arrow_back

Como criar VPNs de alta capacidade

Fazer login Inscreva-se
Acesse mais de 700 laboratórios e cursos

Como criar VPNs de alta capacidade

Laboratório 1 hora universal_currency_alt 7 créditos show_chart Avançado
info Este laboratório pode incorporar ferramentas de IA para ajudar no seu aprendizado.
Acesse mais de 700 laboratórios e cursos

GSP062

Logotipo dos laboratórios autoguiados do Google Cloud

Visão geral

Neste laboratório prático, você vai aprender a criar uma VPN segura de alta capacidade e testar a velocidade dela.

Ter uma comunicação segura entre o Google Cloud e outras nuvens ou sistemas locais é uma necessidade básica, porém essencial. Por isso, o Google Cloud facilita a criação de redes privadas virtuais (VPNs) com o Protocolo de Segurança IP (IPsec). Quando um túnel não oferece a capacidade de processamento necessária, o Google Cloud distribui o tráfego entre vários túneis, disponibilizando mais largura de banda.

Objetivos

Veja as atividades incluídas neste laboratório:

  • Criar uma VPN

    • Criar uma Nuvem Privada Virtual (VPC) chamada cloud para simular a rede do Google Cloud e uma VPC chamada on-prem (local) para simular uma rede externa.
    • Criar gateways de VPN, regras de encaminhamento e endereços para a VPC cloud.
    • Formar um túnel para a nova VPN e rotear o tráfego dele.
    • Criar uma segunda VPN, repetindo o processo de criação da VPC on-prem.

  • Testar as VPNs

    • Criar uma máquina virtual (VM) usando o Compute Engine para testes de carga de capacidade.
    • Testar a velocidade efetiva de uma única VPN usando a ferramenta iperf.

Pré-requisitos

Para tirar o máximo deste aprendizado , lembre-se de:

Configuração e requisitos

Antes de clicar no botão Começar o Laboratório

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é ativado quando você clica em Iniciar laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, e não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

  • Acesso a um navegador de Internet padrão (recomendamos o Chrome).
Observação: para executar este laboratório, use o modo de navegação anônima (recomendado) ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e de estudante, o que poderia causar cobranças extras na sua conta pessoal.
  • Tempo para concluir o laboratório: não se esqueça que, depois de começar, não será possível pausar o laboratório.
Observação: use apenas a conta de estudante neste laboratório. Se usar outra conta do Google Cloud, você poderá receber cobranças nela.

Como iniciar seu laboratório e fazer login no console do Google Cloud

  1. Clique no botão Começar o laboratório. Se for preciso pagar por ele, uma caixa de diálogo vai aparecer para você selecionar a forma de pagamento. No painel Detalhes do Laboratório, à esquerda, você vai encontrar o seguinte:

    • O botão Abrir Console do Google Cloud
    • O tempo restante
    • As credenciais temporárias que você vai usar neste laboratório
    • Outras informações, se forem necessárias

  2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

    O laboratório ativa os recursos e depois abre a página Fazer Login em outra guia.

    Dica: coloque as guias em janelas separadas lado a lado.

    Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

  3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

    {{{user_0.username | "Username"}}}

    Você também encontra o nome de usuário no painel Detalhes do Laboratório.

  4. Clique em Próxima.

  5. Copie a Senha abaixo e cole na caixa de diálogo de Olá.

    {{{user_0.password | "Password"}}}

    Você também encontra a senha no painel Detalhes do Laboratório.

  6. Clique em Próxima.

    Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

  7. Acesse as próximas páginas:

    • Aceite os Termos e Condições.
    • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
    • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: para acessar os produtos e serviços do Google Cloud, clique no Menu de navegação ou digite o nome do serviço ou produto no campo Pesquisar. Ícone do menu de navegação e campo de pesquisa

Ativar o Cloud Shell

O Cloud Shell é uma máquina virtual com várias ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud. O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

  1. Clique em Ativar o Cloud Shell Ícone "Ativar o Cloud Shell" na parte de cima do console do Google Cloud.

  2. Clique nas seguintes janelas:

    • Continue na janela de informações do Cloud Shell.
    • Autorize o Cloud Shell a usar suas credenciais para fazer chamadas de APIs do Google Cloud.

Depois de se conectar, você verá que sua conta já está autenticada e que o projeto está configurado com seu Project_ID, . A saída contém uma linha que declara o projeto PROJECT_ID para esta sessão:

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

A gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

  1. (Opcional) É possível listar o nome da conta ativa usando este comando:
gcloud auth list
  1. Clique em Autorizar.

Saída:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (Opcional) É possível listar o ID do projeto usando este comando:
gcloud config list project

Saída:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Observação: consulte a documentação completa da gcloud no Google Cloud no guia de visão geral da gcloud CLI.

Tarefa 1: criar uma nuvem privada virtual (VPC) chamada cloud

Nesta seção, veremos como:

  • Criar uma VPC para simular a rede de produção em nuvem
  • Permitir o fluxo de tráfego comum por meio da VPC
  • Criar uma sub-rede para implantação de hosts
  1. No Cloud Shell, execute o comando a seguir para criar a VPC chamada cloud associada ao seu projeto do Google Cloud:
gcloud compute networks create cloud --subnet-mode custom

Com essa VPC, é possível usar endereços IP não padrão, mas ela não inclui as regras de firewall básicas.

  1. Execute o comando a seguir para ativar os protocolos SSH e ICMP, porque você precisará de um Secure Shell para se comunicar com as VMs durante os testes de carga:
gcloud compute firewall-rules create cloud-fw --network cloud --allow tcp:22,tcp:5001,udp:5001,icmp
  1. Execute o comando abaixo para criar uma sub-rede nessa VPC e especificar uma região e um intervalo de IP:
gcloud compute networks subnets create cloud-east --network cloud \ --range 10.0.1.0/24 --region {{{project_0.default_region_2 | REGION2}}}

Nesta solução, você vai usar o intervalo 10.0.1.0/24 e a região .

Tarefa 2: criar a VPC local

Nesta seção, você criará uma simulação de uma VPC on-prem ou qualquer rede que você queira conectar à cloud. Para essa prática, você já tem os recursos necessários. Mas, se precisar criar túneis e validar configurações, siga estas etapas:

  1. No Cloud Shell, crie uma nova VPC de sub-rede on-prem personalizada, associada ao seu projeto, executando o seguinte comando:
gcloud compute networks create on-prem --subnet-mode custom
  1. Execute o código a seguir para ativar os protocolos SSH e ICMP nos hosts da VPC on-prem, porque você precisará de um shell seguro para se comunicar com as VMs durante os testes de carga:
gcloud compute firewall-rules create on-prem-fw --network on-prem --allow tcp:22,tcp:5001,udp:5001,icmp
  1. Para especificar o prefixo de sub-rede da região, execute o comando a seguir:
gcloud compute networks subnets create on-prem-central \ --network on-prem --range 192.168.1.0/24 --region {{{project_0.default_region |REGION}}} Observação: neste exemplo, você atribui `192.168.1.0/24` à região . Criar duas VPCs personalizadas com sub-redes e regras de firewall.

Tarefa 3: criar gateways de VPN

Cada ambiente requer gateways de VPN para uma comunicação externa segura. Siga estas etapas para criar os gateways iniciais das VPCs cloud e on-prem:

  1. No Cloud Shell, crie um gateway de VPN chamado on-prem-gw1 na VPC on-prem e na região :
gcloud compute target-vpn-gateways create on-prem-gw1 --network on-prem --region {{{project_0.default_region |REGION}}}
  1. Agora crie um gateway de VPN chamado cloud-gw1 na VPC cloud e na região :
gcloud compute target-vpn-gateways create cloud-gw1 --network cloud --region {{{project_0.default_region_2 | REGION2}}}

Tarefa 4: criar um túnel VPN baseado em rota entre a rede local e a do Google Cloud

Cada gateway de VPN precisa de um endereço IP externo estático, para que os sistemas fora da VPC possam se comunicar com eles. Agora você vai criar os endereços IP e as rotas nas VPCs cloud e on-prem.

  1. No Cloud Shell, aloque o IP para o gateway de VPN cloud-gw1:
gcloud compute addresses create cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}
  1. Aloque o IP para o gateway de VPN on-prem-gw1:
gcloud compute addresses create on-prem-gw1 --region {{{project_0.default_region |REGION}}}
  1. Guarde os endereços de gateway, porque você vai precisar deles para seus comandos, mais tarde.

Primeiro para o gateway cloud-gw1:

cloud_gw1_ip=$(gcloud compute addresses describe cloud-gw1 \ --region {{{project_0.default_region_2 | REGION2}}} --format='value(address)')

Depois para o gateway on-prem-gw1:

on_prem_gw_ip=$(gcloud compute addresses describe on-prem-gw1 \ --region {{{project_0.default_region |REGION}}} --format='value(address)')
  1. Agora você vai criar regras de encaminhamento do protocolo IPsec na VPC cloud. Você precisa criar regras de encaminhamento nas duas direções.

Encaminhe o protocolo ESP pelo gateway cloud-gw1:

gcloud compute forwarding-rules create cloud-1-fr-esp --ip-protocol ESP \ --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

Encaminhe o tráfego UDP:500 pelo gateway cloud-gw1:

gcloud compute forwarding-rules create cloud-1-fr-udp500 --ip-protocol UDP \ --ports 500 --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

Encaminhe o tráfego UDP:4500 pelo gateway cloud-gw1:

gcloud compute forwarding-rules create cloud-fr-1-udp4500 --ip-protocol UDP \ --ports 4500 --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}
  1. Com o mesmo método, crie regras de encaminhamento de firewall para o túnel IPsec na VPC on-prem. Com isso, o túnel IPsec pode passar os firewalls:

Encaminhe o protocolo ESP pelo gateway on-prem-gw1:

gcloud compute forwarding-rules create on-prem-fr-esp --ip-protocol ESP \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}}

Encaminhe o tráfego UDP:500, usado para estabelecer o túnel IPsec, por on-prem-gw1:

gcloud compute forwarding-rules create on-prem-fr-udp500 --ip-protocol UDP --ports 500 \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}}

Encaminhe o tráfego UDP:4500, que carrega o tráfego criptografado, por on-prem-gw1:

gcloud compute forwarding-rules create on-prem-fr-udp4500 --ip-protocol UDP --ports 4500 \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}} Criar dois gateways de VPN e as regras de encaminhamento necessárias.

Normalmente, seria necessário gerar uma chave secreta na próxima etapa, quando você for criar e validar os túneis on-prem-tunnel1 e cloud-tunnel1. Para informações sobre como criar e armazenar chaves secretas de maneira segura, consulte a página Informações gerais sobre o Secret Manager. Por enquanto, use apenas a string "sharedsecret".

Crie um túnel para a rede local on-prem-tunnel1 e para a rede baseada na nuvem cloud-tunnel1. Cada rede deve ter um gateway de VPN, e as chaves secretas precisam corresponder a cada um deles. Os dois comandos a seguir demonstram que, em um ambiente de produção, normalmente você substituiria [MY_SECRET] pela chave secreta que gerou. Neste caso, substitua por "sharedsecret".

  1. Crie o túnel VPN de on-prem para cloud:
gcloud compute vpn-tunnels create on-prem-tunnel1 --peer-address $cloud_gw1_ip \ --target-vpn-gateway on-prem-gw1 --ike-version 2 --local-traffic-selector 0.0.0.0/0 \ --remote-traffic-selector 0.0.0.0/0 --shared-secret=[MY_SECRET] --region {{{project_0.default_region |REGION}}}
  1. Crie o túnel VPN de cloud para on-prem:
gcloud compute vpn-tunnels create cloud-tunnel1 --peer-address $on_prem_gw_ip \ --target-vpn-gateway cloud-gw1 --ike-version 2 --local-traffic-selector 0.0.0.0/0 \ --remote-traffic-selector 0.0.0.0/0 --shared-secret=[MY_SECRET] --region {{{project_0.default_region_2 | REGION2}}}

Agora que já criou os gateways e estabeleceu os túneis, você precisa adicionar as rotas das sub-redes que passam pelos túneis.

  1. Direcione o tráfego da VPC on-prem para o intervalo cloud 10.0.1.0/24 pelo túnel:
gcloud compute routes create on-prem-route1 --destination-range 10.0.1.0/24 \ --network on-prem --next-hop-vpn-tunnel on-prem-tunnel1 \ --next-hop-vpn-tunnel-region {{{project_0.default_region |REGION}}}
  1. Direcione o tráfego da VPC cloud para o intervalo on-prem 192.168.1.0/24 pelo túnel:
gcloud compute routes create cloud-route1 --destination-range 192.168.1.0/24 \ --network cloud --next-hop-vpn-tunnel cloud-tunnel1 --next-hop-vpn-tunnel-region {{{project_0.default_region_2 | REGION2}}} Crie dois túneis VPN.

Tarefa 5: testar a capacidade de processamento da VPN

A esta altura, você já estabeleceu um caminho seguro entre as VPCs on-prem e cloud. Para verificar a taxa de transferência, use o iperf, uma ferramenta de código aberto para testes de carga de rede. Para realizar esse teste, é necessário ter uma VM em cada ambiente: uma para enviar o tráfego e outra para recebê-lo. Elas serão criadas a seguir.

Teste único de carga VPN

Agora você vai criar uma máquina virtual chamada cloud-loadtest para a VPC cloud. Este exemplo usa uma imagem do Debian Linux como SO.

Observação: caso já tenha um projeto, pule esta etapa e use os recursos que tem. A largura de banda de uma VM é 2 Gbps * vCPUs (o mínimo recomendado é de 4 vCPUs).
  1. Execute o comando a seguir:
gcloud compute instances create "cloud-loadtest" --zone {{{project_0.default_zone_2 |ZONE2}}} \ --machine-type "e2-standard-4" --subnet "cloud-east" \ --image-family "debian-11" --image-project "debian-cloud" --boot-disk-size "10" \ --boot-disk-type "pd-standard" --boot-disk-device-name "cloud-loadtest"
  1. Crie uma máquina virtual chamada on-prem-loadtest para a VPC on-prem. Este exemplo usa a mesma imagem do Debian da VPC cloud. Pule esta etapa se você já tiver os recursos.

Execute o comando a seguir:

gcloud compute instances create "on-prem-loadtest" --zone {{{project_0.default_zone |ZONE}}} \ --machine-type "e2-standard-4" --subnet "on-prem-central" \ --image-family "debian-11" --image-project "debian-cloud" --boot-disk-size "10" \ --boot-disk-type "pd-standard" --boot-disk-device-name "on-prem-loadtest"
  1. Estabeleça uma conexão SSH com cada VM, usando o Console ou uma linha de comando, e instale uma cópia do iperf com o seguinte comando:
sudo apt-get install iperf
  1. Na VM on-prem-loadtest, execute este comando:
iperf -s -i 5

Você criou um servidor iperf na VM, que informa o status dela a cada cinco segundos.

  1. Na VM cloud-loadtest, execute este comando:
iperf -c 192.168.1.2 -P 20 -x C

Isso cria um cliente iperf com 20 streams, que informa os valores após 10 segundos de teste.

Criar duas VMs e instalar o iperf via SSH.

Como solucionar os problemas que podem aparecer

Observação: isso não faz parte das instruções deste laboratório.
  1. Ao criar os túneis para a rede local, se você tiver se esquecido de substituir [MY_SECRET] por "sharedsecret":

Exclua os túneis VPN criados com o comando a seguir:

gcloud compute vpn-tunnels delete [tunnel-name] --region [region]
  • Substitua [tunnel-name] pelo nome do túnel.
  • Substitua [region] pela região especificada durante a criação do túnel.
  1. Se tiver problemas na seção "Teste único de carga de VPN":

  • Verifique se o iperf foi instalado nas duas VMs.

  • Se você receber o erro de conexão recusada, verifique:

    • As regras de firewall das redes criadas (tcp:5001)
    • Se o servidor está sendo executado adequadamente na VM on-prem-loadtest
    • Se você está tentando se conectar ao servidor pela VM cloud-loadtest
  1. Se quiser ver as regras de encaminhamento criadas no console:
  • No menu de navegação, acesse a seção "Rede".
  • Clique em Conectividade de rede > VPN.
  • Selecione "Gateway do Cloud VPN" para acessar a página com os detalhes sobre ele.

Parabéns!

Neste laboratório, você criou uma VPN de alta capacidade entre duas redes simuladas, uma VPC na nuvem e uma VPC local. Você aprendeu a criar VPCs personalizadas, configurar gateways de VPN, estabelecer túneis seguros com o protocolo IPsec e rotear o tráfego por esses túneis. Por fim, você testou a capacidade da VPN usando o iperf para medir a taxa de desempenho.

A seguir

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 30 de março de 2025.

Laboratório testado em 25 de fevereiro de 2025.

Copyright 2025 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.

Antes de começar

  1. Os laboratórios criam um projeto e recursos do Google Cloud por um período fixo
  2. Os laboratórios têm um limite de tempo e não têm o recurso de pausa. Se você encerrar o laboratório, vai precisar recomeçar do início.
  3. No canto superior esquerdo da tela, clique em Começar o laboratório

Usar a navegação anônima

  1. Copie o nome de usuário e a senha fornecidos para o laboratório
  2. Clique em Abrir console no modo anônimo

Fazer login no console

  1. Faça login usando suas credenciais do laboratório. Usar outras credenciais pode causar erros ou gerar cobranças.
  2. Aceite os termos e pule a página de recursos de recuperação
  3. Não clique em Terminar o laboratório a menos que você tenha concluído ou queira recomeçar, porque isso vai apagar seu trabalho e remover o projeto

Este conteúdo não está disponível no momento

Você vai receber uma notificação por e-mail quando ele estiver disponível

Ótimo!

Vamos entrar em contato por e-mail se ele ficar disponível

Um laboratório por vez

Confirme para encerrar todos os laboratórios atuais e iniciar este

Use a navegação anônima para executar o laboratório

Para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.