Konektivitas antar-VPC Jaringan Lintas Cloud menggunakan Network Connectivity Center

Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Dokumen ini menyediakan arsitektur referensi yang dapat Anda gunakan untuk men-deploy topologi jaringan antar-VPC Jaringan Lintas-Cloud di Google Cloud. Desain jaringan ini memungkinkan deployment layanan software di seluruh Google Cloud dan jaringan eksternal, seperti pusat data lokal atau Penyedia Layanan Cloud (CSP) lainnya.

Audiens yang diinginkan untuk dokumen ini mencakup administrator jaringan, arsitek cloud, dan arsitek perusahaan yang akan membangun konektivitas jaringan. Hal ini juga mencakup arsitek cloud yang merencanakan bagaimana workload di-deploy. Dokumen ini mengasumsikan pemahaman dasar tentang perutean dan konektivitas internet.

Desain ini mendukung beberapa koneksi eksternal, beberapa jaringan Virtual Private Cloud (VPC) akses layanan yang berisi layanan dan titik akses layanan, serta beberapa jaringan VPC workload.

Dalam dokumen ini, istilah titik akses layanan mengacu pada titik akses ke layanan yang disediakan menggunakan Google Cloud akses layanan pribadi dan Private Service Connect. Network Connectivity Center adalah model bidang kontrol hub-and-spoke untuk pengelolaan konektivitas jaringan di Google Cloud. Resource hub menyediakan pengelolaan konektivitas terpusat untuk spoke VPC Network Connectivity Center.

Hub Network Connectivity Center adalah bidang kontrol global yang mempelajari dan mendistribusikan rute di antara berbagai jenis spoke yang terhubung. Jari-jari VPC biasanya memasukkan rute subnet ke tabel rute hub terpusat. Jari-jari hybrid biasanya menginjeksikan rute dinamis ke dalam tabel rute hub terpusat. Dengan menggunakan informasi bidang kontrol hub Network Connectivity Center, Google Cloud secara otomatis membuat konektivitas data-plane antara jari-jari Network Connectivity Center.

Network Connectivity Center adalah pendekatan yang direkomendasikan untuk menghubungkan VPC guna pertumbuhan skalabel di Google CloudJika harus menyisipkan peralatan virtual jaringan (NVA) di jalur traffic, Anda dapat menggunakan fungsi peralatan Router untuk rute dinamis atau menggunakan rute statis atau berbasis kebijakan beserta Peering Jaringan VPC untuk menghubungkan VPC. Untuk informasi selengkapnya, lihat Konektivitas antar-VPC Jaringan Lintas Cloud dengan Peering Jaringan VPC.

Arsitektur

Diagram berikut menunjukkan tampilan tingkat tinggi dari arsitektur jaringan dan berbagai alur paket yang didukung arsitektur ini.

Arsitektur ini berisi elemen tingkat tinggi berikut:

Komponen	Tujuan	Interaksi
Jaringan eksternal (Jaringan lokal atau jaringan CSP lainnya)	Menghosting klien workload yang berjalan di VPC workload dan di VPC akses layanan. Jaringan eksternal juga dapat menghosting layanan.	Bertukar data dengan jaringan VPC Google Cloud melalui jaringan transit. Terhubung ke jaringan transit menggunakan Cloud Interconnect atau VPN HA. Menghentikan salah satu ujung alur berikut: Eksternal ke eksternal Eksternal ke akses layanan External-to-Private-Service-Connect-consumer Eksternal ke beban kerja
Jaringan VPC Transit (juga dikenal sebagai jaringan VPC Pemilihan Rute di Network Connectivity Center)	Berfungsi sebagai hub untuk jaringan eksternal, jaringan VPC akses layanan, dan jaringan VPC workload.	Menghubungkan jaringan eksternal, jaringan VPC akses layanan, jaringan konsumen Private Service Connect, dan jaringan VPC workload secara bersamaan melalui kombinasi Cloud Interconnect, VPN dengan ketersediaan tinggi (HA), dan Network Connectivity Center.
Jaringan VPC akses layanan	Memberikan akses ke layanan yang diperlukan oleh workload yang berjalan di jaringan VPC workload atau jaringan eksternal. Juga menyediakan titik akses ke layanan terkelola yang dihosting di jaringan lain.	Bertukar data dengan jaringan konsumen eksternal, workload, dan Private Service Connect melalui jaringan transit. Menghubungkan ke VPC transit menggunakan VPN HA. Perutean transitif yang disediakan oleh VPN dengan ketersediaan tinggi (HA) memungkinkan traffic eksternal menjangkau VPC layanan terkelola melalui jaringan VPC dengan akses layanan. Menghentikan salah satu ujung alur berikut: Eksternal ke akses layanan Workload-to-service-access Akses layanan-ke-Layanan-Layanan-Connect-konsumen
Jaringan VPC layanan terkelola	Menghosting layanan terkelola yang diperlukan klien di jaringan lain.	Bertukar data dengan jaringan eksternal, akses layanan, konsumen Private Service Connect, dan jaringan workload. Terhubung ke jaringan VPC akses layanan menggunakan akses layanan pribadi, yang menggunakan Peering Jaringan VPC. VPC layanan terkelola juga dapat terhubung ke VPC konsumen Private Service Connect menggunakan Private Service Connect atau akses layanan pribadi. Menghentikan satu ujung alur dari semua jaringan lainnya.
VPC konsumen Private Service Connect	Menghosting endpoint Private Service Connect yang dapat diakses dari jaringan lain. VPC ini juga dapat berupa VPC workload.	Bertukar data dengan jaringan VPC eksternal dan akses layanan melalui jaringan VPC transit. Menghubungkan ke jaringan transit dan jaringan VPC workload lainnya menggunakan spoke VPC Network Connectivity Center.
Jaringan VPC beban kerja	Menghosting workload yang dibutuhkan oleh klien di jaringan lain. Arsitektur ini memungkinkan adanya beberapa jaringan VPC workload.	Bertukar data dengan jaringan VPC eksternal dan akses layanan melalui jaringan VPC transit. Menghubungkan ke jaringan transit, jaringan konsumen Private Service Connect, dan jaringan VPC workload lainnya menggunakan spoke VPC Network Connectivity Center. Menghentikan salah satu ujung alur berikut: Eksternal ke beban kerja Workload-to-service-access Workload-to-Private-Service-Connect-consumer Workload-ke-beban kerja
Network Connectivity Center	Hub Network Connectivity Center menggabungkan database perutean global yang berfungsi sebagai bidang kontrol jaringan untuk subnet VPC dan rute koneksi hybrid di seluruh Google Cloud region.	Menghubungkan beberapa VPC dan jaringan hybrid dalam topologi apa saja dengan membangun jalur data yang menggunakan tabel perutean bidang kontrol.

Diagram berikut menunjukkan tampilan arsitektur mendetail yang menyoroti empat koneksi di antara komponen:

Deskripsi koneksi

Bagian ini menjelaskan empat koneksi yang ditunjukkan dalam diagram sebelumnya. Dokumentasi Network Connectivity Center mengacu pada jaringan VPC transit sebagai VPC pemilihan rute. Meskipun jaringan tersebut memiliki nama yang berbeda, mereka memiliki tujuan yang sama.

Koneksi 1: Antara jaringan eksternal dan jaringan VPC transit

Koneksi antara jaringan eksternal dan jaringan VPC transit ini terjadi melalui Cloud Interconnect atau VPN HA. Rute dipertukarkan menggunakan BGP antara Cloud Router dalam jaringan VPC transit dan antara router eksternal di jaringan eksternal.

• Router di jaringan eksternal mengumumkan rute untuk subnet eksternal ke Cloud Router VPC transit. Secara umum, router eksternal di lokasi tertentu mengumumkan rute dari lokasi eksternal yang sama sebagai lebih disarankan daripada rute untuk lokasi eksternal lainnya. Preferensi rute dapat dinyatakan menggunakan metrik dan atribut BGP.
• Cloud Router di jaringan VPC transportasi umum mengiklankan rute untuk awalan di VPC Google Cloudke jaringan eksternal. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
• Dengan Network Connectivity Center, Anda dapat mentransfer data antara berbagai jaringan lokal menggunakan jaringan backbone Google. Saat mengonfigurasi lampiran VLAN interkoneksi sebagai jari-jari hybrid Network Connectivity Center, Anda harus mengaktifkan transfer data site-to-site.
• Lampiran VLAN Cloud Interconnect yang berasal dari awalan jaringan eksternal yang sama dikonfigurasi sebagai satu spion dalam Network Connectivity Center.

Koneksi 2: Di antara jaringan VPC transit dan jaringan VPC akses layanan

Hubungan antara jaringan VPC transit dan jaringan VPC akses layanan ini terjadi melalui VPN dengan ketersediaan tinggi (HA) dengan tunnel terpisah untuk setiap region. Rute dipertukarkan menggunakan BGP antara Cloud Router regional dalam jaringan VPC transit dan di jaringan VPC akses layanan.

• Cloud Router dengan ketersediaan tinggi (HA) di Transit VPC mengumumkan rute untuk awalan jaringan eksternal, VPC workload, dan VPC akses layanan lainnya ke VPC Cloud Router yang dapat diakses layanan. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
• VPC akses layanan mengumumkan subnet dan subnet dari setiap jaringan VPC layanan terkelola yang terpasang ke jaringan VPC transit. Rute VPC layanan terkelola dan rute subnet VPC akses layanan harus diumumkan menggunakan pengumuman rute kustom Cloud Router.

Koneksi 3: Antara jaringan VPC transit, jaringan VPC workload, dan jaringan VPC akses layanan Private Service Connect

Koneksi antara jaringan VPC transit, jaringan VPC workload, dan jaringan VPC konsumen Private Service Connect terjadi saat subnet dan rute awalan ditukarkan menggunakan Network Connectivity Center. Koneksi ini memungkinkan komunikasi antara jaringan VPC workload, jaringan VPC akses layanan yang terhubung sebagai spoke VPC Network Connectivity Center, dan jaringan lain yang terhubung sebagai spoke hybrid Network Connectivity Center. Jaringan lain ini mencakup jaringan eksternal dan jaringan VPC akses layanan yang masing-masing menggunakan koneksi 1 dan koneksi 2.

• Lampiran Cloud Interconnect atau VPN HA di jaringan VPC transit menggunakan Network Connectivity Center untuk mengekspor rute dinamis ke jaringan VPC workload.
• Saat Anda mengonfigurasi jaringan VPC workload sebagai fokus dari hub Network Connectivity Center, jaringan VPC workload akan otomatis mengekspor subnetnya ke jaringan VPC transit. Anda juga dapat menyiapkan jaringan VPC transit sebagai spoke VPC. Tidak ada rute statis yang diekspor dari jaringan VPC workload ke jaringan VPC transit. Tidak ada rute statis yang diekspor dari jaringan VPC transit ke jaringan VPC workload.

Koneksi 4: Private Service Connect VPC Konsumen dengan penerapan Network Connectivity Center

• Endpoint Private Service Connect diatur dalam VPC umum yang memungkinkan konsumen mengakses layanan terkelola pihak pertama dan pihak ketiga.
• Jaringan VPC konsumen Private Service Connect dikonfigurasi sebagai VPC Network Connectivity Center Tindakan ini akan mengaktifkan propagasi Private Service Connect di hub Network Connectivity Center. Private Service Connect mengumumkan awalan host endpoint Private Service Connect sebagai rute ke tabel perutean hub Network Connectivity Center.
• Jaringan VPC konsumen akses layanan Private Service Connect terhubung ke jaringan VPC workload dan ke jaringan VPC transit. Koneksi ini memungkinkan konektivitas transitif ke endpoint Private Service Connect. Hub Network Connectivity Center harus mengaktifkan propagasi koneksi Private Service Connect.
• Network Connectivity Center secara otomatis membangun jalur data dari semua spoke ke endpoint Private Service Connect.

Arus lalu lintas

Diagram berikut menunjukkan alur yang diaktifkan oleh arsitektur referensi ini.

Tabel berikut menjelaskan alur dalam diagram:

Sumber	Tujuan	Deskripsi
Jaringan eksternal	Jaringan VPC akses layanan	Traffic mengikuti rute melalui koneksi eksternal ke jaringan transportasi umum. Rute diumumkan oleh Cloud Router yang menghadap ke eksternal. Traffic mengikuti rute kustom ke jaringan VPC akses layanan. Rute ini diumumkan melalui koneksi VPN HA. Jika tujuan berada di jaringan VPC layanan terkelola yang terhubung ke jaringan VPC yang mengakses layanan oleh akses layanan pribadi, traffic tersebut akan mengikuti rute kustom Network Connectivity Center ke jaringan layanan terkelola.
Jaringan VPC akses layanan	Jaringan eksternal	Traffic mengikuti rute kustom melintasi tunnel VPN HA ke jaringan transportasi umum. Traffic mengikuti rute di seluruh koneksi eksternal kembali ke jaringan eksternal. Rute dipelajari dari router eksternal melalui BGP.
Jaringan eksternal	Jaringan VPC Workload atau jaringan VPC konsumen Private Service Connect	Traffic mengikuti rute melalui koneksi eksternal ke jaringan transportasi umum. Rute diumumkan oleh Cloud Router eksternal. Traffic mengikuti rute subnet ke jaringan VPC workload yang relevan. Rute dipelajari melalui Network Connectivity Center.
Jaringan VPC Workload atau jaringan VPC konsumen Private Service Connect	Jaringan eksternal	Lalu lintas mengikuti rute dinamis kembali ke jaringan transportasi umum. Rute dipelajari melalui ekspor rute kustom Network Connectivity Center. Traffic mengikuti rute di seluruh koneksi eksternal kembali ke jaringan eksternal. Rute dipelajari dari router eksternal melalui BGP.
Jaringan VPC workload	Jaringan VPC akses layanan	Traffic mengikuti rute ke jaringan VPC transportasi umum. Rute dipelajari melalui ekspor rute kustom Network Connectivity Center. Traffic mengikuti rute melalui salah satu tunnel VPN HA ke jaringan VPC akses layanan. Rute dipelajari dari pengumuman rute kustom BGP.
Jaringan VPC akses layanan	Jaringan VPC workload	Lalu lintas mengikuti rute khusus ke jaringan transportasi umum. Rute ini diumumkan di seluruh tunnel VPN HA. Traffic mengikuti rute subnet ke jaringan VPC workload yang relevan. Rute dipelajari melalui Network Connectivity Center.
Jaringan VPC workload	Jaringan VPC workload	Traffic yang keluar dari satu VPC workload mengikuti rute yang lebih spesifik ke VPC workload lain melalui Network Connectivity Center. Traffic yang ditampilkan akan membalikkan jalur ini.

Produk yang digunakan

• Virtual Private Cloud (VPC): Sistem virtual yang menyediakan fungsi jaringan global dan skalabel untuk Google Cloud workload Anda. VPC mencakup Peering Jaringan VPC, Private Service Connect, akses layanan pribadi, dan VPC Bersama.
• Network Connectivity Center: Framework orkestrasi yang menyederhanakan konektivitas jaringan di antara resource lisan yang terhubung ke resource pengelolaan terpusat yang disebut hub.
• Cloud Interconnect: Layanan yang memperluas jaringan eksternal Anda ke jaringan Google melalui koneksi latensi rendah yang sangat tersedia.
• Cloud VPN: Layanan yang memperluas jaringan peer Anda dengan aman ke jaringan Google melalui tunnel VPN IPsec.
• Cloud Router: Penawaran terdistribusi dan terkelola sepenuhnya yang menyediakan kemampuan speaker dan responden Border Gateway Protocol (BGP). Cloud Router berfungsi dengan Cloud Interconnect, Cloud VPN, dan peralatan Router untuk membuat rute dinamis di jaringan VPC berdasarkan rute yang diterima BGP dan rute kustom.
• Cloud Next Generation Firewall: Layanan firewall yang terdistribusi sepenuhnya dengan kemampuan perlindungan lanjutan, segmentasi mikro, dan pengelolaan yang disederhanakan untuk membantu melindungi Google Cloud beban kerja Anda dari serangan internal dan eksternal.

Pertimbangan desain

Bagian ini menjelaskan faktor desain, praktik terbaik, dan rekomendasi desain yang harus dipertimbangkan saat Anda menggunakan arsitektur referensi ini untuk mengembangkan topologi yang memenuhi persyaratan khusus untuk keamanan, keandalan, dan performa.

Keamanan dan kepatuhan

Daftar berikut menjelaskan pertimbangan keamanan dan kepatuhan untuk arsitektur referensi ini:

• Karena alasan kepatuhan, sebaiknya Anda men-deploy workload di satu region saja. Jika ingin menyimpan semua traffic di satu region, Anda dapat menggunakan topologi 99,9%.
• Gunakan Cloud Next Generation Firewall (Cloud NGFW) untuk mengamankan traffic yang masuk dan keluar dari jaringan VPC workload dan akses layanan. Untuk memeriksa traffic yang melewati antarjaringan hybrid melalui jaringan transit atau antara jaringan eksternal dan layanan terkelola Google, Anda harus menggunakan firewall eksternal atau firewall NVA.
• Jika Anda mewajibkan pemeriksaan traffic L7, aktifkan layanan deteksi dan pencegahan intrusi (secara opsional dengan dukungan pemeriksaan TLS) untuk memblokir aktivitas berbahaya dan melindungi workload Anda dari ancaman, mendukung kerentanan, anti-spyware, dan antivirus. Layanan ini berfungsi dengan membuat endpoint firewall zona yang dikelola Google yang menggunakan teknologi intersepsi paket untuk memeriksa workload secara transparan tanpa memerlukan arsitektur ulang rute apa pun. Cloud Next Generation Firewall Enterprise dikenai biaya pemrosesan data dan endpoint firewall zona.
• Jika Anda ingin mengizinkan atau memblokir traffic berdasarkan data Google Threat Intelligence, gunakan Google Threat Intelligence. Anda dikenai biaya pemrosesan data Standar Cloud Next Generation Firewall.
• Aktifkan Firewall Rules Logging dan gunakan Firewall Insights untuk mengaudit, memverifikasi efek, memahami, dan mengoptimalkan aturan firewall Anda. Firewall Rules Logging dapat menimbulkan biaya, jadi Anda sebaiknya menggunakannya secara selektif.
• Aktifkan Uji Konektivitas untuk memastikan traffic berperilaku seperti yang diharapkan.
• Aktifkan logging dan pemantauan yang sesuai untuk kebutuhan traffic dan kepatuhan Anda. Untuk mendapatkan insight tentang pola traffic Anda, gunakan VPC Flow Logs bersama dengan Flow Analyzer.
• Gunakan Cloud IDS atau layanan pencegahan intrusi Cloud NGFW Enterprise dalam mode pemberitahuan untuk mendapatkan insight tambahan tentang traffic Anda.

Keandalan

Daftar berikut menjelaskan pertimbangan keandalan untuk arsitektur referensi ini:

• Untuk mendapatkan ketersediaan Cloud Interconnect sebesar 99,99%, Anda harus terhubung ke dua region yang berbeda Google Cloud dari beberapa metro di dua zona yang berbeda.
• Untuk meningkatkan keandalan dan meminimalkan eksposur terhadap kegagalan regional, Anda dapat mendistribusikan workload dan resource cloud lainnya di berbagai region.
• Untuk menangani traffic yang Anda harapkan, buat tunnel VPN dalam jumlah yang memadai. Setiap tunnel VPN memiliki batas bandwidth.

Pengoptimalan performa

Daftar berikut menjelaskan pertimbangan performa untuk arsitektur referensi ini:

• Anda mungkin dapat meningkatkan performa jaringan dengan meningkatkan unit transmisi maksimum (MTU) jaringan dan koneksi Anda. Untuk mengetahui informasi selengkapnya, lihat Unit transmisi maksimum.
• Komunikasi antara resource VPC transit dan workload dilakukan melalui koneksi Network Connectivity Center. Koneksi ini memberikan throughput baris penuh untuk semua VM di jaringan tanpa biaya tambahan. Anda memiliki beberapa pilihan terkait cara menghubungkan jaringan eksternal ke jaringan transportasi umum. Untuk informasi selengkapnya tentang cara menyeimbangkan pertimbangan biaya dan performa, lihat Memilih produk Konektivitas Jaringan.

Deployment

Bagian ini membahas cara men-deploy konektivitas antar-VPC Jaringan Cross-Cloud menggunakan arsitektur Pusat Konektivitas Jaringan, yang dijelaskan dalam dokumen ini.

Arsitektur dalam dokumen ini membuat tiga jenis koneksi ke VPC transit pusat, ditambah koneksi antara jaringan VPC workload dan jaringan VPC workload. Setelah Network Connectivity Center dikonfigurasi sepenuhnya, jaringan akan membuat komunikasi antara semua jaringan.

Deployment ini mengasumsikan bahwa Anda membuat koneksi antara jaringan eksternal dan transportasi umum di dua region, meskipun subnet workload dapat berada di region lain. Jika workload hanya perlu dibuat di satu region, subnet perlu dibuat di region tersebut saja.

Untuk men-deploy arsitektur referensi ini, selesaikan tugas-tugas berikut:

1. Membuat segmentasi jaringan dengan Network Connectivity Center
2. Mengidentifikasi region untuk menempatkan konektivitas dan workload
3. Membuat subnet dan jaringan VPC
4. Membuat koneksi antara jaringan eksternal dan jaringan VPC transportasi umum
5. Membuat koneksi antara jaringan VPC transit dan jaringan VPC akses layanan
6. Membangun konektivitas antara jaringan VPC transit dan jaringan VPC workload Anda
7. Mengonfigurasi kebijakan Cloud NGFW
8. Menguji konektivitas ke workload

Membuat segmentasi jaringan dengan Network Connectivity Center

Sebelum membuat hub Network Connectivity Center untuk pertama kalinya, Anda harus memutuskan apakah ingin menggunakan topologi mesh penuh atau topologi bintang. Keputusan untuk berkomitmen pada jaringan penuh VPC yang saling terhubung atau topologi bintang VPC tidak dapat dibatalkan. Gunakan pedoman umum berikut untuk membuat keputusan yang tidak dapat dibatalkan:

• Jika arsitektur bisnis organisasi Anda mengizinkan traffic antara salah satu jaringan VPC Anda, gunakan mesh Network Connectivity Center.
• Jika aliran traffic antara beberapa jari VPC tertentu tidak diizinkan, tetapi spoke VPC ini dapat terhubung ke sekelompok inti spoke VPC, gunakan topologi bintang Network Connectivity Center.

Mengidentifikasi region untuk menempatkan konektivitas dan workload

Secara umum, Anda ingin menempatkan konektivitas dan Google Cloud beban kerja dalam jarak yang dekat dengan jaringan lokal Anda atau klien cloud lainnya. Untuk mengetahui informasi selengkapnya tentang penempatan workload, lihat Google Cloud Pemilih Region dan Praktik terbaik untuk pemilihan region Compute Engine.

Membuat subnet dan jaringan VPC

Untuk membuat jaringan dan subnet VPC, selesaikan tugas berikut:

1. Buat atau identifikasi project tempat Anda akan membuat jaringan VPC. Untuk panduan, lihat Segmentasi jaringan dan struktur project. Jika Anda ingin menggunakan jaringan VPC Bersama, siapkan project Anda sebagai project host VPC Bersama.

2. Rencanakan alokasi alamat IP untuk jaringan Anda. Anda dapat mengalokasikan dan mencadangkan rentang terlebih dahulu dengan membuat rentang internal. Melakukan hal tersebut akan membuat konfigurasi dan operasi selanjutnya menjadi lebih mudah.

3. Buat VPC jaringan transit dengan perutean global yang diaktifkan.

4. Membuat jaringan VPC akses layanan. Jika Anda berencana memiliki beban kerja di beberapa region, aktifkan perutean global.

5. Membuat jaringan VPC beban kerja. Jika Anda akan memiliki workload di beberapa region, aktifkan perutean global.

Membuat koneksi antara jaringan eksternal dan jaringan VPC transportasi umum

Bagian ini mengasumsikan konektivitas di dua region dan mengasumsikan bahwa lokasi eksternal terhubung dan dapat saling kegagalan. Metode ini juga mengasumsikan bahwa ada preferensi bagi klien di lokasi eksternal untuk menjangkau layanan di region tempat lokasi eksternal berada.

1. Siapkan konektivitas antara jaringan eksternal dan jaringan transportasi umum Anda. Untuk memahami cara mempertimbangkan hal ini, lihat Konektivitas eksternal dan hybrid. Untuk panduan dalam memilih produk konektivitas, lihat Memilih produk Konektivitas Jaringan.

2. Konfigurasikan BGP di tiap region yang terhubung sebagai berikut:

   • Konfigurasikan router di lokasi eksternal tertentu sebagai berikut:
     • Umumkan semua subnet untuk lokasi eksternal tersebut menggunakan MED BGP yang sama pada kedua antarmuka, seperti 100. Jika kedua antarmuka mengumumkan MED yang sama, Google Cloud dapat menggunakan ECMP untuk melakukan load balancing pada traffic di kedua koneksi.
     • Umumkan semua subnet dari lokasi eksternal lain menggunakan MED prioritas lebih rendah daripada MED region pertama, misalnya 200. Umumkan MED yang sama dari kedua antarmuka.
   • Konfigurasikan Cloud Router eksternal dalam VPC transit di region yang terhubung sebagai berikut:
     • Setel Cloud Router dengan ASN pribadi.
     • Gunakan iklan rute kustom, untuk mengumumkan semua rentang subnet dari semua region melalui kedua antarmuka Cloud Router eksternal. Gabungkan jika memungkinkan. Gunakan MED yang sama di kedua antarmuka, seperti 100.

3. Bekerja dengan hub Network Connectivity Center dan spoke hybrid, gunakan parameter default.

   • Buat hub Network Connectivity Center. Jika organisasi Anda mengizinkan traffic di antara semua jaringan VPC Anda, gunakan konfigurasi full-mesh default.
   • Jika Anda menggunakan Partner Interconnect, Dedicated Interconnect, HA-VPN, atau peralatan Router untuk menjangkau awalan lokal, konfigurasikan komponen ini sebagai spoke hybrid Network Connectivity Center yang berbeda.
     • Untuk mengumumkan subnet tabel rute hub Network Connectivity Center ke tetangga BGP jarak jauh, tetapkan filter untuk menyertakan semua rentang alamat IPv4.
     • Jika konektivitas hybrid berhenti pada Cloud Router di region yang mendukung transfer data, konfigurasi spoke hybrid dengan mengaktifkan transfer data site-to-site. Tindakan ini mendukung transfer data site-to-site yang menggunakan jaringan backbone Google.

Membuat koneksi antara jaringan VPC transit dan jaringan VPC akses layanan

Untuk menyediakan perutean transitif antara jaringan eksternal dan VPC akses layanan, serta antara VPC workload dan VPC akses layanan, VPC akses layanan menggunakan VPN dengan ketersediaan tinggi (HA) untuk konektivitas.

1. Perkirakan jumlah traffic yang perlu dilakukan antara VPC transit dan VPC yang mengakses layanan di setiap wilayah. Skalakan perkiraan jumlah tunnel Anda.

2. Konfigurasikan VPN dengan ketersediaan tinggi (HA) antara jaringan VPC transit dan jaringan VPC akses layanan di region A dengan mengikuti petunjuk di Membuat gateway VPN dengan ketersediaan tinggi (HA) untuk menghubungkan jaringan VPC. Buat Cloud Router VPN HA khusus di jaringan VPC transit. Tinggalkan {i>router<i} eksternal yang menghadap jaringan untuk koneksi jaringan eksternal.

   • Konfigurasi VPC Cloud Router Transit:
     • Untuk mengumumkan subnet VPC jaringan eksternal dan workload ke VPC akses layanan, gunakan iklan rute kustom di Cloud Router di VPC transit.
   • Konfigurasi VPC Cloud Router VPC akses layanan:
     • Untuk mengumumkan subnet jaringan VPC akses layanan ke VPC transit, gunakan iklan rute kustom di Cloud Router jaringan VPC akses layanan.
     • Jika Anda menggunakan akses layanan pribadi untuk menghubungkan jaringan VPC layanan terkelola ke VPC akses layanan, gunakan rute kustom untuk mengumumkan subnet tersebut juga.
   • Di sisi VPC transit tunnel VPN HA, konfigurasi sepasang tunnel sebagai spoke hybrid Network Connectivity Center:
     • Untuk mendukung transfer data antar-region, konfigurasikan spoke hybrid dengan transfer data site-to-site diaktifkan.
     • Untuk mengumumkan subnet tabel rute hub Network Connectivity Center ke tetangga BGP jarak jauh, tetapkan filter untuk menyertakan semua rentang alamat IPv4. Tindakan ini mengumumkan semua rute subnet IPv4 ke tetangganya.
       • Untuk menginstal rute dinamis saat kapasitas pada router eksternal terbatas, konfigurasikan Cloud Router untuk mengumumkan rute ringkasan dengan iklan rute kustom. Gunakan pendekatan ini daripada mengumumkan tabel rute lengkap dari hub Network Connectivity Center.

3. Jika Anda menghubungkan VPC layanan terkelola ke VPC akses layanan dengan menggunakan akses layanan pribadi setelah koneksi Peering Jaringan VPC dibuat, Anda juga harus memperbarui sisi VPC akses layanan dari koneksi Peering Jaringan VPC untuk mengekspor rute kustom.

Membangun konektivitas antara jaringan VPC transit dan jaringan VPC workload

Untuk membuat konektivitas antar-VPC dalam skala besar, gunakan Network Connectivity Center dengan spoke VPC. Network Connectivity Center mendukung dua jenis model bidang data yang berbeda, yaitu model bidang data full-mesh atau model bidang data topologi bintang.

• Jika semua jaringan Anda dapat memiliki izin untuk melakukan komunikasi, Bangun konektivitas full-mesh.
• Jika arsitektur bisnis Anda memerlukan topologi point-to-multipoint, Menetapkan konektivitas topologi bintang.

Membangun konektivitas {i>full-mesh<i}

Jari-jari VPC Network Connectivity Center mencakup VPC transit, VPC konsumen Private Service Connect, dan semua VPC workload.

• Meskipun Network Connectivity Center membuat jaringan spoke VPC yang sepenuhnya bertautan, operator jaringan harus mengizinkan aliran traffic antara jaringan sumber dan jaringan tujuan menggunakan aturan firewall atau kebijakan firewall.
• Konfigurasikan semua VPC konsumen workload, transportasi umum, dan Private Service Connect sebagai spoke VPC Network Connectivity Center. Tidak boleh ada tumpang tindih subnet di antara jari-jari VPC.
  • Saat mengonfigurasi ucapan VPC, ucapkan rentang subnet alamat IP yang tidak tumpang-tindih ke tabel rute hub Network Connectivity Center:
    • Sertakan rentang subnet ekspor.
    • Mengecualikan rentang subnet ekspor.
• Jika spoke VPC berada dalam project yang berbeda dan spoke dikelola oleh administrator selain administrator hub Network Connectivity Center, administrator yang berbicara VPC harus memulai permintaan untuk bergabung dengan hub Network Connectivity Center di project lainnya.
  • Gunakan izin Identity and Access Management (IAM) di project hub Network Connectivity Center untuk memberikan peran roles/networkconnectivity.groupUser kepada pengguna tersebut.
• Agar koneksi layanan pribadi dapat diakses secara transitif dan global dari spoke Network Connectivity Center lainnya, aktifkan propagasi koneksi Private Service Connect pada hub Network Connectivity Center.

Jika komunikasi antar-VPC yang sepenuhnya mesh antara VPC workload tidak diizinkan, pertimbangkan untuk menggunakan topologi bintang Network Connectivity Center.

Membangun konektivitas topologi bintang

Arsitektur bisnis terpusat yang memerlukan topologi point-to-multipoint dapat menggunakan topologi bintang Network Connectivity Center.

Untuk menggunakan topologi bintang Network Connectivity Center, selesaikan tugas berikut:

1. Di Network Connectivity Center, buat hub Network Connectivity Center dan tentukan topologi bintang.
2. Agar koneksi layanan pribadi dapat diakses secara transitif dan global dari jari-jari Network Connectivity Center lainnya, aktifkan propagasi koneksi Private Service Connect pada hub Network Connectivity Center.
3. Saat mengonfigurasi hub Network Connectivity Center untuk topologi bintang, Anda dapat mengelompokkan VPC ke dalam salah satu dari dua grup yang telah ditentukan: grup tengah atau grup edge.

4. Untuk mengelompokkan VPC di grup pusat, konfigurasikan VPC konsumen VPC transit dan Private Service Connect sebagai VPC Network Connectivity Center sebagai bagian dari grup pusat.

   Network Connectivity Center akan membangun jaringan yang sepenuhnya mesh antara spoke VPC yang ditempatkan di grup tengah.

5. Untuk mengelompokkan VPC workload dalam grup edge, konfigurasikan setiap jaringan ini sebagai spoke VPC Network Connectivity Center dalam grup tersebut.

   Network Connectivity Center akan membangun jalur data point-to-point dari setiap VPC Network Connectivity Center yang

Mengonfigurasi kebijakan Cloud NGFW

Selain panduan dalam Keamanan dan kepatuhan, pertimbangkan Praktik terbaik untuk aturan firewall.

Pertimbangan lainnya:

• Sebaiknya gunakan kebijakan firewall jaringan, bukan aturan firewall VPC jika workload Anda berjalan di VM Compute Engine. Kebijakan firewall jaringan memiliki manfaat seperti keamanan dan kontrol akses terperinci dengan menggunakan Tag, pengelolaan aturan yang disederhanakan, kemudahan pengoperasian, set fitur yang lebih kaya, dan residensi data yang fleksibel. Jika sudah memiliki aturan firewall VPC, Anda dapat menggunakan alat migrasi aturan firewall VPC untuk membantu migrasi ke kebijakan firewall jaringan global.
• Google Kubernetes Engine secara otomatis membuat dan mengelola aturan firewall VPC tertentu untuk mengizinkan traffic penting. Oleh karena itu, sebaiknya Anda tidak mengubah atau menghapus aturan tersebut. Namun, kebijakan firewall jaringan tetap dapat digunakan bersama dengan aturan firewall VPC, dan jika ingin, mengubah urutan penerapan kebijakan.
• Sebaiknya gunakan Tag, bukan tag jaringan dengan aturan firewall, karena adanya kontrol IAM, penskalaan yang ditingkatkan, dan dukungan untuk kebijakan firewall jaringan. Namun, Tag tidak didukung oleh kebijakan firewall hierarkis atau melalui jaringan yang di-peering Network Connectivity Center, sehingga dalam kasus tersebut, Anda perlu membuat aturan berdasarkan rentang CIDR.

1. Jika Anda ingin mengaktifkan pemeriksaan L7 di Cloud NGFW, konfigurasi layanan pencegahan penyusupan, termasuk profil keamanan, endpoint firewall, dan pengaitan VPC.
2. Buat kebijakan firewall jaringan global dan aturan firewall yang diperlukan. Pertimbangkan aturan implisit yang sudah ada untuk mengizinkan traffic keluar dan menolak traffic masuk yang ada di setiap jaringan VPC.
3. Kaitkan kebijakan tersebut dengan jaringan VPC.
4. Jika sudah menggunakan aturan firewall VPC di jaringan, Anda sebaiknya mengubah urutan evaluasi kebijakan dan aturan agar aturan baru Anda dievaluasi sebelum aturan firewall VPC.
5. Secara opsional, aktifkan logging aturan firewall.

Menguji konektivitas ke workload

Jika Anda memiliki workload yang telah di-deploy di jaringan VPC Anda, uji akses ke workload tersebut sekarang. Jika Anda menghubungkan jaringan sebelum men-deploy workload, Anda dapat men-deploy workload sekarang dan melakukan pengujian.

Langkah berikutnya

• Pelajari lebih lanjut Google Cloud produk yang digunakan dalam panduan desain ini:
  • Jaringan VPC
  • Network Connectivity Center
  • Cloud Interconnect
  • VPN dengan ketersediaan tinggi (HA)
• Untuk mengetahui lebih banyak tentang arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.

Kontributor

Penulis:

• Eric Yu | Spesialis Customer Engineer Jaringan
• Deepak Michael | Spesialis Jaringan Customer Engineer
• Victor Moreno | Product Manager, Cloud Networking
• Osvaldo Costa | Spesialis Customer Engineer Jaringan

Kontributor lainnya:

• Mark Schlagenhauf | Technical Writer, Networking
• Ammett Williams | Developer Relations Engineer
• Ghaleb Al-habian | Spesialis Jaringan
• Tony Sarathchandra | Senior Product Manager