使用虛擬私有雲網路對等互連建立跨雲端網路虛擬私有雲間連線

Last reviewed 2024-11-18 UTC

本文提供參考架構,可用於在 Google Cloud中部署跨雲網路的輻射狀網路拓撲。這項網路設計可讓您在內部和外部網路 (例如內部部署資料中心或其他雲端服務供應商 (CSP)) 中部署軟體服務。 Google Cloud

這項設計支援多個外部連線、多個服務存取虛擬私有雲網路,以及多個工作負載虛擬私有雲網路。

本文件適用對象為建立網路連線的網路管理員,以及規劃工作負載部署方式的雲端架構師。本文假設您對路由和網際網路連線有基本瞭解。

架構

下圖概略說明網路架構,以及此架構支援的四種封包流量。

文件中所述的四種連結類型。

此架構包含下列高階元素:

元件 目的 互動
外部網路 (地端部署或其他 CSP 網路) 主機可代管在工作負載虛擬私有雲和服務存取虛擬私有雲中執行的工作負載用戶端。外部網路也可以代管服務。 透過轉接網路,與 Google Cloud的虛擬私有雲網路交換資料。使用 Cloud Interconnect 或高可用性 VPN 連線至轉接網路。

終止下列流程的一端:

  • External-to-shared-services
  • 外部至工作負載
傳遞 VPC 網路 可做為外部網路、服務存取 VPC 網路和工作負載 VPC 網路的樞紐。 透過 Cloud Interconnect、高可用性 VPN 和 VPC 網路對等互連,將外部網路、服務存取 VPC 網路和工作負載 VPC 網路連結在一起。
服務存取 VPC 網路 提供工作負載在工作負載虛擬私有雲網路或外部網路中執行時所需的服務存取權。也提供存放於其他網路的代管服務存取點。 透過轉接網路,與外部和工作負載網路交換資料。使用高可用性 VPN 連線至傳輸虛擬私有雲。HA VPN 提供的轉介路由可讓外部流量透過服務存取 VPC 網路連上代管服務 VPC。

終止下列流程的一端:

  • External-to-shared-services
  • Workload-to-shared-services
代管服務 VPC 網路 代管其他網路中用戶端所需的代管服務。 與外部、服務存取和工作負載網路交換資料。使用私人服務存取權 (使用虛擬私有雲端網路對等互連) 或 Private Service Connect 連線至服務存取權虛擬私有雲網路。

終止所有其他網路的流量一端。
工作負載虛擬私有雲網路 託管其他網路中客戶所需的工作負載。 透過轉接 VPC 網路,與外部和服務存取 VPC 網路交換資料。使用 VPC 網路對等互連連線至傳輸網路。使用 Network Connectivity Center VPC 輪輻連線至其他工作負載虛擬私有雲網路。

終止下列流程的一端:

  • 外部至工作負載
  • Workload-to-shared-services
  • 工作負載與工作負載

下圖為架構的詳細視圖,其中標示了網路之間的四個連結:

文件中所述的四種連結類型。

連線說明

本節將說明上圖所示的四個連線。

連線 1:外部網路與轉接虛擬私有雲網路之間

外部網路和傳輸 VPC 網路之間的連線會透過 Cloud Interconnect 或高可用性 VPN 建立。系統會使用 BGP,在轉接 VPC 網路中的 Cloud Router 與外部網路中的外部路由器之間交換路由。

  • 外部網路中的路由器會將外部子網路的路徑通告給轉接 VPC Cloud Router。一般來說,特定位置的外部路由器會宣告來自相同外部位置的路徑,優先順序高於其他外部位置的路徑。您可以使用 BGP 指標和屬性來表示路徑偏好設定。
  • 轉接 VPC 網路中的 Cloud Router 會將 Google Cloud虛擬私人雲端網路中前置詞的路徑通告至外部網路。您必須使用 Cloud Router 自訂路徑通告來宣告這些路徑。

連線 2:轉接 VPC 網路與服務存取 VPC 網路之間

轉接 VPC 網路和服務存取 VPC 網路之間的連線會透過高可用性 VPN 建立,每個區域都有個別的通道。系統會使用 BGP,在轉接 VPC 網路中的區域 Cloud Router 與服務存取 VPC 網路之間交換路由。

  • 轉接 VPC HA VPN Cloud Router 會向服務存取 VPC Cloud Router 宣告外部網路前置字、工作負載 VPC 和其他服務存取 VPC 的路徑。這些路徑必須使用 Cloud Router 自訂路徑通告來宣告。
  • 服務存取 VPC 網路會將其子網路和任何已連結的受管理服務 VPC 網路的子網路,廣播至轉接 VPC 網路。您必須使用 Cloud Router 自訂路徑通告,才能宣告受管理服務 VPC 路徑和服務存取 VPC 子網路路徑。

連線 3:轉接虛擬私有雲網路與工作負載虛擬私有雲網路之間的連線

這類連線是透過虛擬私有雲對等互連,在傳輸虛擬私有雲網路和工作負載虛擬私有雲網路之間實作。子網路和前置碼路徑會透過虛擬私有雲對等互連機制交換。這類連線可讓工作負載虛擬私有雲網路與連線至轉接虛擬私有雲網路的其他網路 (包括外部網路和服務存取虛擬私有雲網路) 之間進行通訊。

  • 轉接 VPC 網路會使用 VPC 網路對等互連匯出自訂路徑。這些自訂路徑包含轉接 VPC 網路已學習到的所有動態路徑。工作負載虛擬私有雲網路會匯入這些自訂路徑。
  • 工作負載虛擬私有雲網路會自動將子網路匯出至轉接虛擬私有雲網路。不會從工作負載 VPC 匯出任何自訂路徑至轉接 VPC。

連線 4:工作負載虛擬私有雲網路之間

  • 您可以使用 Network Connectivity Center 虛擬私有雲網路輪輻,將工作負載虛擬私有雲網路連結在一起。這是選用設定。如果您不希望工作負載虛擬私有雲網路彼此通訊,可以省略這項設定。

流量

下圖顯示此參考架構啟用的四個流程。

本文件中說明的四個流程,並提供詳細背景資訊。

下表說明圖表中的流程:

來源 目的地 說明
外部網路 服務存取虛擬私有雲網路
  1. 流量會沿著 Cloud Interconnect 連線的路徑,傳送至轉接網路。路由會由面向外部的 Cloud Router 通告。
  2. 流量會沿著自訂路徑前往服務存取權虛擬私有雲網路。路徑會透過高可用性 VPN 連線宣告。如果目的地位於透過私人服務存取權連線至服務存取權 VPC 網路的代管服務 VPC 網路中,則流量會沿著 VPC 網路對接自訂路徑連線至代管服務網路。
服務存取 VPC 網路 外部網路
  1. 流量會沿著自訂路徑,經由高可用性 VPN 通道連線至轉送網路。
  2. 流量會沿著外部連線路徑返回外部網路。路徑會透過 BGP 從外部路由器取得。
外部網路 工作負載虛擬私有雲網路
  1. 流量會沿著路線,透過外部連線連線到大眾運輸網路。路由會由面向外部的 Cloud Router 通告。
  2. 流量會沿著子網路路徑傳送至相關工作負載 VPC 網路。路徑是透過 VPC 網路對等互連取得。
工作負載虛擬私有雲網路 外部網路
  1. 流量會沿著路線返回傳遞網路。路徑會透過 VPC 網路對等互連自訂路徑匯出來解析。
  2. 流量會沿著外部連線路徑返回外部網路。路徑會透過 BGP 從外部路由器取得。
工作負載虛擬私有雲網路 服務存取 VPC 網路
  1. 流量會沿著路徑轉送至轉運虛擬私有雲。路徑是透過虛擬私有雲網路對等互連自訂路徑匯出取得。
  2. 流量會沿著路由通過其中一個高可用性 VPN 通道,前往服務存取權 VPC 網路。系統會從 BGP 自訂路徑通告取得路徑。
服務存取 VPC 網路 工作負載虛擬私有雲網路
  1. 流量會沿著自訂路徑傳遞至傳遞網路。路徑會在高可用性 VPN 通道中宣告。
  2. 流量會沿著子網路路徑傳送至相關工作負載 VPC 網路。路徑是透過 VPC 網路對等互連取得。
工作負載虛擬私有雲網路 工作負載虛擬私有雲網路 離開某個工作負載虛擬私有雲的流量,會透過 Network Connectivity Center 沿著更明確的路徑,連往其他工作負載虛擬私有雲。回傳流量會反轉這個路徑。

使用的產品

此參考架構使用以下 Google Cloud 產品:

  • 虛擬私有雲 (VPC):虛擬系統,可為您的 Google Cloud 工作負載提供全球可擴充的網路功能。虛擬私有雲 (VPC) 包含虛擬私有雲網路對等互連、Private Service Connect、私人服務存取權和共用 VPC。
  • Network Connectivity Center:這項協調架構可簡化輪輻資源之間的網路連線,這些輪輻資源會連線至名為「中樞」的中央管理資源。
  • Cloud Interconnect:這項服務可透過高可用性且低延遲的連線,將您的外部網路延伸至 Google 網路。
  • Cloud VPN:這項服務可透過 IPsec VPN 通道,安全地將對等網路延伸至 Google 的網路。
  • Cloud Router:分散式全代管產品,提供邊界閘道協定 (BGP) 發言者和回應者功能。Cloud Router 可搭配 Cloud Interconnect、Cloud VPN 和 Router 設備,根據 BGP 收到的路徑和自訂已知路徑,在 VPC 網路中建立動態路徑。

設計考量

本節說明設計因素、最佳做法和設計建議,供您在使用此參考架構開發符合安全性、可靠性和效能等特定需求的拓撲時參考。

安全性與法規遵循

以下清單說明此參考架構的安全性和法規遵循考量:

  • 基於法規遵循的考量,您可能只想在單一區域中部署工作負載。如果希望所有流量都保留在單一區域,您可以使用 99.9% 拓撲。詳情請參閱「為專屬互連網路建立 99.9% 的可用性」和「為合作夥伴互連網路建立 99.9% 的可用性」。
  • 使用 Cloud Next Generation Firewall 保護進入及離開服務存取和工作負載 VPC 網路的流量。如要保護在外部網路和轉接網路之間傳遞的流量,您必須使用外部防火牆或 NVA 防火牆。
  • 視流量和法規遵循需求,啟用記錄和監控功能。您可以使用虛擬私有雲流量記錄,深入瞭解流量模式。
  • 使用 Cloud IDS 進一步瞭解流量。

可靠性

以下清單說明此參考架構的可靠性考量:

  • 如要讓 Cloud Interconnect 的可用性達到 99.99%,您必須連線至兩個不同的 Google Cloud 區域。
  • 為提高可靠性並盡量減少區域性故障的影響,您可以將工作負載和其他雲端資源分散在各個區域。
  • 如要處理預期流量,請建立足夠數量的 VPN 通道。個別 VPN 通道有頻寬限制

效能最佳化

以下清單說明此參考架構的效能考量事項:

  • 您可以提高網路和連線的最大傳輸單位 (MTU),藉此改善網路效能。詳情請參閱「傳輸單位上限」。
  • 轉接 VPC 和工作負載資源之間的通訊會透過 VPC 網路對等互連,為網路中的所有 VM 提供全線速處理量,且不需額外付費。規劃部署作業時,請考量虛擬私人雲端網路對等互連配額和限制。您可以透過多種方式將外部網路連線至轉接網路。如要進一步瞭解如何平衡成本和效能考量因素,請參閱「選擇網路連線產品」。

部署作業

本文所述架構會建立三組連線,連線至中央中繼虛擬私有雲網路,以及工作負載虛擬私有雲網路之間的其他連線。所有連線都設定完成後,部署中的所有網路都能與所有其他網路通訊。

這項部署作業假設您要在兩個區域的對等互連網路和轉接網路之間建立連線。不過,工作負載子網路可位於任何區域。如果您只將工作負載放在單一區域,只需在該區域中建立子網路即可。

如要部署這個參考架構,請完成下列工作:

  1. 找出要放置連線和工作負載的區域
  2. 建立虛擬私有雲網路和子網路
  3. 建立外部網路與中繼虛擬私有雲網路之間的連線
  4. 在轉接 VPC 網路與服務存取 VPC 網路之間建立連線
  5. 在傳遞網路和工作負載網路之間建立連線
  6. 連線至工作負載虛擬私有雲網路
  7. 測試與工作負載的連線狀態

找出要放置連線和工作負載的區域

一般來說,您應該將連線和 Google Cloud 工作負載放在地端網路或其他雲端用戶端附近。如要進一步瞭解如何放置工作負載,請參閱 Google Cloud 「Region Picker」選擇 Compute Engine 地區的最佳做法

建立虛擬私有雲網路和子網路

如要建立虛擬私有雲網路和子網路,請完成下列工作:

  1. 建立或找出要建立虛擬私有雲網路的專案。如需相關指引,請參閱「網路區隔和專案結構」。如果您打算使用共用虛擬私人雲端網路,請將專案設為共用虛擬私人雲端主專案
  2. 規劃網路的 IP 位址分配方式。您可以建立內部範圍,預先分配及保留範圍。分配可匯集的位址區塊,可讓日後的設定和作業更為簡單。
  3. 建立已啟用全域轉送功能的傳遞網路 VPC。
  4. 建立服務虛擬私有雲網路。如果您在多個區域中都有工作負載,請啟用全球路由。
  5. 建立工作負載虛擬私有雲網路。如果您在多個區域中都有工作負載,請啟用全球路由。

建立外部網路與中繼 VPC 網路之間的連線

本節假設兩個區域之間有連線,且外部位置已連線,且可相互容錯。這也假設外部位置 A 中的用戶端會偏好使用區域 A 中的服務,以此類推。

  1. 設定外部網路與轉接網路之間的連線。如要瞭解如何思考這項問題,請參閱「外部和混合連線」一文。如需選擇連線產品的相關指南,請參閱「選擇網路連線產品」。
  2. 在每個連線區域中設定 BGP,如下所示:
    • 請按照下列步驟,在指定的外部位置設定路由器:
      • 在兩個介面上使用相同的 BGP MED (例如 100),宣告該外部位置的所有子網路。如果兩個介面宣告相同的 MED, Google Cloud 便可使用 ECMP 在兩個連線之間負載平衡流量。
      • 使用比第一個區域 MED 優先順序低的值 (例如 200),宣告其他外部位置的所有子網路。從兩個介面宣告相同的 MED。
    • 在連線區域的轉接 VPC 中,如以下所示設定面向外部的 Cloud Router:
      • 將 Cloud Router ASN 設為 16550。
      • 使用自訂路徑通告,透過兩個外向 Cloud Router 介面,宣告所有區域的所有子網路範圍。盡可能匯總這些資料。在兩個介面上使用相同的 MED,例如 100。

在轉接 VPC 網路和服務存取 VPC 網路之間建立連線

為了在外部網路和服務存取 VPC 之間,以及工作負載 VPC 和服務存取 VPC 之間提供傳遞式路由,服務存取 VPC 會使用 HA VPN 進行連線。

  1. 估算在各個區域中,轉接和服務存取虛擬私有雲之間需要多少流量。並據此調整預期的隧道數量。
  2. 請按照「建立高可用性 VPN 閘道來連結虛擬私有雲網路」中的指示,在區域 A 的轉接 VPC 和服務存取 VPC 之間設定高可用性 VPN。在轉接網路中建立專屬高可用性 VPN Cloud Router。將外部網路路由器保留給外部網路連線。
    • 轉接 VPC Cloud Router 設定:
      • 如要將外部網路和工作負載 VPC 子網路宣告給服務存取 VPC,請在轉接 VPC 中的 Cloud Router 上使用自訂路徑通告
    • 服務存取 VPC Cloud Router 設定:
      • 如要將服務存取 VPC 子網路宣告給轉接 VPC,請在服務存取 VPC Cloud Router 上使用自訂路徑通告。
      • 如果您使用私人服務存取權,將受管理的服務虛擬私有雲網路連線至服務存取虛擬私有雲網路,請使用自訂路徑宣告這些子網路。
  3. 如果您使用私人服務存取權將代管服務 VPC 連線至服務存取 VPC,請在建立 VPC 網路對等互連連線後,更新 VPC 網路對等互連連線的服務存取 VPC 端,以匯出自訂路徑。

在轉接 VPC 網路和工作負載 VPC 網路之間建立連線

在傳遞 VPC 和各個工作負載 VPC 之間建立 VPC 網路對等互連連線

  • 為每個連線的傳遞虛擬私有雲端端點啟用「Export custom routes」
  • 針對每個連線的工作負載 VPC 端,啟用「Import custom routes」
  • 在預設情況下,只有工作負載 VPC 子網路路徑會匯出至 Transit VPC。您不需要從工作負載 VPC 匯出自訂路徑。

連線至工作負載虛擬私有雲網路

使用 Network Connectivity Center VPC 輻條,將工作負載虛擬私有雲網路互相連線。將所有輪輻納入同一個 Network Connectivity Center 輪輻同儕群組。使用核心對等互連群組,允許虛擬私人雲端之間進行完整的網狀通訊。

Network Connectivity Center 連線會在工作負載虛擬私有雲網路中宣告特定路徑。這些網路之間的流量會沿著這些路徑傳輸。

測試與工作負載的連線

如果您已在虛擬私有雲網路中部署工作負載,請立即測試存取權。如果您在部署工作負載前已連線網路,現在可以部署網路並進行測試。

後續步驟

貢獻者

作者:

其他貢獻者: