Konektivitas antar-VPC Jaringan Lintas Cloud menggunakan Network Connectivity Center

Dokumen ini memberikan arsitektur referensi yang dapat Anda gunakan untuk men-deploy topologi jaringan antar-VPC Jaringan Lintas Cloud di Google Cloud. Desain jaringan ini memungkinkan deployment layanan software di seluruh jaringan internal dan eksternal, seperti pusat data lokal atau Penyedia Layanan Cloud (CSP) lainnya. Google Cloud

Audiens yang dituju untuk dokumen ini mencakup administrator jaringan, arsitek cloud, dan arsitek perusahaan yang akan membangun konektivitas jaringan. Hal ini juga mencakup arsitek cloud yang merencanakan cara men-deploy workload. Dokumen ini mengasumsikan pemahaman dasar tentang perutean dan konektivitas internet.

Desain ini mendukung beberapa koneksi eksternal, beberapa jaringan Virtual Private Cloud (VPC) akses layanan yang berisi layanan dan titik akses layanan, serta beberapa jaringan VPC beban kerja.

Dalam dokumen ini, istilah titik akses layanan mengacu pada titik akses ke layanan yang disediakan menggunakan akses layanan pribadi dan Private Service Connect. Google Cloud Network Connectivity Center adalah model bidang kontrol hub-and-spoke untuk pengelolaan konektivitas jaringan di Google Cloud. Resource hub menyediakan pengelolaan konektivitas terpusat untuk spoke VPC Network Connectivity Center.

Hub Network Connectivity Center adalah bidang kontrol global yang mempelajari dan mendistribusikan rute di antara berbagai jenis spoke yang terhubung ke hub tersebut. Spoke VPC biasanya menyuntikkan rute subnet ke tabel rute hub yang terpusat. Spoke hibrida biasanya menyuntikkan rute dinamis ke dalam tabel rute hub terpusat. Dengan menggunakan informasi bidang kontrol hub Network Connectivity Center, Google Cloud konektivitas bidang data antara spoke Network Connectivity Center akan otomatis dibuat.

Network Connectivity Center adalah pendekatan yang direkomendasikan untuk menghubungkan VPC untuk pertumbuhan yang dapat diskalakan di Google Cloud. Jika Anda harus menyisipkan peralatan virtual (NVA) jaringan di jalur traffic, Anda dapat menggunakan fungsi perangkat Router untuk rute dinamis atau menggunakan rute statis atau berbasis kebijakan bersama dengan Peering Jaringan VPC untuk menghubungkan VPC. Untuk mengetahui informasi selengkapnya, lihat Konektivitas antar-VPC Jaringan Lintas Cloud dengan Peering Jaringan VPC.

Arsitektur

Diagram berikut menunjukkan tampilan tingkat tinggi arsitektur jaringan dan berbagai alur paket yang didukung arsitektur ini.

Arsitektur ini berisi elemen tingkat tinggi berikut:

Komponen	Tujuan	Interaksi
Jaringan eksternal (Jaringan lokal atau CSP lain)	Menghosting klien workload yang berjalan di VPC workload dan di VPC akses layanan. Jaringan eksternal juga dapat menghosting layanan.	Bertukar data dengan jaringan VPC Google Cloudmelalui jaringan transit. Terhubung ke jaringan transit menggunakan Cloud Interconnect atau VPN HA. Mengakhiri salah satu ujung dari alur berikut: Eksternal ke eksternal External-to-services-access External-to-Private-Service-Connect-consumer Eksternal ke beban kerja
Jaringan VPC transit (juga dikenal sebagai jaringan VPC perutean di Network Connectivity Center)	Berfungsi sebagai hub untuk jaringan eksternal, jaringan VPC akses-layanan, dan jaringan VPC beban kerja.	Menghubungkan jaringan eksternal, jaringan VPC services-access, jaringan konsumen Private Service Connect, dan jaringan VPC workload bersama-sama melalui kombinasi Cloud Interconnect, HA VPN, dan Network Connectivity Center.
Jaringan VPC akses layanan	Memberikan akses ke layanan yang diperlukan oleh beban kerja yang berjalan di jaringan VPC workload atau jaringan eksternal. Juga menyediakan titik akses ke layanan terkelola yang dihosting di jaringan lain.	Bertukar data dengan jaringan konsumen Private Service Connect, workload, dan eksternal melalui jaringan transit. Terhubung ke VPC transit menggunakan HA VPN. Perutean transitif yang disediakan oleh VPN HA memungkinkan traffic eksternal mencapai VPC layanan terkelola melalui jaringan VPC akses layanan. Mengakhiri salah satu ujung dari alur berikut: External-to-services-access Workload-to-services-access Services-access-to-Private-Service-Connect-consumer
Jaringan VPC layanan terkelola	Menghosting layanan terkelola yang diperlukan oleh klien di jaringan lain.	Bertukar data dengan jaringan eksternal, akses layanan, konsumen Private Service Connect, dan beban kerja. Terhubung ke jaringan VPC akses layanan menggunakan akses layanan pribadi, yang menggunakan Peering Jaringan VPC. VPC layanan terkelola juga dapat terhubung ke VPC konsumen Private Service Connect menggunakan Private Service Connect atau akses layanan pribadi. Menghentikan salah satu ujung alur dari semua jaringan lain.
VPC konsumen Private Service Connect	Menghosting endpoint Private Service Connect yang dapat diakses dari jaringan lain. VPC ini juga dapat berupa VPC beban kerja.	Bertukar data dengan jaringan VPC eksternal dan akses layanan melalui jaringan VPC transit. Terhubung ke jaringan transit dan jaringan VPC workload lainnya menggunakan spoke VPC Network Connectivity Center.
Jaringan VPC workload	Menampung workload yang diperlukan oleh klien di jaringan lain. Arsitektur ini memungkinkan beberapa jaringan VPC workload.	Bertukar data dengan jaringan VPC eksternal dan akses layanan melalui jaringan VPC transit. Terhubung ke jaringan transit, jaringan konsumen Private Service Connect, dan jaringan VPC beban kerja lainnya menggunakan spoke VPC Network Connectivity Center. Mengakhiri salah satu ujung dari alur berikut: Eksternal ke beban kerja Workload-to-services-access Workload-to-Private-Service-Connect-consumer Workload-ke-workload
Network Connectivity Center	Hub Network Connectivity Center menggabungkan database perutean global yang berfungsi sebagai bidang kontrol jaringan untuk rute subnet VPC dan koneksi hybrid di seluruh region Google Cloud .	Menghubungkan beberapa jaringan VPC dan hybrid dalam topologi any-to-any dengan membuat jalur data yang menggunakan tabel perutean bidang kontrol.

Diagram berikut menunjukkan tampilan mendetail arsitektur yang menyoroti empat koneksi di antara komponen:

Deskripsi koneksi

Bagian ini menjelaskan empat koneksi yang ditampilkan dalam diagram sebelumnya. Dokumentasi Network Connectivity Center menyebut jaringan VPC transit sebagai VPC perutean. Meskipun memiliki nama yang berbeda, jaringan ini memiliki tujuan yang sama.

Koneksi 1: Antara jaringan eksternal dan jaringan VPC transit

Koneksi antara jaringan eksternal dan jaringan VPC transit ini terjadi melalui Cloud Interconnect atau VPN dengan ketersediaan tinggi (HA). Rute dipertukarkan menggunakan BGP antara Cloud Router di jaringan VPC transit dan antara router eksternal di jaringan eksternal.

• Router di jaringan eksternal mengumumkan rute untuk subnet eksternal ke Cloud Router VPC transit. Secara umum, router eksternal di lokasi tertentu mengumumkan rute dari lokasi eksternal yang sama sebagai lebih disukai daripada rute untuk lokasi eksternal lainnya. Preferensi rute dapat dinyatakan menggunakan metrik dan atribut BGP.
• Cloud Router di jaringan VPC transit mengiklankan rute untuk awalan di VPC Google Cloud ke jaringan eksternal. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
• Network Connectivity Center memungkinkan Anda mentransfer data antara berbagai jaringan lokal menggunakan jaringan backbone Google. Saat mengonfigurasi lampiran VLAN interkoneksi sebagai jari-jari hibrida Network Connectivity Center, Anda harus mengaktifkan transfer data site-to-site.
• Lampiran VLAN Cloud Interconnect yang berasal dari awalan jaringan eksternal yang sama dikonfigurasi sebagai satu spoke Network Connectivity Center.

Koneksi 2: Antara jaringan VPC transit dan jaringan VPC akses layanan

Koneksi antara jaringan VPC transit dan jaringan VPC akses layanan ini terjadi melalui VPN dengan ketersediaan tinggi (HA) dengan tunnel terpisah untuk setiap region. Rute dipertukarkan menggunakan BGP antara Cloud Router regional di jaringan VPC transit dan di jaringan VPC akses layanan.

• VPN dengan ketersediaan tinggi (HA) VPC Transit Cloud Router mengumumkan rute untuk awalan jaringan eksternal, VPC workload, dan VPC akses layanan lainnya ke Cloud Router VPC akses layanan. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
• VPC akses layanan mengumumkan subnetnya dan subnet jaringan VPC layanan terkelola yang terlampir ke jaringan VPC transit. Rute VPC layanan terkelola dan rute subnet VPC akses layanan harus diumumkan menggunakan pengumuman rute kustom Cloud Router.

Koneksi 3: Antara jaringan VPC transit, jaringan VPC beban kerja, dan jaringan VPC akses layanan Private Service Connect

Koneksi antara jaringan VPC transit, jaringan VPC workload, dan jaringan VPC konsumen Private Service Connect terjadi saat subnet dan rute awalan dipertukarkan menggunakan Network Connectivity Center. Koneksi ini memungkinkan komunikasi antara jaringan VPC workload, jaringan VPC akses layanan yang terhubung sebagai spoke VPC Network Connectivity Center, dan jaringan lain yang terhubung sebagai spoke hybrid Network Connectivity Center. Jaringan lain ini mencakup jaringan eksternal dan jaringan VPC akses layanan yang menggunakan koneksi 1 dan koneksi 2.

• Lampiran Cloud Interconnect atau VPN dengan ketersediaan tinggi (HA) di jaringan VPC transit menggunakan Network Connectivity Center untuk mengekspor rute dinamis ke jaringan VPC beban kerja.
• Saat Anda mengonfigurasi jaringan VPC workload sebagai spoke hub Network Connectivity Center, jaringan VPC workload akan otomatis mengekspor subnetnya ke jaringan VPC transit. Secara opsional, Anda dapat menyiapkan jaringan VPC transit sebagai spoke VPC. Tidak ada rute statis yang diekspor dari jaringan VPC workload ke jaringan VPC transit. Tidak ada rute statis yang diekspor dari jaringan VPC transit ke jaringan VPC beban kerja.

Koneksi 4: VPC Konsumen Private Service Connect dengan propagasi Network Connectivity Center

• Endpoint Private Service Connect diatur dalam VPC umum yang memungkinkan konsumen mengakses layanan terkelola pihak pertama dan pihak ketiga.
• Jaringan VPC konsumen Private Service Connect dikonfigurasi sebagai spoke VPC Network Connectivity Center. Spoke ini memungkinkan propagasi Private Service Connect di hub Network Connectivity Center. Propagasi Private Service Connect mengumumkan awalan host endpoint Private Service Connect sebagai rute ke dalam tabel perutean hub Network Connectivity Center.
• Jaringan VPC konsumen akses layanan Private Service Connect terhubung ke jaringan VPC workload dan ke jaringan VPC transit. Koneksi ini memungkinkan konektivitas transitif ke endpoint Private Service Connect. Hub Network Connectivity Center harus mengaktifkan propagasi koneksi Private Service Connect.
• Network Connectivity Center otomatis membuat jalur data dari semua spoke ke endpoint Private Service Connect.

Arus lalu lintas

Diagram berikut menunjukkan alur yang diaktifkan oleh arsitektur referensi ini.

Tabel berikut menjelaskan alur dalam diagram:

Sumber	Tujuan	Deskripsi
Jaringan eksternal	Jaringan VPC akses layanan	Traffic mengikuti rute melalui koneksi eksternal ke jaringan transit. Rute diumumkan oleh Cloud Router yang menghadap eksternal. Traffic mengikuti rute kustom ke jaringan VPC services-access. Rute diumumkan di seluruh koneksi VPN dengan ketersediaan tinggi (HA). Jika tujuannya berada di jaringan VPC layanan terkelola yang terhubung ke jaringan VPC akses layanan melalui akses layanan pribadi, maka traffic mengikuti rute kustom Network Connectivity Center ke jaringan layanan terkelola.
Jaringan VPC akses layanan	Jaringan eksternal	Traffic mengikuti rute kustom di seluruh tunnel VPN dengan ketersediaan tinggi (HA) ke jaringan transit. Traffic mengikuti rute di seluruh koneksi eksternal kembali ke jaringan eksternal. Rute dipelajari dari router eksternal melalui BGP.
Jaringan eksternal	Jaringan VPC workload atau jaringan VPC konsumen Private Service Connect	Traffic mengikuti rute melalui koneksi eksternal ke jaringan transit. Rute diumumkan oleh Cloud Router yang menghadap eksternal. Traffic mengikuti rute subnet ke jaringan VPC workload yang relevan. Rute dipelajari melalui Network Connectivity Center.
Jaringan VPC workload atau jaringan VPC konsumen Private Service Connect	Jaringan eksternal	Traffic mengikuti rute dinamis kembali ke jaringan transit. Rute dipelajari melalui ekspor rute kustom Network Connectivity Center. Traffic mengikuti rute di seluruh koneksi eksternal kembali ke jaringan eksternal. Rute dipelajari dari router eksternal melalui BGP.
Jaringan VPC beban kerja	Jaringan VPC akses layanan	Traffic mengikuti rute ke jaringan VPC transit. Rute dipelajari melalui ekspor rute kustom Network Connectivity Center. Traffic mengikuti rute melalui salah satu tunnel VPN dengan ketersediaan tinggi (HA) ke jaringan VPC akses layanan. Rute dipelajari dari pengumuman rute kustom BGP.
Jaringan VPC akses layanan	Jaringan VPC beban kerja	Traffic mengikuti rute kustom ke jaringan transit. Rute diumumkan di seluruh tunnel VPN dengan ketersediaan tinggi (HA). Traffic mengikuti rute subnet ke jaringan VPC workload yang relevan. Rute dipelajari melalui Network Connectivity Center.
Jaringan VPC beban kerja	Jaringan VPC beban kerja	Traffic yang keluar dari satu VPC workload mengikuti rute yang lebih spesifik ke VPC workload lain melalui Network Connectivity Center. Traffic kembali membalikkan jalur ini.

Produk yang digunakan

• Virtual Private Cloud (VPC): Sistem virtual yang menyediakan fungsionalitas jaringan global yang skalabel untuk workload Google Cloud Anda. VPC mencakup Peering Jaringan VPC, Private Service Connect, akses layanan pribadi, dan Shared VPC.
• Network Connectivity Center: Framework orkestrasi yang menyederhanakan konektivitas jaringan di antara resource spoke yang terhubung ke resource pengelolaan terpusat yang disebut hub.
• Cloud Interconnect: Layanan yang memperluas jaringan eksternal Anda ke jaringan Google melalui koneksi latensi rendah yang memiliki ketersediaan tinggi.
• Cloud VPN: Layanan yang memperluas jaringan peer Anda dengan aman ke jaringan Google melalui tunnel VPN IPsec.
• Cloud Router: Penawaran terdistribusi dan terkelola sepenuhnya yang menyediakan kemampuan speaker dan responder Border Gateway Protocol (BGP). Cloud Router berfungsi dengan Cloud Interconnect, Cloud VPN, dan appliance Router untuk membuat rute dinamis di jaringan VPC berdasarkan rute yang diterima BGP dan rute yang dipelajari kustom.
• Cloud Next Generation Firewall: Layanan firewall yang terdistribusi sepenuhnya dengan kemampuan perlindungan tingkat lanjut, mikro-segmentasi, dan pengelolaan yang disederhanakan untuk membantu melindungi workload Anda dari serangan internal dan eksternal. Google Cloud

Pertimbangan desain

Bagian ini menjelaskan faktor desain, praktik terbaik, dan rekomendasi desain yang harus Anda pertimbangkan saat menggunakan arsitektur referensi ini untuk mengembangkan topologi yang memenuhi persyaratan spesifik Anda terkait keamanan, keandalan, dan performa.

Keamanan dan kepatuhan

Daftar berikut menjelaskan pertimbangan keamanan dan kepatuhan untuk arsitektur referensi ini:

• Untuk alasan kepatuhan, Anda mungkin ingin men-deploy workload hanya di satu region. Jika ingin mempertahankan semua traffic dalam satu region, Anda dapat menggunakan topologi 99,9%.
• Gunakan Cloud Next Generation Firewall (Cloud NGFW) untuk mengamankan traffic yang masuk dan keluar dari jaringan VPC workload dan akses layanan. Untuk memeriksa traffic yang melewati antara jaringan hybrid melalui jaringan transit atau antara jaringan eksternal dan layanan terkelola Google, Anda harus menggunakan firewall eksternal atau firewall NVA.
• Jika Anda memerlukan pemeriksaan traffic L7, aktifkan layanan deteksi dan pencegahan intrusi (opsional dengan dukungan pemeriksaan TLS) untuk memblokir aktivitas berbahaya dan melindungi beban kerja Anda dari ancaman, dengan mendukung kerentanan, anti-spyware, dan antivirus. Layanan ini berfungsi dengan membuat endpoint firewall zonal yang dikelola Google yang menggunakan teknologi pencegatan paket untuk memeriksa workload secara transparan tanpa memerlukan arsitektur ulang rute. Cloud Next Generation Firewall Enterprise menimbulkan biaya pemrosesan data dan endpoint firewall zonal.
• Jika Anda ingin mengizinkan atau memblokir traffic berdasarkan data Google Threat Intelligence, gunakan Google Threat Intelligence. Anda dikenai biaya pemrosesan data Cloud Next Generation Firewall Standard.
• Aktifkan Firewall Rules Logging dan gunakan Analisis Firewall untuk mengaudit, memverifikasi efek, memahami, dan mengoptimalkan aturan firewall Anda. Firewall Rules Logging dapat menimbulkan biaya, jadi sebaiknya Anda menggunakannya secara selektif.
• Aktifkan Uji Konektivitas untuk memastikan traffic berperilaku seperti yang diharapkan.
• Aktifkan logging dan pemantauan yang sesuai untuk traffic dan kebutuhan kepatuhan Anda. Untuk mendapatkan insight tentang pola traffic Anda, gunakan Log Aliran VPC bersama dengan Penganalisis Aliran.
• Gunakan Cloud IDS atau layanan pencegahan penyusupan Cloud NGFW Enterprise dalam mode pemberitahuan untuk mengumpulkan insight tambahan tentang traffic Anda.

Keandalan

Daftar berikut menjelaskan pertimbangan keandalan untuk arsitektur referensi ini:

• Untuk mendapatkan ketersediaan 99,99% untuk Cloud Interconnect, Anda harus terhubung ke dua region berbeda dari metro yang berbeda di dua zona yang berbeda. Google Cloud
• Untuk meningkatkan keandalan dan meminimalkan eksposur terhadap kegagalan regional, Anda dapat mendistribusikan workload dan resource cloud lainnya di seluruh region.
• Untuk menangani traffic yang diharapkan, buat tunnel VPN dalam jumlah yang memadai. Setiap tunnel VPN memiliki batas bandwidth.

Pengoptimalan performa

Daftar berikut menjelaskan pertimbangan performa untuk arsitektur referensi ini:

• Anda mungkin dapat meningkatkan performa jaringan dengan meningkatkan unit transmisi maksimum (MTU) jaringan dan koneksi Anda. Untuk mengetahui informasi selengkapnya, lihat Unit transmisi maksimum.
• Komunikasi antara VPC transit dan resource workload dilakukan melalui koneksi Network Connectivity Center. Koneksi ini memberikan throughput kecepatan saluran penuh untuk semua VM di jaringan tanpa biaya tambahan. Anda memiliki beberapa pilihan cara menghubungkan jaringan eksternal ke jaringan transit. Untuk mengetahui informasi selengkapnya tentang cara menyeimbangkan pertimbangan biaya dan performa, lihat Memilih produk Network Connectivity.

Deployment

Bagian ini membahas cara men-deploy konektivitas antar-VPC Jaringan Lintas Cloud menggunakan arsitektur Network Connectivity Center yang dijelaskan dalam dokumen ini.

Arsitektur dalam dokumen ini membuat tiga jenis koneksi ke VPC transit pusat, ditambah koneksi antara jaringan VPC workload dan jaringan VPC workload. Setelah Network Connectivity Center dikonfigurasi sepenuhnya, Network Connectivity Center akan membuat komunikasi di antara semua jaringan.

Deployment ini mengasumsikan bahwa Anda membuat koneksi antara jaringan transit dan eksternal di dua region, meskipun subnet workload dapat berada di region lain. Jika workload hanya ditempatkan di satu region, subnet hanya perlu dibuat di region tersebut.

Untuk men-deploy arsitektur referensi ini, selesaikan tugas berikut:

1. Membuat segmentasi jaringan dengan Network Connectivity Center
2. Mengidentifikasi region untuk menempatkan konektivitas dan beban kerja
3. Buat jaringan dan subnet VPC Anda
4. Membuat koneksi antara jaringan eksternal dan jaringan VPC transit Anda
5. Membuat koneksi antara jaringan VPC transit dan jaringan VPC akses layanan
6. Menetapkan konektivitas antara jaringan VPC transit dan jaringan VPC workload
7. Mengonfigurasi kebijakan Cloud NGFW
8. Menguji konektivitas ke beban kerja

Membuat segmentasi jaringan dengan Network Connectivity Center

Sebelum membuat hub Network Connectivity Center untuk pertama kalinya, Anda harus memutuskan apakah Anda ingin menggunakan topologi mesh penuh atau topologi bintang. Keputusan untuk menerapkan mesh penuh VPC yang saling terhubung atau topologi bintang VPC tidak dapat dibatalkan. Gunakan panduan umum berikut untuk membuat keputusan yang tidak dapat diubah ini:

• Jika arsitektur bisnis organisasi Anda mengizinkan traffic antarjaringan VPC, gunakan mesh Network Connectivity Center.
• Jika traffic mengalir di antara spoke VPC tertentu yang berbeda tidak diizinkan, tetapi spoke VPC ini dapat terhubung ke grup inti spoke VPC, gunakan topologi bintang Network Connectivity Center.

Mengidentifikasi region untuk menempatkan konektivitas dan workload

Secara umum, Anda ingin menempatkan konektivitas dan Google Cloud workload di dekat dengan jaringan lokal atau klien cloud lainnya. Untuk mengetahui informasi selengkapnya tentang penempatan workload, lihat Google Cloud Pemilih Region dan Praktik terbaik untuk pemilihan region Compute Engine.

Buat jaringan dan subnet VPC Anda

Untuk membuat jaringan dan subnet VPC, selesaikan tugas berikut:

1. Buat atau identifikasi project tempat Anda akan membuat jaringan VPC. Untuk mendapatkan panduan, lihat Segmentasi jaringan dan struktur project. Jika Anda ingin menggunakan jaringan VPC Bersama, sediakan project Anda sebagai project host VPC Bersama.

2. Rencanakan alokasi alamat IP untuk jaringan Anda. Anda dapat melakukan pra-alokasi dan mencadangkan rentang dengan membuat rentang internal. Dengan melakukannya, konfigurasi dan operasi selanjutnya akan lebih mudah.

3. Buat VPC jaringan transit dengan perutean global diaktifkan.

4. Buat jaringan VPC akses layanan. Jika Anda berencana untuk memiliki workload di beberapa region, aktifkan perutean global.

5. Buat jaringan VPC beban kerja. Jika Anda akan memiliki workload di beberapa region, aktifkan pemilihan rute global.

Membuat koneksi antara jaringan eksternal dan jaringan VPC transit Anda

Bagian ini mengasumsikan konektivitas di dua region dan mengasumsikan bahwa lokasi eksternal terhubung dan dapat melakukan failover satu sama lain. Kebijakan ini juga mengasumsikan bahwa ada preferensi bagi klien di lokasi eksternal untuk menjangkau layanan di region tempat lokasi eksternal berada.

1. Siapkan konektivitas antara jaringan eksternal dan jaringan transit Anda. Untuk memahami cara memikirkannya, lihat Konektivitas eksternal dan hybrid. Untuk panduan tentang cara memilih produk konektivitas, lihat Memilih produk Network Connectivity.

2. Konfigurasi BGP di setiap region yang terhubung sebagai berikut:

   • Konfigurasi router di lokasi eksternal yang ditentukan sebagai berikut:
     • Umumkan semua subnet untuk lokasi eksternal tersebut menggunakan MED BGP yang sama di kedua antarmuka, seperti 100. Jika kedua antarmuka mengumumkan MED yang sama, maka Google Cloud dapat menggunakan ECMP untuk melakukan load balancing traffic di kedua koneksi.
     • Umumkan semua subnet dari lokasi eksternal lainnya menggunakan MED berprioritas lebih rendah daripada region pertama, seperti 200. Mengumumkan MED yang sama dari kedua antarmuka.
   • Konfigurasi Cloud Router yang menghadap eksternal di VPC transit region yang terhubung sebagai berikut:
     • Tetapkan Cloud Router Anda dengan ASN pribadi.
     • Gunakan pemberitahuan rute kustom, untuk mengumumkan semua rentang subnet dari semua region melalui kedua antarmuka Cloud Router yang menghadap eksternal. Gabungkan jika memungkinkan. Gunakan MED yang sama di kedua antarmuka, seperti 100.

3. Bekerja dengan hub Network Connectivity Center dan spoke hybrid, gunakan parameter default.

   • Buat hub Network Connectivity Center. Jika organisasi Anda mengizinkan traffic di antara semua jaringan VPC, gunakan konfigurasi full-mesh default.
   • Jika Anda menggunakan Partner Interconnect, Dedicated Interconnect, HA-VPN, atau perangkat Router untuk menjangkau awalan lokal, konfigurasikan komponen ini sebagai spoke hybrid Network Connectivity Center yang berbeda.
     • Untuk mengumumkan subnet tabel rute hub Network Connectivity Center ke tetangga BGP jarak jauh, tetapkan filter untuk menyertakan semua rentang alamat IPv4.
     • Jika konektivitas hibrida berakhir di Cloud Router di region yang mendukung transfer data, konfigurasi spoke hibrida dengan mengaktifkan transfer data situs ke situs. Tindakan ini mendukung transfer data site-to-site yang menggunakan jaringan backbone Google.

Membuat koneksi antara jaringan VPC transit dan jaringan VPC akses layanan

Untuk menyediakan perutean transitif antara jaringan eksternal dan VPC akses layanan serta antara VPC workload dan VPC akses layanan, VPC akses layanan menggunakan HA VPN untuk konektivitas.

1. Perkirakan jumlah traffic yang perlu berpindah antara VPC transit dan akses layanan di setiap region. Sesuaikan skala perkiraan jumlah tunnel Anda.

2. Konfigurasi VPN dengan ketersediaan tinggi (HA) antara jaringan VPC transit dan jaringan VPC akses layanan di region A menggunakan petunjuk dalam Membuat gateway VPN dengan ketersediaan tinggi (HA) untuk menghubungkan jaringan VPC. Buat Cloud Router VPN dengan ketersediaan tinggi (HA) khusus di jaringan VPC transit. Biarkan router yang menghadap jaringan eksternal untuk koneksi jaringan eksternal.

   • Konfigurasi Cloud Router Transit VPC:
     • Untuk mengumumkan subnet VPC workload dan jaringan eksternal ke VPC akses layanan, gunakan pemberitahuan rute kustom di Cloud Router di VPC transit.
   • Konfigurasi Cloud Router VPC akses layanan:
     • Untuk mengumumkan subnet jaringan VPC akses layanan ke VPC transit, gunakan pemberitahuan rute kustom di Cloud Router jaringan VPC akses layanan.
     • Jika Anda menggunakan private services-access untuk menghubungkan jaringan VPC managed services ke VPC services-access, gunakan rute kustom untuk mengumumkan subnet tersebut juga.
   • Di sisi VPC transit tunnel VPN dengan ketersediaan tinggi (HA), konfigurasi pasangan tunnel sebagai spoke hybrid Network Connectivity Center:
     • Untuk mendukung transfer data antar-region, konfigurasi spoke hibrida dengan transfer data site-to-site diaktifkan.
     • Untuk mengumumkan subnet tabel rute hub Network Connectivity Center ke tetangga BGP jarak jauh, tetapkan filter untuk menyertakan semua rentang alamat IPv4. Tindakan ini mengumumkan semua rute subnet IPv4 ke tetangga.
       • Untuk menginstal rute dinamis saat kapasitas terbatas di router eksternal, konfigurasi Cloud Router untuk mengumumkan rute ringkasan dengan pemberitahuan rute kustom. Gunakan pendekatan ini, bukan mengumumkan tabel rute lengkap hub Network Connectivity Center.

3. Jika Anda menghubungkan VPC layanan terkelola ke VPC akses layanan menggunakan akses layanan pribadi setelah koneksi Peering Jaringan VPC dibuat, Anda juga harus memperbarui sisi VPC akses layanan dari koneksi Peering Jaringan VPC untuk mengekspor rute kustom.

Membangun konektivitas antara jaringan VPC transit dan jaringan VPC workload

Untuk membuat konektivitas antar-VPC dalam skala besar, gunakan Network Connectivity Center dengan spoke VPC. Network Connectivity Center mendukung dua jenis model data plane yang berbeda—model data plane full-mesh atau model data plane topologi bintang.

• Jika semua jaringan Anda dapat diizinkan untuk saling berkomunikasi, maka Buat konektivitas mesh penuh.
• Jika arsitektur bisnis Anda memerlukan topologi point-to-multipoint, maka Buat konektivitas topologi bintang.

Membuat konektivitas mesh penuh

Spoke VPC Network Connectivity Center mencakup VPC transit, VPC konsumen Private Service Connect, dan semua VPC workload.

• Meskipun Network Connectivity Center membangun jaringan spoke VPC yang terhubung sepenuhnya, operator jaringan harus mengizinkan aliran traffic antara jaringan sumber dan jaringan tujuan menggunakan aturan firewall atau kebijakan firewall.
• Konfigurasi semua VPC konsumen workload, transit, dan Private Service Connect sebagai spoke VPC Network Connectivity Center. Tidak boleh ada tumpang tindih subnet di seluruh spoke VPC.
  • Saat Anda mengonfigurasi spoke VPC, umumkan rentang subnet alamat IP yang tidak tumpang-tindih ke tabel rute hub Network Connectivity Center:
    • Sertakan rentang subnet ekspor.
    • Mengecualikan rentang subnet ekspor.
• Jika spoke VPC berada di project yang berbeda dan dikelola oleh administrator selain administrator hub Network Connectivity Center, administrator spoke VPC harus memulai permintaan untuk bergabung dengan hub Network Connectivity Center di project lain.
  • Gunakan izin Identity and Access Management (IAM) di project hub Network Connectivity Center untuk memberikan peran roles/networkconnectivity.groupUser kepada pengguna tersebut.
• Untuk mengaktifkan koneksi layanan pribadi agar dapat diakses secara transitif dan global dari spoke Network Connectivity Center lainnya, aktifkan propagasi koneksi Private Service Connect di hub Network Connectivity Center.

Jika komunikasi antar-VPC mesh penuh antara VPC beban kerja tidak diizinkan, pertimbangkan untuk menggunakan topologi bintang Network Connectivity Center.

Membuat konektivitas topologi bintang

Arsitektur bisnis terpusat yang memerlukan topologi point-to-multipoint dapat menggunakan topologi bintang Network Connectivity Center.

Untuk menggunakan topologi bintang Network Connectivity Center, selesaikan tugas berikut:

1. Di Network Connectivity Center, buat hub Network Connectivity Center dan tentukan topologi bintang.
2. Untuk mengizinkan koneksi layanan pribadi dapat diakses secara transitif dan global dari spoke Network Connectivity Center lainnya, aktifkan propagasi koneksi Private Service Connect di hub Network Connectivity Center.
3. Saat mengonfigurasi hub Network Connectivity Center untuk topologi bintang, Anda dapat mengelompokkan VPC dalam salah satu dari dua grup yang telah ditentukan sebelumnya: grup tengah atau grup tepi.

4. Untuk mengelompokkan VPC dalam grup tengah, konfigurasikan VPC transit dan VPC konsumen Private Service Connect sebagai spoke VPC Network Connectivity Center sebagai bagian dari grup tengah.

   Network Connectivity Center membangun jaringan mesh penuh antara spoke VPC yang ditempatkan dalam grup tengah.

5. Untuk mengelompokkan VPC workload dalam grup edge, konfigurasikan setiap jaringan ini sebagai spoke VPC Network Connectivity Center dalam grup tersebut.

   Network Connectivity Center membangun jalur data point-to-point dari setiap spoke VPC Network Connectivity Center ke semua VPC dalam grup pusat.

Mengonfigurasi kebijakan Cloud NGFW

Selain panduan dalam Keamanan dan kepatuhan, pertimbangkan Praktik terbaik untuk aturan firewall.

Pertimbangan lainnya:

• Sebaiknya gunakan kebijakan firewall jaringan daripada aturan firewall VPC jika jika beban kerja Anda berjalan di VM Compute Engine. Kebijakan firewall jaringan memiliki manfaat seperti keamanan dan kontrol akses yang terperinci dengan menggunakan Tag, pengelolaan aturan yang disederhanakan, kemudahan operasi, rangkaian fitur yang lebih kaya, dan residensi data yang fleksibel. Jika sudah memiliki aturan firewall VPC, Anda dapat menggunakan alat migrasi aturan firewall VPC untuk membantu migrasi ke kebijakan firewall jaringan global.
• Google Kubernetes Engine secara otomatis membuat dan mengelola aturan firewall VPC tertentu untuk mengizinkan traffic penting, sehingga sebaiknya Anda tidak mengubah atau menghapus aturan tersebut. Namun, kebijakan firewall jaringan masih dapat digunakan bersama dengan aturan firewall VPC, dan secara opsional mengubah urutan penerapan kebijakan.
• Sebaiknya gunakan Tag, bukan tag jaringan dengan aturan firewall karena kontrol IAM, penskalaan yang lebih baik, dan dukungan untuk kebijakan firewall jaringan. Namun, Tag tidak didukung oleh kebijakan firewall hierarkis atau di jaringan yang di-peering Network Connectivity Center, sehingga dalam kasus tersebut Anda perlu membuat aturan berdasarkan rentang CIDR.

1. Jika Anda ingin mengaktifkan pemeriksaan L7 di Cloud NGFW, konfigurasi layanan pencegahan penyusupan, termasuk profil keamanan, endpoint firewall, dan asosiasi VPC.
2. Buat kebijakan firewall jaringan global dan aturan firewall yang diperlukan. Pertimbangkan aturan implisit yang ada untuk mengizinkan traffic keluar dan menolak traffic masuk yang ada di setiap jaringan VPC.
3. Kaitkan kebijakan dengan jaringan VPC.
4. Jika Anda sudah menggunakan aturan firewall VPC di jaringan, Anda mungkin ingin mengubah urutan evaluasi kebijakan dan aturan sehingga aturan baru Anda dievaluasi sebelum aturan firewall VPC.
5. Secara opsional, aktifkan logging aturan firewall.

Menguji konektivitas ke workload

Jika Anda memiliki beban kerja yang sudah di-deploy di jaringan VPC, uji akses ke beban kerja tersebut sekarang. Jika Anda menghubungkan jaringan sebelum men-deploy workload, Anda dapat men-deploy workload sekarang dan mengujinya.

Langkah berikutnya

• Pelajari lebih lanjut produk Google Cloud yang digunakan dalam panduan desain ini:
  • Jaringan VPC
  • Network Connectivity Center
  • Cloud Interconnect
  • VPN dengan ketersediaan tinggi (HA)
• Untuk mengetahui lebih banyak tentang arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.

Kontributor

Penulis:

• Eric Yu | Networking Specialist Customer Engineer
• Deepak Michael | Networking Specialist Customer Engineer
• Victor Moreno | Product Manager, Cloud Networking
• Osvaldo Costa | Networking Specialist Customer Engineer

Kontributor lainnya:

• Mark Schlagenhauf | Technical Writer, Networking
• Ammett Williams | Developer Relations Engineer
• Ghaleb Al-habian | Network Specialist
• Tony Sarathchandra | Senior Product Manager