Dieses Dokument enthält eine Referenzarchitektur, mit der Sie eine Hub-and-Spoke-Netzwerktopologie eines cloudübergreifenden Netzwerks in Google Cloudbereitstellen können. Dieses Netzwerkdesign ermöglicht die Bereitstellung von Softwarediensten über Google Cloud und externe Netzwerke wie lokale Rechenzentren oder andere Cloud-Dienstanbieter (Cloud Service Providers, CSPs).
Dieses Design unterstützt mehrere externe Verbindungen, mehrere VPC-Netzwerke (Virtual Private Cloud) mit Dienstzugriff und mehrere Arbeitslast-VPC-Netzwerke.
Dieses Dokument richtet sich an Netzwerkadministratoren, die Netzwerkverbindungen erstellen, und Cloud-Architekten, die die Bereitstellung von Arbeitslasten planen. In diesem Dokument wird davon ausgegangen, dass Sie grundlegende Kenntnisse über Routing und Internetverbindung haben.
Architektur
Das folgende Diagramm zeigt eine allgemeine Ansicht der Architektur der Netzwerke und der vier Paketflüsse, die diese Architektur unterstützt.
Die Architektur enthält die folgenden übergeordneten Elemente:
| Komponente | Zweck | Interaktionen |
|---|---|---|
| Externe Netzwerke (lokales Netzwerk oder anderes CSP-Netzwerk) | Hostt die Clients von Arbeitslasten, die in den Arbeitslast-VPCs und in den VPCs mit Zugriff auf Dienste ausgeführt werden. Externe Netzwerke können auch Dienste hosten. | Taugt Daten über das Transitnetzwerk mit den Virtual Private Cloud-Netzwerken von Google Cloudaus. Stellt eine Verbindung zum Transitnetzwerk über Cloud Interconnect oder HA VPN her. Beendet ein Ende der folgenden Abläufe:
|
| VPC-Netzwerk für öffentliche Verkehrsmittel | Sie dient als Hub für das externe Netzwerk, das VPC-Netzwerk für den Zugriff auf Dienste und die VPC-Netzwerke der Arbeitslast. | Verbindet das externe Netzwerk, das VPC-Netzwerk für den Zugriff auf Dienste und die VPC-Netzwerke der Arbeitslast über eine Kombination aus Cloud Interconnect, HA VPN und VPC-Netzwerk-Peering. |
| VPC-Netzwerk mit Dienstzugriff | Bietet Zugriff auf Dienste, die von Arbeitslasten benötigt werden, die in den Arbeitslast-VPC-Netzwerken oder externen Netzwerken ausgeführt werden. Bietet außerdem Zugangspunkte zu verwalteten Diensten, die in anderen Netzwerken gehostet werden. | Daten werden über das Transitnetzwerk mit dem externen Netzwerk und dem Arbeitslastnetzwerk ausgetauscht. Stellt über HA VPN eine Verbindung zur Transit-VPC her. Transitives Routing, das von HA VPN bereitgestellt wird, ermöglicht es externen Traffic, VPCs verwalteter Dienste über das VPC-Netzwerk mit Dienstzugriff zu erreichen. Beendet ein Ende der folgenden Abläufe:
|
| VPC-Netzwerk für verwaltete Dienste | Hostt verwaltete Dienste, die von Clients in anderen Netzwerken benötigt werden. | Tausch Daten mit den externen Netzwerken, den Netzwerken für den Dienstzugriff und den Arbeitslastnetzwerken aus. Stellt über den Zugriff auf private Dienste (über VPC-Netzwerk-Peering) oder über Private Service Connect eine Verbindung zum VPC-Netzwerk für den Dienstzugriff her. Beendet ein Ende von Datenflüssen aus allen anderen Netzwerken. |
| VPC-Netzwerke der Arbeitslast | Hostt Arbeitslasten, die von Clients in anderen Netzwerken benötigt werden. | Austausch von Daten mit den externen und Dienstzugriffs-VPC-Netzwerken über das Transit-VPC-Netzwerk. Stellt über VPC-Netzwerk-Peering eine Verbindung zum Transitnetzwerk her. Stellt eine Verbindung zu anderen Arbeitslast-VPC-Netzwerken über Network Connectivity Center-VPC-Spokes her. Beendet ein Ende der folgenden Abläufe:
|
Das folgende Diagramm zeigt eine detaillierte Ansicht der Architektur, in der die vier Verbindungen zwischen den Netzwerken hervorgehoben sind:
Beschreibungen der Verbindungen
In diesem Abschnitt werden die vier Verbindungen beschrieben, die im vorherigen Diagramm dargestellt sind.
Verbindung 1: zwischen externen Netzwerken und dem Transit-VPC-Netzwerk
Diese Verbindung zwischen externen Netzwerken und Transit-VPC-Netzwerken erfolgt über Cloud Interconnect oder HA VPN. Routen werden mithilfe von BGP zwischen den Cloud Routern im Transit-VPC-Netzwerk und den externen Routern im externen Netzwerk ausgetauscht.
- Router in externen Netzwerken geben die Routen für externe Subnetze an die Transit-VPC-Cloud Router weiter. Im Allgemeinen geben externe Router an einem bestimmten Standort Routen von demselben externen Standort als Routen für andere externe Standorte bevorzugt an. Die Präferenz der Routen kann mithilfe von BGP-Messwerten und -Attributen ausgedrückt werden.
- Cloud Router im Transit-VPC-Netzwerk bewerben Routen für Präfixe in den VPCs von Google Cloudzu den externen Netzwerken. Diese Routen müssen mithilfe benutzerdefinierter Cloud Router-Routenankündigungen angekündigt werden.
Verbindung 2: zwischen Transit-VPC-Netzwerken und VPC-Netzwerken mit Zugriff auf Dienste
Diese Verbindung zwischen Transit-VPC-Netzwerken und VPC-Netzwerken mit Dienstzugriff erfolgt über HA VPN mit separaten Tunneln für jede Region. Routen werden mithilfe von BGP zwischen den regionalen Cloud Routern in den Transit-VPC-Netzwerken und den VPC-Netzwerken für den Zugriff auf Dienste ausgetauscht.
- Transit-VPC-HA VPN-Cloud Router geben Routen für externe Netzwerkpräfixe, Arbeitslast-VPCs und andere VPCs mit Dienstzugriff an den VPC-Cloud Router mit Dienstzugriff an. Diese Routen müssen mithilfe benutzerdefinierter Cloud Router-Routenankündigungen angekündigt werden.
- Das VPC-Netzwerk für den Zugriff auf Dienste kündigt seine Subnetze und die Subnetze aller angehängten VPC-Netzwerke der verwalteten Dienste an das Transit-VPC-Netzwerk an. VPC-Routen für verwaltete Dienste und die VPC-Subnetzrouten für den Zugriff auf Dienste müssen mithilfe der Ankündigungen benutzerdefinierter Cloud Router-Routen angekündigt werden.
Verbindung 3: zwischen Transit-VPC-Netzwerken und Arbeitslast-VPC-Netzwerken
Diese Verbindung zwischen Transit-VPC-Netzwerken und Arbeitslast-VPC-Netzwerken wird über VPC-Peering implementiert. Subnetze und Präfixrouten werden mithilfe von VPC-Peering-Mechanismen ausgetauscht. Diese Verbindung ermöglicht die Kommunikation zwischen den Arbeitslast-VPC-Netzwerken und den anderen Netzwerken, die mit dem Transit-VPC-Netzwerk verbunden sind, einschließlich der externen Netzwerke und der VPC-Netzwerke, auf die Dienste zugreifen.
- Das Transit-VPC-Netzwerk verwendet VPC-Netzwerk-Peering, um benutzerdefinierte Routen zu exportieren. Diese benutzerdefinierten Routen umfassen alle dynamischen Routen, die vom Transit-VPC-Netzwerk erlernt wurden. Die Arbeitslast-VPC-Netzwerke importieren diese benutzerdefinierten Routen.
- Das VPC-Netzwerk der Arbeitslast exportiert automatisch Subnetze in das Transit-VPC-Netzwerk. Es werden keine benutzerdefinierten Routen aus den Arbeitslast-VPCs in die Transit-VPC exportiert.
Verbindung 4: zwischen Arbeitslast-VPC-Netzwerken
- VPC-Netzwerke für Arbeitslasten können über VPC-Spokes von Network Connectivity Center miteinander verbunden werden. Dies ist eine optionale Konfiguration. Sie können diesen Schritt auslassen, wenn Sie nicht möchten, dass Arbeitslast-VPC-Netzwerke miteinander kommunizieren.
Trafficabläufe
Das folgende Diagramm zeigt die vier Abläufe, die durch diese Referenzarchitektur aktiviert werden.
In der folgenden Tabelle werden die Abläufe im Diagramm beschrieben:
| Quelle | Ziel | Beschreibung |
|---|---|---|
| Externes Netzwerk | VPC-Netzwerk mit Dienstzugriff |
|
| VPC-Netzwerk mit Dienstzugriff | Externes Netzwerk |
|
| Externes Netzwerk | VPC-Netzwerk der Arbeitslast |
|
| VPC-Netzwerk der Arbeitslast | Externes Netzwerk |
|
| VPC-Netzwerk der Arbeitslast | VPC-Netzwerk mit Dienstzugriff |
|
| VPC-Netzwerk mit Dienstzugriff | VPC-Netzwerk der Arbeitslast |
|
| VPC-Netzwerk der Arbeitslast | VPC-Netzwerk der Arbeitslast | Traffic, der eine Arbeitslast-VPC verlässt, folgt über Network Connectivity Center der spezifischeren Route zur anderen Arbeitslast-VPC. Durch den Rücktraffic wird dieser Pfad umgekehrt. |
Verwendete Produkte
Diese Referenzarchitektur verwendet die folgenden Google Cloud Produkte:
- Virtual Private Cloud (VPC): Ein virtuelles System, das globale, skalierbare Netzwerkfunktionen für Ihre Google Cloud Arbeitslasten bietet. VPC umfasst VPC-Netzwerk-Peering, Private Service Connect, Zugriff auf private Dienste und freigegebene VPCs.
- Network Connectivity Center: Ein Orchestrierungs-Framework, das die Netzwerkverbindung zwischen Spoke-Ressourcen vereinfacht, die mit einer zentralen Verwaltungsressource, dem Hub, verbunden sind.
- Cloud Interconnect: Ein Dienst, mit dem Ihr externes Netzwerk über eine hochverfügbare Verbindung mit niedriger Latenz auf das Google-Netzwerk erweitert wird.
- Cloud VPN: Ein Dienst, mit dem Sie Ihr Peer-Netzwerk über einen IPsec-VPN-Tunnel sicher auf das Google-Netzwerk ausdehnen können.
- Cloud Router: Ein verteiltes und vollständig verwaltetes Angebot, das Lautsprecher- und Antwortfunktionen des Border Gateway Protocol (BGP) bietet. Cloud Router arbeitet mit Cloud Interconnect, Cloud VPN und Router-Appliances zusammen, um dynamische Routen in VPC-Netzwerken basierend auf von BGP empfangenen und benutzerdefinierten erkannten Routen zu erstellen.
Designaspekte
In diesem Abschnitt werden Designfaktoren, Best Practices und Designempfehlungen beschrieben, die Sie berücksichtigen sollten, wenn Sie diese Referenzarchitektur zur Entwicklung einer Topologie verwenden, die Ihren spezifischen Anforderungen an Sicherheit, Zuverlässigkeit und Leistung entspricht.
Sicherheit und Compliance
In der folgenden Liste werden die Sicherheits- und Complianceaspekte für diese Referenzarchitektur beschrieben:
- Aus Compliancegründen möchten Sie Arbeitslasten möglicherweise nur in einer einzigen Region bereitstellen. Wenn Sie den gesamten Traffic in einer einzigen Region halten möchten, können Sie eine Topologie von 99,9% verwenden. Weitere Informationen finden Sie unter 99,9% Verfügbarkeit für Dedicated Interconnect einrichten und 99,9% Verfügbarkeit für Partner Interconnect einrichten.
- Verwenden Sie die Firewall der nächsten Generation, um den Traffic zu sichern, der in die VPC-Netzwerke für den Zugriff auf Dienste und die Arbeitslasten ein- und ausgeht. Zum Schutz des Traffics zwischen externen Netzwerken und dem Transitnetzwerk müssen Sie externe Firewalls oder NVA-Firewalls verwenden.
- Aktivieren Sie Logging und Monitoring entsprechend Ihren Traffic- und Complianceanforderungen. Sie können VPC-Flusslogs verwenden, um Einblicke in Ihre Trafficmuster zu erhalten.
- Verwenden Sie Cloud IDS, um zusätzliche Informationen zum Traffic zu erhalten.
Zuverlässigkeit
In der folgenden Liste werden die Zuverlässigkeitsaspekte für diese Referenzarchitektur beschrieben:
- Um eine Verfügbarkeit von 99,99% für Cloud Interconnect zu erreichen, müssen Sie eine Verbindung zu zwei verschiedenen Google Cloud -Regionen herstellen.
- Sie können Arbeitslasten und andere Cloud-Ressourcen auf Regionen verteilen, um die Zuverlässigkeit zu verbessern und das Risiko regionaler Ausfälle zu minimieren.
- Erstellen Sie eine ausreichende Anzahl von VPN-Tunneln, um den erwarteten Traffic zu verarbeiten. Einzelne VPN-Tunnel haben Bandbreitenbeschränkungen.
Leistungsoptimierung
In der folgenden Liste werden die Leistungsaspekte für diese Referenzarchitektur beschrieben:
- Sie können die Netzwerkleistung möglicherweise verbessern, indem Sie die maximale Übertragungseinheit (MTU) Ihrer Netzwerke und Verbindungen erhöhen. Weitere Informationen finden Sie unter Maximale Übertragungseinheit.
- Die Kommunikation zwischen der Transit-VPC und den Arbeitslastressourcen erfolgt über VPC-Netzwerk-Peering, das einen Durchsatz für die gesamte Bandbreite für alle VMs im Netzwerk ohne zusätzliche Kosten ermöglicht. Berücksichtigen Sie bei der Planung Ihrer Bereitstellung die Kontingente und Limits für VPC-Netzwerk-Peering. Sie haben mehrere Möglichkeiten, Ihr externes Netzwerk mit dem Transitnetzwerk zu verbinden. Weitere Informationen zum Ausgleichen von Kosten und Leistung finden Sie unter Netzwerkverbindungsprodukt auswählen.
Bereitstellung
Die Architektur in diesem Dokument erstellt drei Gruppen von Verbindungen zu einem zentralen Transit-VPC-Netzwerk sowie eine andere Verbindung zwischen Arbeitslast-VPC-Netzwerken. Nachdem alle Verbindungen vollständig konfiguriert sind, können alle Netzwerke in der Bereitstellung mit allen anderen Netzwerken kommunizieren.
Bei dieser Bereitstellung wird davon ausgegangen, dass Sie Verbindungen zwischen dem externen und dem Transitnetzwerk in zwei Regionen erstellen. Arbeitslast-Subnetze können sich jedoch in jeder Region befinden. Wenn Sie Arbeitslasten nur in einer Region platzieren, müssen Sie nur in dieser Region Subnetze erstellen.
Führen Sie die folgenden Aufgaben aus, um diese Referenzarchitektur bereitzustellen:
- Regionen für Konnektivität und Arbeitslasten ermitteln
- VPC-Netzwerke und -Subnetze erstellen
- Verbindungen zwischen externen Netzwerken und dem Transit-VPC-Netzwerk erstellen
- Verbindungen zwischen Ihrem Transit-VPC-Netzwerk und VPC-Netzwerken für den Zugriff auf Dienste erstellen
- Verbindungen zwischen Ihrem Transit-VPC-Netzwerk und Arbeitslast-VPC-Netzwerken erstellen
- Arbeitslast-VPC-Netzwerke verbinden
- Konnektivität zu Arbeitslasten testen
Regionen für Konnektivität und Arbeitslasten ermitteln
Im Allgemeinen sollten Sie Konnektivitäts- und Google Cloud Arbeitslasten in der Nähe Ihrer lokalen Netzwerke oder anderer Cloud-Clients platzieren. Weitere Informationen zum Platzieren von Arbeitslasten finden Sie unter Google Cloud Regionsauswahl und Best Practices für die Compute Engine-Regionsauswahl.
VPC-Netzwerke und Subnetze erstellen
Führen Sie die folgenden Aufgaben aus, um VPC-Netzwerke und Subnetze zu erstellen:
- Erstellen oder identifizieren Sie die Projekte, in denen Sie Ihre VPC-Netzwerke erstellen werden. Weitere Informationen finden Sie unter Netzwerksegmentierung und Projektstruktur. Wenn Sie freigegebene VPC-Netzwerke verwenden möchten, stellen Sie Ihre Projekte als freigegebene VPC-Hostprojekte bereit.
- Planen Sie die Zuweisung von IP-Adressen für Ihre Netzwerke. Sie können Ihre Bereiche durch Erstellen interner Bereiche vorab zuweisen und reservieren. Die Zuweisung von Adressblöcken, die aggregiert werden können, vereinfacht die spätere Konfiguration und den Betrieb.
- Erstellen Sie ein Transitnetzwerk-VPC mit aktiviertem globalem Routing.
- Erstellen Sie Dienst-VPC-Netzwerke. Wenn Sie Arbeitslasten in mehreren Regionen haben, aktivieren Sie das globale Routing.
- Erstellen Sie Arbeitslast-VPC-Netzwerke. Wenn Sie Arbeitslasten in mehreren Regionen haben, aktivieren Sie das globale Routing.
Verbindungen zwischen externen Netzwerken und dem Transit-VPC-Netzwerk erstellen
In diesem Abschnitt wird davon ausgegangen, dass eine Verbindung in zwei Regionen besteht. Außerdem wird davon ausgegangen, dass die externen Standorte verbunden sind und ein Failover aufeinander möglich sind. Außerdem wird angenommen, dass Clients am externen Standort A Dienste in Region A bevorzugt erreichen, usw.
- Richten Sie die Verbindung zwischen den externen Netzwerken und Ihrem Transitnetzwerk ein. Weitere Informationen hierzu finden Sie unter Externe und Hybridkonnektivität. Eine Anleitung zur Auswahl eines Verbindungsprodukts finden Sie unter Netzwerkverbindungsprodukt auswählen.
- Konfigurieren Sie das BGP in jeder verbundenen Region so:
- Konfigurieren Sie den Router am angegebenen externen Standort so:
- Geben Sie alle Subnetze für diesen externen Standort mit demselben BGP-MED auf beiden Schnittstellen an, z. B. 100. Wenn beide Schnittstellen denselben MED-Wert ankündigen, kann Google Cloud ECMP verwenden, um den Traffic über beide Verbindungen zu verteilen.
- Geben Sie alle Subnetze vom anderen externen Standort mit einem MED mit niedrigerer Priorität als dem der ersten Region an, z. B. 200. Sagt denselben MED-Wert von beiden Schnittstellen aus.
- Konfigurieren Sie den nach außen gerichteten Cloud Router in der Transit-VPC der verbundenen Region so:
- Legen Sie als Cloud Router-ASN 16550 fest.
- Geben Sie mithilfe von benutzerdefiniertem Route Advertising alle Subnetzbereiche aus allen Regionen über beide extern ausgerichteten Cloud Router-Schnittstellen an. Fassen Sie sie nach Möglichkeit zusammen. Verwenden Sie auf beiden Schnittstellen denselben MED-Wert, z. B. 100.
- Konfigurieren Sie den Router am angegebenen externen Standort so:
Verbindungen zwischen Ihrem Transit-VPC-Netzwerk und VPC-Netzwerken mit Dienstzugriff erstellen
Für das transitive Routing zwischen externen Netzwerken und der VPC mit Dienstzugriff sowie zwischen Arbeitslast-VPCs und der VPC mit Dienstzugriff verwendet die VPC mit Dienstzugriff HA VPN für die Verbindung.
- Schätzen Sie, wie viel Traffic zwischen den VPCs für öffentliche Verkehrsmittel und den VPCs für den Dienstzugriff in jeder Region übertragen werden muss. Skalieren Sie die erwartete Anzahl von Tunneln entsprechend.
- Konfigurieren Sie HA VPN zwischen der Transit-VPC und der VPC mit Dienstzugriff in Region A. Folgen Sie dazu der Anleitung unter HA VPN-Gateways zum Verbinden von VPC-Netzwerken erstellen. Erstellen Sie einen dedizierten HA VPN-Cloud Router im Transitnetzwerk. Behalten Sie den externen Netzwerkrouter für externe Netzwerkverbindungen bei.
- Konfiguration des Cloud Routers für die VPC für öffentliche Verkehrsmittel:
- Verwenden Sie benutzerdefiniertes Routen-Advertising auf dem Cloud Router in der Transit-VPC, um externe Netzwerk- und Arbeitslast-VPC-Subnetze an die VPC mit Dienstzugriff weiterzugeben.
- Konfiguration des VPC-Cloud Routers für den Zugriff auf Dienste:
- Verwenden Sie benutzerdefiniertes Routen-Advertising im Cloud Router des VPC-Routers für den Dienstzugriff, um VPC-Subnetze mit Zugriff auf Dienste an die Transit-VPC anzukündigen.
- Wenn Sie den Zugriff auf private Dienste verwenden, um eine VPC für verwaltete Dienste mit der VPC für den Zugriff auf Dienste zu verbinden, verwenden Sie benutzerdefinierte Routen, um diese Subnetze ebenfalls anzukündigen.
- Konfiguration des Cloud Routers für die VPC für öffentliche Verkehrsmittel:
- Wenn Sie eine VPC mit verwalteten Diensten über den Zugriff auf private Dienste mit der VPC für den Zugriff auf Dienste verbinden, aktualisieren Sie nach dem Herstellen der VPC-Netzwerk-Peering-Verbindung die VPC-Seite für den Dienstzugriff in der VPC-Netzwerk-Peering-Verbindung, um benutzerdefinierte Routen zu exportieren.
Verbindungen zwischen Ihrem Transit-VPC-Netzwerk und Arbeitslast-VPC-Netzwerken erstellen
Erstellen Sie VPC-Netzwerk-Peering-Verbindungen zwischen Ihrer Transit-VPC und den einzelnen Arbeitslast-VPCs:
- Aktivieren Sie Benutzerdefinierte Routen exportieren für die Transit-VPC-Seite jeder Verbindung.
- Aktivieren Sie Benutzerdefinierte Routen importieren für die Arbeitslast-VPC-Seite jeder Verbindung.
- Im Standardszenario werden nur die VPC-Subnetzrouten der Arbeitslast in die Transit-VPC exportiert. Sie müssen keine benutzerdefinierten Routen aus den Arbeitslast-VPCs exportieren.
Arbeitslast-VPC-Netzwerke verbinden
Verbinden Sie die VPC-Netzwerke der Arbeitslast mithilfe von VPC-Spokes von Network Connectivity Center. Nehmen Sie alle Spokes zu derselben Network Connectivity Center-Spoke-Peer-Gruppe. Verwenden Sie eine Core-Peer-Gruppe, um eine vollständige Mesh-Kommunikation zwischen den VPCs zu ermöglichen.
Die Network Connectivity Center-Verbindung gibt bestimmte Routen zwischen den Arbeitslast-VPC-Netzwerken an. Der Traffic zwischen diesen Netzwerken folgt diesen Routen.
Verbindung zu Arbeitslasten testen
Wenn Sie bereits Arbeitslasten in Ihren VPC-Netzwerken bereitgestellt haben, testen Sie jetzt den Zugriff darauf. Wenn Sie die Netzwerke vor der Bereitstellung von Arbeitslasten verbunden haben, können Sie sie jetzt bereitstellen und testen.
Nächste Schritte
- Weitere Informationen zu den in diesem Designleitfaden Google Cloud verwendeten Produkten:
- Weitere Referenzarchitekturen, Diagramme und Best Practices finden Sie im Cloud-Architekturcenter.
Beitragende
Autoren:
- Deepak Michael | Networking Specialist Customer Engineer
- Victor Moreno | Product Manager, Cloud Networking
- Osvaldo Costa | Networking Specialist Customer Engineer
Weitere Beitragende:
- Mark Schlagenhauf | Technical Writer, Netzwerk
- Ammett Williams | Developer Relations Engineer
- Ghaleb Al-habian | Network Specialist