GSP193

Visão geral

O peering de rede de nuvem privada virtual (VPC) do Google Cloud permite fazer conexões privadas entre duas redes VPC pertencentes ou não ao mesmo projeto ou organização.

Com o peering de rede VPC, você pode criar ecossistemas de SaaS (Software como serviço) no Google Cloud e disponibilizar serviços de modo privado em diferentes redes VPC de uma ou mais organizações, permitindo que as cargas de trabalho se comuniquem no espaço privado.

O peering de rede VPC é útil para:

• organizações com vários domínios administrativos de rede;
• organizações que querem fazer peering com outras organizações.

Se você tiver vários domínios administrativos de rede na sua organização, o peering de rede VPC permitirá disponibilizar serviços entre redes VPC no espaço privado. Caso você ofereça serviços a outras organizações, o peering de rede VPC permite que esses serviços sejam disponibilizados a elas no espaço privado.

Essa capacidade de oferecer serviços a mais de uma organização é útil para atender a outras instituições, além de ajudar na sua própria empresa se você tiver vários nós de organização distintos devido à distribuição da estrutura ou como resultado de fusões ou aquisições.

O peering de rede VPC tem várias vantagens em comparação com o uso de VPNs ou endereços IP externos para conectar redes. Por exemplo:

• Latência de rede: a rede privada tem latência mais baixa do que a rede IP pública.
• Segurança da rede: os proprietários não precisam expor os serviços à Internet pública e lidar com os riscos associados.
• Custo da rede: as redes com peering podem usar IPs internos para se comunicar e economizar os custos de largura de banda de saída do Google Cloud. O preço normal da rede ainda será aplicável a todo o tráfego.

Instalação

Antes de clicar no botão Start Lab

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.

Observação: não use seu projeto ou conta do Google Cloud neste laboratório para evitar cobranças extras na sua conta.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. Se for preciso pagar, você verá um pop-up para selecionar a forma de pagamento. No painel Detalhes do laboratório à esquerda, você verá o seguinte:

   • O botão Abrir Console do Cloud
   • Tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações se forem necessárias

2. Clique em Abrir Console do Google. O laboratório ativa recursos e depois abre outra guia com a página Fazer login.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Caso seja preciso, copie o Nome de usuário no painel Detalhes do laboratório e cole esse nome na caixa de diálogo Fazer login. Clique em Avançar.

4. Copie a Senha no painel Detalhes do laboratório e a cole na caixa de diálogo Olá. Clique em Avançar.

   Importante: você precisa usar as credenciais do painel à esquerda. Não use suas credenciais do Google Cloud Ensina. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

5. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do GCP vai ser aberto nesta guia.

Observação: para ver uma lista dos produtos e serviços do Google Cloud, clique no Menu de navegação no canto superior esquerdo.

Ativar o Cloud Shell

O Cloud Shell é uma máquina virtual com várias ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud. O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

1. Clique em Ativar o Cloud Shell na parte de cima do console do Google Cloud.

Depois de se conectar, vai notar que sua conta já está autenticada, e que o projeto está configurado com seu PROJECT_ID. A saída contém uma linha que declara o projeto PROJECT_ID para esta sessão:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

2. (Opcional) É possível listar o nome da conta ativa usando este comando:

gcloud auth list

3. Clique em Autorizar.

4. A saída será parecida com esta:

Saída:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Opcional) É possível listar o ID do projeto usando este comando:

gcloud config list project

Saída:

[core] project = <project_ID>

Exemplo de saída:

[core] project = qwiklabs-gcp-44776a13dea667a6 Observação: para conferir a documentação completa da gcloud, acesse o guia com informações gerais sobre a gcloud CLI no Google Cloud.

Tarefa 1: configure o peering de rede VPC

Dentro do mesmo nó da organização, uma rede pode hospedar serviços que precisam ser acessados a partir de outras redes VPC em um ou mais projetos.

Também é possível que a organização acesse serviços de terceiros.

Os nomes dos projetos são exclusivos em todo o Google Cloud, então não é necessário especificar a organização ao configurar o peering. O Google Cloud conhece a organização com base no nome do projeto.

Criar uma rede personalizada nos projetos

Neste laboratório, foram provisionados 2 projetos: o primeiro é o project-A e o segundo é o project-B.

1. Para gerenciar dois projetos, inicie uma nova sessão do Cloud Shell clicando no ícone +.

2. Na segunda sessão do Cloud Shell, defina o ID para o segundo projeto:

gcloud config set project {{{ project_1.project_id }}}

project-A:

1. Volte para a primeira sessão do Cloud Shell e execute o comando a seguir para criar uma rede personalizada:

gcloud compute networks create network-a --subnet-mode custom

2. Execute o comando a seguir para criar uma sub-rede nessa VPC e especificar uma região e um intervalo de IPs:

gcloud compute networks subnets create network-a-subnet --network network-a \ --range 10.0.0.0/16 --region {{{ project_0.default_region }}}

3. Crie uma instância de VM:

gcloud compute instances create vm-a --zone {{{ project_0.default_zone }}} --network network-a --subnet network-a-subnet --machine-type e2-small

4. Como você vai precisar de um Secure Shell para se comunicar com as VMs durante o teste de conectividade, execute o código a seguir para ativar o SSH e o icmp:

gcloud compute firewall-rules create network-a-fw --network network-a --allow tcp:22,icmp

Depois, configure o Project-B da mesma forma.

Clique em Verificar meu progresso para conferir o objetivo. Crie uma rede personalizada no project-A

project-B:

1. Mude para a segunda sessão do Cloud Shell e crie uma rede personalizada:

gcloud compute networks create network-b --subnet-mode custom

2. Execute o comando a seguir para criar uma sub-rede nessa VPC e especificar uma região e um intervalo de IPs:

gcloud compute networks subnets create network-b-subnet --network network-b \ --range 10.8.0.0/16 --region {{{ project_1.default_region }}}

3. Crie uma instância de VM:

gcloud compute instances create vm-b --zone {{{ project_1.default_zone }}} --network network-b --subnet network-b-subnet --machine-type e2-small

4. Como você vai precisar de um Secure Shell para se comunicar com as VMs durante o teste de conectividade, execute o código a seguir para ativar o SSH e o icmp:

gcloud compute firewall-rules create network-b-fw --network network-b --allow tcp:22,icmp

Clique em Verificar meu progresso para conferir o objetivo. Crie uma rede personalizada no project-B

Tarefa 2: configuração de uma sessão de peering de redes VPC

Considere uma organização que precisa estabelecer um peering de rede VPC entre a network-a no Project-A e a network-b no Project-B. Para que o peering dessas redes seja estabelecido corretamente, os administradores da network-a e da network-b precisarão configurar separadamente a associação.

Faça o peering entre network-A e network-B:

Selecione o projeto correto no console antes de aplicar as configurações. Para fazer isso, clique na seta para baixo ao lado do ID do projeto na parte de cima da tela e selecione o ID do projeto necessário.

project-A

Acesse Peering da rede VPC no console do Google Cloud. Para isso, navegue até a seção "Rede" e clique em Rede VPC > Peering da rede VPC no menu à esquerda. Depois:

1. Clique em Criar conexão.
2. Clique em Continuar.
3. Digite "peer-ab" como o Nome desse lado da conexão.
4. Em Sua rede VPC, selecione a rede com que você quer fazer peering (network-a).
5. Defina o botão de opção Rede VPC com peering como Em outro projeto.
6. Copie o ID do projeto do segundo projeto.

{{{ project_1.project_id }}}

7. Digite o Nome da rede VPC correspondente a network-b.
8. Clique em Criar.

O estado de peering ainda está INATIVO porque não há configuração correspondente de network-b no Project-B. A mensagem de status Aguardando a conexão da rede com peering vai aparecer.

Clique em Verificar meu progresso para conferir o objetivo. Faça o peering entre network-a e network-b

Faça o peering entre network-b e network-a

Observação: mude para o segundo projeto no console.

project-B

1. Clique em Criar conexão.
2. Clique em Continuar.
3. Digite "peer-ba" como o Nome para esse lado da conexão.
4. Em Sua rede VPC, selecione a rede que você quer fazer peering (network-b).
5. Defina o botão de opção Rede VPC com peering como Em outro projeto, a menos que você queira usar o mesmo projeto.
6. Especifique o ID do projeto do primeiro projeto.

{{{ project_0.project_id }}}

7. Especifique o Nome da rede VPC referente a network-a.
8. Clique em Criar.

No peering da rede VPC, peer-ba vai aparecer na lista de propriedade.

O peering de rede VPC fica em estado ATIVO, e as rotas são trocadas. Assim que o peering passa para esse estado, os fluxos de tráfego são configurados:

• entre instâncias de VM nas redes com peering: conectividade de malha total;
• das instâncias de VM em uma rede para endpoints de balanceamento de carga interno na rede com peering.

Agora as rotas até os prefixos CIDR das redes com peering estão visíveis em todos os peerings de rede VPC. Elas são rotas implícitas geradas para peerings ativos e não dispõem de recursos de rotas correspondentes. O comando a seguir lista rotas de todas as redes VPC para o projeto-A.

gcloud compute routes list --project {{{ project_0.project_id }}}

Exemplo de saída:

NAME NETWORK DEST_RANGE NEXT_HOP PRIORITY default-route-2a865a00fa31d5df network-a 0.0.0.0/0 default-internet-gateway 1000 default-route-8af4732e693eae27 network-a 10.0.0.0/16 1000 peering-route-4732ee69e3ecab41 network-a 10.8.0.0/16 peer-ab 1000

Clique em Verificar meu progresso para conferir o objetivo. Faça o peering entre network-b e network-a

Tarefa 3: teste de conectividade

Nesta seção, vamos executar testes de conectividade

project-A

1. Navegue até o console das instâncias de VMs clicando no Menu de navegação > Compute Engine > Instâncias de VMs.

2. Copie INTERNAL_IP para vm-a.

project-B

1. No Menu de navegação, selecione Compute Engine > Instâncias de VM.

Use SSH para acessar a instância vm-b.

2. No shell SSH de vm-b, execute o comando a seguir substituindo <INTERNAL_IP_OF_VM_A> pelo INTERNAL_IP da instância vm-a:

ping -c 5 <INTERNAL_IP_OF_VM_A>

Exemplo de saída:

PING 10.8.0.2 (10.8.0.2) 56(84) bytes of data. 64 bytes from 10.8.0.2: icmp_seq=1 ttl=64 time=1.07 ms 64 bytes from 10.8.0.2: icmp_seq=2 ttl=64 time=0.364 ms 64 bytes from 10.8.0.2: icmp_seq=3 ttl=64 time=0.205 ms 64 bytes from 10.8.0.2: icmp_seq=4 ttl=64 time=0.216 ms 64 bytes from 10.8.0.2: icmp_seq=5 ttl=64 time=0.164 ms --- 10.8.0.2 ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4065ms rtt min/avg/max/mdev = 0.164/0.404/1.072/0.340 ms

Você aprendeu a configurar o peering de VPC entre projetos em um ambiente de nuvem.

Parabéns!

Termine a Quest

Este laboratório autoguiado faz parte da Quest Security & Identity Fundamentals. Uma Quest é uma série de laboratórios relacionados que formam um programa de aprendizado. Ao concluir uma Quest, você ganha um selo como reconhecimento da sua conquista. Você pode publicar os selos com um link para eles no seu currículo on-line ou nas redes sociais. Inscreva-se nesta Quest ou em outra que tenha este laboratório para receber os créditos de conclusão imediatamente. Consulte o catálogo do Google Cloud Ensina para ver todas as Quests disponíveis.

Comece o próximo laboratório

Continue sua Quest com Autenticação de usuário: Identity-Aware Proxy ou tente uma destas sugestões:

• Balanceador de carga HTTP com Cloud Armor
• Prevenção contra perda de dados: Qwik Start – Linha de comando

Próximas etapas/Saiba mais

• Leia mais sobre redes VPC: https://cloud.google.com/vpc/docs/vpc
• Leia mais sobre peering de rede VPC: https://cloud.google.com/vpc/docs/vpc-peering

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 25 de setembro de 2023

Laboratório testado em 25 de setembro de 2023

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.