as cargas de trabalho que residem em todas essas redes VPC. O tráfego de rede entre VPCs permanece dentro da rede do Google Cloud e não viaja pela Internet, o que ajuda a garantir privacidade e segurança.

Os spokes VPC podem estar no mesmo projeto e organização ou em um projeto e uma organização diferentes do hub do NCC. Um spoke VPC pode ser conectado a um hub por vez.

Para informações sobre como criar um spoke VPC, consulte Criar um spoke VPC.

Comparação com o peering de rede VPC

Os spokes VPC atendem aos requisitos de empresas de médio a grande porte ao fornecer conectividade de rota de sub-rede IPv4 e IPv6 e conectividade de rota dinâmica IPv4 usando spokes híbridos.

Uma rede VPC pode ser simultaneamente um spoke VPC do NCC e estar conectada a outra rede VPC usando o peering de rede VPC, desde que a rede VPC em peering não seja um spoke VPC.

Considere o seguinte ao usar hubs da VPC do NCC e o peering de rede VPC:

• As rotas de sub-rede de peering em um spoke de VPC não são exportadas para o hub.

• O NCC não oferece conectividade a recursos em uma rede VPC conectada a um spoke VPC usando o peering de rede VPC, com a seguinte exceção:

  • Uma rede VPC de produtor de serviços em peering para acesso a serviços particulares pode ser adicionada como um spoke de VPC do produtor.

Recurso	Peering de rede VPC	Spokes VPC
Redes VPC	Peerings por rede VPC	Spokes VPC ativos por hub
Intervalos de sub-rede (rotas de sub-rede)	Intervalos de sub-rede por grupo de peering	Rotas por tabela de rotas de sub-rede
Rotas estáticas e dinâmicas	Rotas estáticas por grupo de peering Rotas dinâmicas por região por grupo de peering	Prefixos de rota dinâmica exclusivos por tabela de rota de hub por região. Não é possível realizar a troca de rota estática.
Exportar filtros	Não há suporte para filtros específicos. Consulte Opções de troca de rota na documentação de Peering de redes VPC.	Até 16 intervalos CIDR compatíveis por spoke VPC.
Inter-VPC NAT	Sem suporte	Com suporte
Propagação da conexão Private Service Connect	Sem suporte	Com suporte
Conectividade do spoke VPC do produtor de outras redes VPC	Sem suporte	Com suporte
Endereços IP	Endereços IPv4 internos, incluindo endereços IPv4 privados e endereços IPv4 públicos usados de modo privado. Consulte Intervalos IPv4 válidos. Endereços IPv6 internos e externos.	Endereços IPv4 internos, incluindo endereços IPv4 privados e endereços IPv4 públicos usados de modo privado. Consulte Intervalos IPv4 válidos. Endereços IPv6 internos e externos.
Famílias de endereços IP	Configurações aceitas: Trocar apenas intervalos de sub-rede IPv4 Trocar os intervalos de sub-rede IPv4 e IPv6	Configurações aceitas: Trocar apenas intervalos de sub-rede IPv4 Trocar os intervalos de sub-rede IPv4 e IPv6 Trocar apenas intervalos de sub-rede IPv6
Desempenho e capacidade (em comparação com outros mecanismos de conectividade de VPC)	Latência mais baixa, maior capacidade (equivalente a VM-VM).	Latência mais baixa, maior capacidade (equivalente a VM-VM).

Os spokes da VPC em um projeto diferente de um hub

Ao usar o NCC, é possível anexar redes VPC, representadas por spokes de VPC, a um único hub em um projeto diferente, incluindo um projeto em uma organização diferente. Isso permite que você conecte suas redes VPC em vários projetos e organizações em escala.

Você pode ser um dos seguintes tipos de usuários:

• Um administrador de hub que é proprietário de um hub em um projeto
• Um administrador de rede spoke ou administrador de rede que quer adicionar a rede VPC em um projeto diferente como um spoke no hub

O administrador do hub controla quem pode criar uma VPC que falou em um projeto diferente associado ao hub usando permissões de gerenciamento de identidade e acesso (IAM). O administrador de spoke da rede VPC cria um spoke em um projeto diferente do hub. Esses spokes ficam inativos após a criação. O administrador do hub precisa analisá-los e aceitar ou rejeitar o spoke. Se o administrador do hub aceitar o spoke, ele ficará ativo.

O NCC sempre aceita automaticamente spokes criados no mesmo projeto que o hub.

Para informações detalhadas sobre como gerenciar hubs que têm spokes VPC em um projeto diferente do hub, consulte Visão geral da administração do hub. Para informações detalhadas sobre administradores spoke, consulte Visão geral da administração Spoke.

Interação do hub com o VPC Service Controls

O NCC é compatível com o VPC Service Controls para spokes entre projetos e organizações. Para um spoke em um projeto diferente do hub, quando um novo perímetro do VPC Service Controls é adicionado, não é possível adicionar novos spokes que violam o perímetro. No entanto, os spokes adicionados antes da adição do perímetro do VPC Service Controls continuam funcionando.

Conectividade VPC com filtros de exportação

Com o NCC, é possível limitar como outros spokes se conectam a um spoke de VPC usando filtros de spoke. Para informações detalhadas sobre filtros de spoke, consulte Visão geral dos filtros de spoke. Os spokes da VPC são compatíveis apenas com filtros de exportação.

Topologias predefinidas

Com o NCC, é possível especificar a configuração de conectividade em todos os spokes VPC. É possível escolher uma das duas topologias predefinidas a seguir:

• Topologia de malha
• Topologia de estrela

Para informações detalhadas sobre topologias de conectividade, consulte Topologias de conectividade predefinidas.

Para informações detalhadas sobre como configurar a topologia de malha ou em estrela para seus spokes VPC, consulte Configurar um hub.

Limitações

Nesta seção, descrevemos as limitações dos spokes VPC em geral e quando eles estão anexados a um hub em um projeto diferente. Essas limitações também se aplicam aos spokes de VPC do produtor.

Limitações dos spokes VPC

• As redes VPC podem se conectar de maneira exclusiva pelo hub do NCC ou por peering de rede VPC.
• Não é possível usar o peering de rede VPC entre dois spokes VPC que também estão conectados usando um hub do NCC. No entanto, pense no seguinte caso:
  • Um spoke de VPC de produtor requer uma conexão de peering com um spoke de VPC no mesmo hub. A conectividade pelo NCC não é estabelecida entre o spoke de VPC produtor e o spoke de VPC pareado.
  • É possível ter um spoke VPC conectado ao NCC que faz peering com peering de rede VPC com uma VPC separada que não faz parte do NCC.
  • É possível usar o peering de rede VPC entre dois spokes VPC no grupo de spokes de borda de um hub configurado para usar a topologia em estrela. Isso acontece porque o NCC não conecta os spokes no grupo de borda entre si.
• As VPCs conectadas usando o NCC e o peering de rede VPC em qualquer combinação não são transitivas.
• Não é possível realizar a troca de rotas estáticas entre spokes VPC.
• Os balanceadores de carga de rede de passagem interna baseados em IPv6 não podem ser acessados entre os spokes da VPC.
• Não há suporte para troca de rota dinâmica IPv6.
• As redes VPC de modo automático não são compatíveis como spokes VPC. É possível mudar do modo automático para uma rede VPC personalizada que permite definir manualmente prefixos de sub-rede para cada região na sua rede VPC. Depois de atualizado, não é possível desfazer essa ação.

Limitações da troca de rotas dinâmicas

• Somente IPv4: o NCC oferece suporte apenas à troca de rotas dinâmicas IPv4. Não é possível trocar rotas dinâmicas IPv6.

• Compatibilidade do spoke híbrido com a topologia em estrela: um hub configurado para usar a topologia em estrela impõe as seguintes limitações aos spokes híbridos:

  • Os spokes híbridos com a transferência de dados site a site ativada só são compatíveis com o grupo de spokes centrais.
  • Os spokes híbridos sem a transferência de dados site a site ativada podem estar no grupo de spokes central ou de borda.

• Redes VPC de roteamento que também são spokes VPC: o NCC aceita duas ou mais redes VPC de roteamento no mesmo hub somente se todas as redes VPC de roteamento não forem também spokes VPC. Se um hub do NCC tiver uma única rede VPC de roteamento, ela também poderá ser um spoke de VPC:

  • Se você precisar disponibilizar conexões propagadas do Private Service Connect para redes locais pelos spokes híbridos do hub, a única rede VPC de roteamento do hub também precisará estar conectada como um spoke de VPC.

  • Se você não precisar disponibilizar conexões propagadas do Private Service Connect para redes locais usando os spokes híbridos do hub, recomendamos não configurar uma rede VPC de roteamento como um spoke da VPC para que o hub possa oferecer suporte a duas ou mais redes VPC de roteamento.

Período de espera após a exclusão de um spoke VPC

Para um novo spoke para a mesma rede VPC anexado a um hub diferente, aguarde o período de espera de pelo menos 10 minutos. Se o período de espera adequado não for permitido, a nova configuração pode não entrar em vigor. Esse período de espera não será necessário se a rede VPC for adicionada como spoke ao mesmo hub.

Cotas e limites

Ao usar a troca de rotas dinâmicas, monitore com atenção o uso do número de rotas dinâmicas por hub. Essa cota conta o uso por destino (prefixo) apenas, sem considerar a prioridade ou o próximo salto de uma rota dinâmica. Quando o uso dessa cota excede o limite, o NCC descarta rotas por destino. Se um destino for descartado, todas as rotas dinâmicas com esse destino, independente da prioridade ou do próximo salto, não serão mais enviadas ao hub.

Para informações detalhadas sobre cotas, consulte Cotas e limites.

Faturamento

As seções a seguir descrevem detalhes do faturamento de horas de spoke e tráfego de saída.

Horário de funcionamento

As horas de spoke são cobradas no projeto em que o recurso spoke fica localizado e segue o preço padrão de horas de spoke. As horas do spoke só são cobradas quando o spoke está no estado ACTIVE.

Tráfego de saída

O tráfego de saída é cobrado no projeto do recurso spoke de origem do tráfego. O preço é o mesmo, independentemente de o tráfego ultrapassar os limites do projeto.

Contrato de nível de serviço

Para informações sobre o contrato de nível de serviço (SLA) do Network Connectivity Center, consulte Network Connectivity Center Service Level Agreement (SLA).

Preços

Para informações sobre preços, consulte Preços do NCC.

A seguir

• Para criar hubs e spokes, consulte Como trabalhar com hubs e spokes.
• Para uma lista de parceiros com soluções integradas ao NCC, consulte Parceiros do NCC.
• Para encontrar soluções para problemas comuns, consulte Solução de problemas.
• Para ver detalhes sobre os comandos da API e do gcloud, consulte APIs e referência.