Dieses Dokument enthält eine Referenzarchitektur, mit der Sie eine Cross-Cloud Network-Hub-and-Spoke-Netzwerktopologie in Google Cloudbereitstellen können. Dieses Netzwerkdesign ermöglicht die Bereitstellung von Softwarediensten in Google Cloud und externen Netzwerken, z. B. in lokalen Rechenzentren oder bei anderen Cloud-Dienstanbietern.
Dieses Design unterstützt mehrere externe Verbindungen, mehrere VPC-Netzwerke (Virtual Private Cloud) für den Dienstzugriff und mehrere VPC-Netzwerke für Arbeitslasten.
Dieses Dokument richtet sich an Netzwerkadministratoren, die Netzwerkkonnektivität aufbauen, und an Cloud-Architekten, die planen, wie Arbeitslasten bereitgestellt werden. In diesem Dokument wird davon ausgegangen, dass Sie grundlegende Kenntnisse in den Bereichen Routing und Internetverbindung haben.
Architektur
Das folgende Diagramm zeigt einen allgemeinen Überblick über die Architektur der Netzwerke und die vier Paketflüsse, die diese Architektur unterstützt.
Die Architektur umfasst die folgenden allgemeinen Elemente:
| Komponente | Zweck | Interaktionen |
|---|---|---|
| Externe Netzwerke (lokales Netzwerk oder Netzwerk eines anderen CSP) | Hier werden die Clients von Arbeitslasten gehostet, die in den Arbeitslast-VPCs und in den VPCs für den Dienstzugriff ausgeführt werden. Dienste können auch in externen Netzwerken gehostet werden. | Tauscht Daten mit den VPC-Netzwerken (Virtual Private Cloud) von Google Cloudüber das Transitnetzwerk aus. Stellt über Cloud Interconnect oder HA VPN eine Verbindung zum Transitnetzwerk her. Beendet ein Ende der folgenden Flows:
|
| Transit-VPC-Netzwerk | Fungiert als Hub für das externe Netzwerk, das VPC-Netzwerk für den Dienstzugriff und die VPC-Netzwerke für Arbeitslasten. | Verbindet das externe Netzwerk, das VPC-Netzwerk für den Dienstzugriff und die VPC-Netzwerke für Arbeitslasten über eine Kombination aus Cloud Interconnect, HA VPN und VPC-Netzwerk-Peering. |
| VPC-Netzwerk für den Dienstzugriff | Bietet Zugriff auf Dienste, die von Arbeitslasten benötigt werden, die in den VPC-Netzwerken für Arbeitslasten oder in externen Netzwerken ausgeführt werden. Bietet auch Zugriffspunkte für verwaltete Dienste, die in anderen Netzwerken gehostet werden. | Tauscht Daten mit den externen und Arbeitslastnetzwerken über das Transitnetzwerk aus. Verbindung zur Transit-VPC über HA VPN. Das transitive Routing von HA VPN ermöglicht es, dass externer Traffic über das VPC-Netzwerk für den Dienstzugriff die VPCs für verwaltete Dienste erreicht. Beendet ein Ende der folgenden Flows:
|
| VPC-Netzwerk für verwaltete Dienste | Hostet verwaltete Dienste, die von Clients in anderen Netzwerken benötigt werden. | Tauscht Daten mit dem externen Netzwerk, dem Netzwerk für den Dienstzugriff und dem Arbeitslastnetzwerk aus. Stellt eine Verbindung zum VPC-Netzwerk für den Zugriff auf Dienste über Zugriff auf private Dienste her, bei dem VPC-Netzwerk-Peering verwendet wird, oder über Private Service Connect. Beendet ein Ende von Flows aus allen anderen Netzwerken. |
| Arbeitslast-VPC-Netzwerke | Hostet Arbeitslasten, die von Clients in anderen Netzwerken benötigt werden. | Tauscht Daten mit den externen und den VPC-Netzwerken für den Dienstzugriff über das Transit-VPC-Netzwerk aus. Verbindung zum Transitnetzwerk über VPC-Netzwerk-Peering. Verbindet sich über Network Connectivity Center-VPC-Spokes mit anderen Arbeitslast-VPC-Netzwerken. Beendet ein Ende der folgenden Flows:
|
Das folgende Diagramm zeigt eine detaillierte Ansicht der Architektur, in der die vier Verbindungen zwischen den Netzwerken hervorgehoben sind:
Beschreibungen von Verbindungen
In diesem Abschnitt werden die vier Verbindungen beschrieben, die im vorherigen Diagramm dargestellt sind.
Verbindung 1: Zwischen externen Netzwerken und dem Transit-VPC-Netzwerk
Diese Verbindung zwischen externen Netzwerken und Transit-VPC-Netzwerken erfolgt über Cloud Interconnect oder HA VPN. Routen werden über BGP zwischen den Cloud-Routern im Transit-VPC-Netzwerk und den externen Routern im externen Netzwerk ausgetauscht.
- Router in externen Netzwerken kündigen die Routen für externe Subnetze bei den Transit-VPC-Cloud-Routern an. Im Allgemeinen kündigen externe Router an einem bestimmten Standort Routen vom selben externen Standort als bevorzugter an als Routen für andere externe Standorte. Die Präferenz der Routen kann mithilfe von BGP-Messwerten und ‑Attributen ausgedrückt werden.
- Cloud Router im Transit-VPC-Netzwerk bewerben Routen für Präfixe in den VPCs von Google Cloudfür die externen Netzwerke. Diese Routen müssen mit benutzerdefinierten Route Advertisements von Cloud Router angekündigt werden.
Verbindung 2: Zwischen Transit-VPC-Netzwerken und VPC-Netzwerken für den Dienstzugriff
Diese Verbindung zwischen Transit-VPC-Netzwerken und VPC-Netzwerken für den Dienstzugriff erfolgt über HA VPN mit separaten Tunneln für jede Region. Routen werden über BGP zwischen den regionalen Cloud-Routern in den Transit-VPC-Netzwerken und den VPC-Netzwerken für den Dienstzugriff ausgetauscht.
- Transit-VPC HA VPN: Cloud Router kündigen Routen für externe Netzwerkpräfixe, Workload-VPCs und andere Dienstzugriffs-VPCs beim Cloud Router der Dienstzugriffs-VPC an. Diese Routen müssen mit benutzerdefinierten Route Advertisements von Cloud Router angekündigt werden.
- Das VPC-Netzwerk für den Zugriff auf Dienste kündigt seine Subnetze und die Subnetze aller angehängten VPC-Netzwerke für verwaltete Dienste im Transit-VPC-Netzwerk an. VPC-Routen für verwaltete Dienste und VPC-Subnetzrouten für den Dienstzugriff müssen mit benutzerdefinierten Cloud Router-Route-Advertisements angekündigt werden.
Verbindung 3: Zwischen Transit-VPC-Netzwerken und Arbeitslast-VPC-Netzwerken
Diese Verbindung zwischen Transit-VPC-Netzwerken und Arbeitslast-VPC-Netzwerken wird über VPC-Peering implementiert. Subnetze und Präfixrouten werden über VPC-Peering-Mechanismen ausgetauscht. Diese Verbindung ermöglicht die Kommunikation zwischen den VPC-Netzwerken der Arbeitslast und den anderen Netzwerken, die mit dem Transit-VPC-Netzwerk verbunden sind, einschließlich der externen Netzwerke und der VPC-Netzwerke für den Dienstzugriff.
- Das Transit-VPC-Netzwerk verwendet VPC-Netzwerk-Peering, um benutzerdefinierte Routen zu exportieren. Diese benutzerdefinierten Routen umfassen alle dynamischen Routen, die vom Transit-VPC-Netzwerk ermittelt wurden. Die VPC-Netzwerke der Arbeitslast importieren diese benutzerdefinierten Routen.
- Das VPC-Netzwerk der Arbeitslast exportiert Subnetze automatisch in das Transit-VPC-Netzwerk. Es werden keine benutzerdefinierten Routen aus den Workload-VPCs in die Transit-VPC exportiert.
Verbindung 4: Zwischen Arbeitslast-VPC-Netzwerken
- VPC-Netzwerke für Arbeitslasten können über Network Connectivity Center-VPC-Spokes miteinander verbunden werden. Dies ist eine optionale Konfiguration. Sie können es weglassen, wenn Sie nicht möchten, dass Arbeitslast-VPC-Netzwerke miteinander kommunizieren.
Trafficabläufe
Das folgende Diagramm zeigt die vier Abläufe, die durch diese Referenzarchitektur ermöglicht werden.
In der folgenden Tabelle werden die Abläufe im Diagramm beschrieben:
| Quelle | Ziel | Beschreibung |
|---|---|---|
| Externes Netzwerk | VPC-Netzwerk für den Dienstzugriff |
|
| VPC-Netzwerk für den Dienstzugriff | Externes Netzwerk |
|
| Externes Netzwerk | VPC-Netzwerk der Arbeitslast |
|
| VPC-Netzwerk der Arbeitslast | Externes Netzwerk |
|
| VPC-Netzwerk der Arbeitslast | VPC-Netzwerk für den Dienstzugriff |
|
| VPC-Netzwerk für den Dienstzugriff | VPC-Netzwerk der Arbeitslast |
|
| VPC-Netzwerk der Arbeitslast | VPC-Netzwerk der Arbeitslast | Traffic, der eine Arbeitslast-VPC verlässt, folgt der spezifischeren Route zur anderen Arbeitslast-VPC über Network Connectivity Center. Beim Rücktraffic wird dieser Pfad umgekehrt. |
Verwendete Produkte
In dieser Referenzarchitektur werden die folgenden Google Cloud Produkte verwendet:
- Virtual Private Cloud (VPC): Ein virtuelles System, das globale, skalierbare Netzwerkfunktionen für Ihre Google Cloud Arbeitslasten bietet. VPC umfasst VPC-Netzwerk-Peering, Private Service Connect, Zugriff auf private Dienste und freigegebene VPC.
- Network Connectivity Center: Ein Orchestrierungs-Framework, das Netzwerkverbindungen zwischen Spoke-Ressourcen vereinfacht, die mit einer zentralen Verwaltungsressource verbunden sind, die als Hub bezeichnet wird.
- Cloud Interconnect: Ein Dienst, mit dem Ihr externes Netzwerk über eine hochverfügbare Verbindung mit niedriger Latenz auf das Google-Netzwerk erweitert wird.
- Cloud VPN: Ein Dienst, mit dem Sie Ihr Peer-Netzwerk über einen IPsec-VPN-Tunnel sicher auf das Google-Netzwerk ausdehnen können.
- Cloud Router: Ein verteiltes und vollständig verwaltetes Angebot, das BGP-Speaker- und Responder-Funktionen (Border Gateway Protocol) bietet. Cloud Router funktioniert mit Cloud Interconnect, Cloud VPN und Router-Appliances, um dynamische Routen in VPC-Netzwerken basierend auf BGP-empfangenen und benutzerdefinierten erlernten Routen zu erstellen.
Designaspekte
In diesem Abschnitt werden Designfaktoren, Best Practices und Designempfehlungen beschrieben, die Sie berücksichtigen sollten, wenn Sie diese Referenzarchitektur verwenden, um eine Topologie zu entwickeln, die Ihren spezifischen Anforderungen an Sicherheit, Zuverlässigkeit und Leistung entspricht.
Sicherheit und Compliance
In der folgenden Liste werden die Sicherheits- und Compliance-Aspekte für diese Referenzarchitektur beschrieben:
- Aus Compliance-Gründen möchten Sie Arbeitslasten möglicherweise nur in einer einzelnen Region bereitstellen. Wenn Sie den gesamten Traffic in einer einzelnen Region halten möchten, können Sie eine 99,9 %-Topologie verwenden. Weitere Informationen finden Sie unter 99,9% Verfügbarkeit für Dedicated Interconnect einrichten und 99,9% Verfügbarkeit für Partner Interconnect einrichten.
- Verwenden Sie Cloud Next Generation Firewall, um Traffic zu schützen, der in die VPC-Netzwerke für Dienstzugriff und Arbeitslasten ein- und ausgeht. Um den Traffic zwischen externen Netzwerken und dem Transitnetzwerk zu sichern, müssen Sie externe Firewalls oder NVA-Firewalls verwenden.
- Aktivieren Sie Logging und Monitoring entsprechend Ihrem Traffic und Ihren Compliance-Anforderungen. Mit VPC-Flusslogs können Sie Einblicke in Ihre Trafficmuster gewinnen.
- Verwenden Sie Cloud IDS, um zusätzliche Informationen zu Ihrem Traffic zu erhalten.
Zuverlässigkeit
In der folgenden Liste werden die Aspekte der Zuverlässigkeit für diese Referenzarchitektur beschrieben:
- Um eine Verfügbarkeit von 99,99% für Cloud Interconnect zu erreichen, müssen Sie eine Verbindung zu zwei verschiedenen Google Cloud Regionen herstellen.
- Um die Zuverlässigkeit zu verbessern und das Risiko von regionalen Ausfällen zu minimieren, können Sie Arbeitslasten und andere Cloud-Ressourcen auf mehrere Regionen verteilen.
- Erstellen Sie eine ausreichende Anzahl von VPN-Tunneln, um den erwarteten Traffic zu bewältigen. Für einzelne VPN-Tunnel gelten Bandbreitenlimits.
Leistungsoptimierung
In der folgenden Liste werden die Leistungsaspekte für diese Referenzarchitektur beschrieben:
- Sie können die Netzwerkleistung möglicherweise verbessern, indem Sie die maximale Übertragungseinheit (Maximum Transmission Unit, MTU) Ihrer Netzwerke und Verbindungen erhöhen. Weitere Informationen finden Sie unter Maximale Übertragungseinheit.
- Die Kommunikation zwischen der Transit-VPC und den Arbeitslastressourcen erfolgt über VPC-Netzwerk-Peering, das für alle VMs im Netzwerk einen Durchsatz mit voller Leitungsrate ohne zusätzliche Kosten bietet. Berücksichtigen Sie bei der Planung Ihrer Bereitstellung die Kontingente und Limits für VPC-Netzwerk-Peering. Sie haben mehrere Möglichkeiten, Ihr externes Netzwerk mit dem Transitnetzwerk zu verbinden. Weitere Informationen zum Abwägen von Kosten- und Leistungsaspekten finden Sie unter Network Connectivity-Produkt auswählen.
Bereitstellung
In der Architektur in diesem Dokument werden drei Arten von Verbindungen zu einem zentralen Transit-VPC-Netzwerk sowie eine weitere Verbindung zwischen VPC-Netzwerken für Arbeitslasten erstellt. Nachdem alle Verbindungen vollständig konfiguriert sind, können alle Netzwerke in der Bereitstellung mit allen anderen Netzwerken kommunizieren.
Bei dieser Bereitstellung wird davon ausgegangen, dass Sie Verbindungen zwischen dem externen Netzwerk und dem Transitnetzwerk in zwei Regionen erstellen. Arbeitslast-Subnetze können sich jedoch in jeder Region befinden. Wenn Sie Arbeitslasten nur in einer Region platzieren, müssen Sie Subnetze nur in dieser Region erstellen.
Führen Sie die folgenden Aufgaben aus, um diese Referenzarchitektur bereitzustellen:
- Regionen für Konnektivität und Arbeitslasten identifizieren
- VPC-Netzwerke und ‑Subnetze erstellen
- Verbindungen zwischen externen Netzwerken und Ihrem Transit-VPC-Netzwerk erstellen
- Verbindungen zwischen Ihrem Transit-VPC-Netzwerk und VPC-Netzwerken für den Dienstzugriff erstellen
- Verbindungen zwischen Ihrem Transit-VPC-Netzwerk und den Arbeitslast-VPC-Netzwerken erstellen
- Arbeitslast-VPC-Netzwerke verbinden
- Konnektivität zu Arbeitslasten testen
Regionen für Konnektivität und Arbeitslasten identifizieren
Im Allgemeinen sollten Sie Verbindungen und Google Cloud Arbeitslasten in der Nähe Ihrer lokalen Netzwerke oder anderer Cloud-Clients platzieren. Weitere Informationen zum Platzieren von Arbeitslasten finden Sie unter Google Cloud Region Picker und Best Practices für die Auswahl der Compute Engine-Regionen.
VPC-Netzwerke und Subnetze erstellen
Führen Sie die folgenden Aufgaben aus, um Ihre VPC-Netzwerke und Subnetze zu erstellen:
- Erstellen oder identifizieren Sie die Projekte, in denen Sie Ihre VPC-Netzwerke erstellen möchten. Weitere Informationen finden Sie unter Netzwerksegmentierung und Projektstruktur. Wenn Sie freigegebene VPC-Netzwerke verwenden möchten, stellen Sie Ihre Projekte als freigegebene VPC-Hostprojekte bereit.
- Planen Sie die Zuweisung von IP-Adressen für Ihre Netzwerke. Sie können Ihre Bereiche vorab zuweisen und reservieren, indem Sie interne Bereiche erstellen. Durch die Zuweisung von aggregierbaren Adressblöcken werden spätere Konfigurationen und Vorgänge vereinfacht.
- Erstellen Sie eine Transitnetzwerk-VPC mit aktiviertem globalen Routing.
- VPC-Netzwerke für Dienste erstellen. Wenn Sie Arbeitslasten in mehreren Regionen haben, aktivieren Sie das globale Routing.
- VPC-Netzwerke für Arbeitslasten erstellen. Wenn Sie Arbeitslasten in mehreren Regionen haben, aktivieren Sie das globale Routing.
Verbindungen zwischen externen Netzwerken und Ihrem Transit-VPC-Netzwerk erstellen
In diesem Abschnitt wird davon ausgegangen, dass eine Verbindung in zwei Regionen besteht und dass die externen Standorte miteinander verbunden sind und ein Failover zueinander durchführen können. Außerdem wird davon ausgegangen, dass Clients am externen Standort A bevorzugt auf Dienste in Region A zugreifen usw.
- Richten Sie die Verbindung zwischen den externen Netzwerken und Ihrem Transitnetzwerk ein. Weitere Informationen dazu finden Sie unter Externe und Hybridkonnektivität. Eine Anleitung zur Auswahl eines Konnektivitätsprodukts finden Sie unter Network Connectivity-Produkt auswählen.
- Konfigurieren Sie BGP in jeder verbundenen Region so:
- Konfigurieren Sie den Router am angegebenen externen Standort so:
- Kündigen Sie alle Subnetze für diesen externen Standort an, indem Sie auf beiden Schnittstellen denselben BGP-MED verwenden, z. B. 100. Wenn beide Schnittstellen denselben MED-Wert ankündigen, kann Google Cloud ECMP verwenden, um den Traffic auf beide Verbindungen zu verteilen.
- Kündigen Sie alle Subnetze vom anderen externen Standort mit einem MED mit niedrigerer Priorität als dem der ersten Region an, z. B. 200. Geben Sie über beide Schnittstellen dieselbe MED an.
- Konfigurieren Sie den externen Cloud Router in der Transit-VPC der verbundenen Region so:
- Legen Sie die ASN Ihres Cloud Routers auf 16550 fest.
- Verwenden Sie benutzerdefiniertes Routen-Advertising, um alle Subnetzbereiche aus allen Regionen über beide externen Cloud Router-Schnittstellen anzukündigen. Fassen Sie sie nach Möglichkeit zusammen. Verwenden Sie auf beiden Schnittstellen denselben MED, z. B. 100.
- Konfigurieren Sie den Router am angegebenen externen Standort so:
Verbindungen zwischen Ihrem Transit-VPC-Netzwerk und VPC-Netzwerken für den Dienstzugriff erstellen
Um transitives Routing zwischen externen Netzwerken und der VPC für den Dienstzugriff sowie zwischen Arbeitslast-VPCs und der VPC für den Dienstzugriff zu ermöglichen, verwendet die VPC für den Dienstzugriff HA VPN für die Konnektivität.
- Schätzen Sie, wie viel Traffic zwischen den Transit- und Dienstzugriffs-VPCs in jeder Region übertragen werden muss. Passen Sie die erwartete Anzahl von Tunneln entsprechend an.
- Konfigurieren Sie HA VPN zwischen der Transit-VPC und der VPC für den Dienstzugriff in Region A. Folgen Sie dazu der Anleitung unter HA VPN-Gateways zum Verbinden von VPC-Netzwerken erstellen. Erstellen Sie einen dedizierten HA VPN-Cloud Router im Transitnetzwerk. Lassen Sie den Router, der mit dem externen Netzwerk verbunden ist, für Verbindungen zum externen Netzwerk.
- Cloud Router-Konfiguration für Transit-VPC:
- Wenn Sie Subnetze für externe Netzwerke und Arbeitslast-VPCs für die VPC für den Dienstzugriff freigeben möchten, verwenden Sie benutzerdefinierte Route Advertisements für den Cloud Router in der Transit-VPC.
- Cloud Router-Konfiguration für den Dienstzugriff:
- Verwenden Sie benutzerdefinierte Route Advertisements auf dem Cloud Router der VPC für den Dienstzugriff, um VPC-Subnetze für den Dienstzugriff für die Transit-VPC anzukündigen.
- Wenn Sie Zugriff auf private Dienste verwenden, um eine VPC für verwaltete Dienste mit der VPC für den Dienstzugriff zu verbinden, verwenden Sie benutzerdefinierte Routen, um diese Subnetze ebenfalls anzukündigen.
- Cloud Router-Konfiguration für Transit-VPC:
- Wenn Sie eine VPC für verwaltete Dienste über Zugriff auf private Dienste mit der VPC für den Dienstzugriff verbinden, müssen Sie nach dem Herstellen der VPC-Netzwerk-Peering-Verbindung die VPC für den Dienstzugriff auf der Seite der VPC-Netzwerk-Peering-Verbindung aktualisieren, um benutzerdefinierte Routen zu exportieren.
Verbindungen zwischen Ihrem Transit-VPC-Netzwerk und Arbeitslast-VPC-Netzwerken erstellen
VPC-Netzwerk-Peering-Verbindungen zwischen Ihrer Transit-VPC und jeder Ihrer Arbeitslast-VPCs erstellen:
- Aktivieren Sie Benutzerdefinierte Routen exportieren für die Transit-VPC-Seite jeder Verbindung.
- Aktivieren Sie Benutzerdefinierte Routen importieren für die Arbeitslast-VPC-Seite jeder Verbindung.
- Im Standardszenario werden nur die Subnetzrouten der Arbeitslast-VPC in die Transit-VPC exportiert. Sie müssen keine benutzerdefinierten Routen aus den VPCs der Arbeitslast exportieren.
Arbeitslast-VPC-Netzwerke verbinden
Verbinden Sie die Arbeitslast-VPC-Netzwerke mithilfe von Network Connectivity Center-VPC-Spokes. Alle Spokes müssen Teil derselben Network Connectivity Center-Spoke-Peergruppe sein. Verwenden Sie eine Core-Peering-Gruppe, um die vollständige Mesh-Kommunikation zwischen den VPCs zu ermöglichen.
Über die Network Connectivity Center-Verbindung werden bestimmte Routen zwischen den VPC-Netzwerken der Arbeitslast angekündigt. Der Traffic zwischen diesen Netzwerken folgt diesen Routen.
Verbindung zu Arbeitslasten testen
Wenn Sie bereits Arbeitslasten in Ihren VPC-Netzwerken bereitgestellt haben, testen Sie jetzt den Zugriff darauf. Wenn Sie die Netzwerke vor der Bereitstellung von Arbeitslasten verbunden haben, können Sie sie jetzt bereitstellen und testen.
Nächste Schritte
- Weitere Informationen zu den in dieser Designanleitung verwendeten Google Cloud -Produkten:
- Weitere Referenzarchitekturen, Diagramme und Best Practices finden Sie im Cloud-Architekturcenter.
Beitragende
Autoren:
- Deepak Michael | Networking Specialist Customer Engineer
- Victor Moreno | Product Manager, Cloud Networking
- Osvaldo Costa | Networking Specialist Customer Engineer
Weitere Beitragende:
- Mark Schlagenhauf | Technical Writer, Netzwerk
- Ammett Williams | Developer Relations Engineer
- Ghaleb Al-habian | Network Specialist