Cross-Cloud Network 中分散式應用程式的網路分割和連線

Last reviewed 2025-01-30 UTC

本文是 Cross-Cloud Network 設計指南系列的一部分。

本系列文章包含以下部分:

本節將探討網路區隔結構和連線功能,這是設計的基礎。本文件說明您在下列階段做出選擇的情況:

  • 整體網路區隔和專案結構。
  • 工作負載的放置位置。
  • 專案如何連線至外部內部部署和其他雲端服務供應商網路,包括連線、路由和加密的設計。
  • 虛擬私有雲網路彼此之間的內部連線方式。
  • Google Cloud 虛擬私有雲子網路如何彼此連線及連線至其他網路,包括如何設定服務可及性和 DNS。

網路區隔和專案架構

在規劃階段,您必須決定要採用下列兩種專案結構之一:

  • 整合基礎架構主機專案,您可以使用單一基礎架構主機專案來管理所有應用程式的所有網路資源
  • 分割的主專案,其中基礎架構主專案與每個應用程式的不同主專案搭配使用

在規劃階段,建議您也決定工作負載環境的管理網域。根據最小特權原則,為基礎架構管理員和開發人員設定權限範圍,並將應用程式資源範圍納入不同的應用程式專案。由於基礎架構管理員需要設定連線才能共用資源,因此基礎架構資源可在基礎架構專案中處理。舉例來說,如要設定與共用基礎架構資源的連線,基礎架構管理員可以使用基礎架構專案來處理這些共用資源。同時,開發團隊可能會在一個專案中管理工作負載,而實際工作環境團隊則可能會在另一個專案中管理工作負載。開發人員接著會使用基礎架構專案中的基礎架構資源,為工作負載建立及管理資源、服務、負載平衡和 DNS 路由政策。

此外,您必須決定要初始實作的虛擬私有雲網路數量,以及這些網路在資源階層中的排序方式。如要進一步瞭解如何選擇資源階層,請參閱「決定 Google Cloud 目標網域的資源階層」。如要進一步瞭解如何選擇虛擬私有雲網路數量,請參閱「決定是否建立多個虛擬私有雲網路」。

針對跨雲端網路,我們建議使用下列 VPC:

  • 一或多個應用程式 VPC,用於代管不同應用程式的資源。
  • 一或多個傳遞虛擬私有雲,用於處理所有外部連線。
  • 一或多個服務存取權 VPC,可用於將已發布服務的私人存取權部署作業整合。

下圖為剛才所述建議的 VPC 結構,以視覺化方式呈現。您可以使用圖表中顯示的 VPC 結構,搭配合併或區隔的專案結構,詳情請參閱後續章節。這裡顯示的圖表未顯示虛擬私有雲網路之間的連線。

建議的 VPC 架構

整合基礎架構主機專案

您可以使用整合式基礎架構主機專案來管理所有網路資源,例如 VPC 網路和子網路、Network Connectivity Center 中樞、VPC 網路對等互連連線和負載平衡器。

您可以在基礎架構主機專案中建立多個應用程式共用虛擬私有雲,並搭配相應的應用程式服務專案,以符合機構架構。使用多個應用程式服務專案來委派資源管理作業。所有應用程式虛擬私有雲端的所有網路都會向整合基礎架構主機專案收費。

在這種專案結構中,許多應用程式服務專案可以共用較少量的應用程式虛擬私有雲。

下圖以視覺化方式呈現剛才所述的整合基礎架構主機專案和多個應用程式服務專案。這張圖表不會顯示所有專案之間的連結。

整合基礎架構主機專案和多個應用程式服務專案

區隔主專案

在這個模式中,每個應用程式群組都有各自的應用程式主機專案和 VPC 網路。主專案可附加多個應用程式服務專案。網路服務的帳單會分開計費,分別計入基礎架構主機專案和應用程式主機專案。基礎設施費用會計入基礎設施主機專案,而網路費用 (例如應用程式資料移轉費用) 則會計入各個應用程式主機專案。

下圖以視覺化方式呈現剛才所述的多個主機專案和多個應用程式服務專案。這張圖表不會顯示所有專案之間的連結。

多個主專案和多個應用程式服務專案

工作負載安置

許多連線選項取決於工作負載的區域位置。如需工作負載放置指南,請參閱「選擇 Compute Engine 地區的最佳做法」。您應先決定工作負載的位置,再選擇連線位置。

外部和混合式連線

本節說明下列連線路徑的相關規定和建議:

  • 與其他雲端服務供應商的私人連線
  • 連線至內部部署資料中心的私人連線
  • 工作負載的網際網路連線,尤其是外送連線

Cross-Cloud Network 會連結多個雲端網路或地端部署網路。外部網路可由不同機構擁有及管理。這些網路會透過一或多個網路對網路介面 (NNI) 進行實體連線。您必須設計、佈建及設定 NNI 組合,以便提升效能、彈性、隱私權和安全性。

為了實現模組化、可重複使用,以及插入安全性 NVA 的功能,請將外部連線和路由放置在傳遞虛擬私有雲中,以便做為其他虛擬私有雲的共用連線服務。您可以在傳遞 VPC 中設定跨網域的復原、備援和路徑偏好設定路由政策,並由許多其他 VPC 網路使用。

稍後會使用 NNI 和外部連線的設計,用於內部連線和 VPC 網路

下圖顯示轉接 VPC 可做為其他 VPC 的共用連線服務,這些 VPC 是透過虛擬私有雲網路對等互連、Network Connectivity Center 或高可用性 VPN 連線。為了簡化說明,圖表中只顯示單一傳輸虛擬私有雲端,但您可以使用多個傳輸虛擬私有雲端,以便在不同地區建立連線。

傳遞虛擬私有雲用於做為其他虛擬私有雲的共用連線服務

與其他雲端服務供應商的私人連線

如果您在其他雲端服務供應商 (CSP) 網路中執行的服務,想要連線至您的 Google Cloud 網路,您可以透過網際網路或私人連線連線至這些服務。建議您使用私人連線。

選擇選項時,請考量吞吐量、隱私權、成本和營運可行性。

如要同時提高總處理量和隱私權,請在雲端網路之間使用直接高速連線。直接連線可省去中介的實體網路設備。建議您使用 Cross-Cloud Interconnect,這項服務可提供這些直接連線,以及 MACsec 加密機制,每個連結的傳輸速率最高可達 100 Gbps。

如果無法使用 Cross-Cloud Interconnect,您可以透過主機代管服務供應商使用專屬互連網路或合作夥伴互連網路。

根據位置與目標區域的距離,選取連線至其他 CSP 的位置。在選擇位置時,請考量下列事項:

  • 查看地區清單:
    • 如要使用 Cross-Cloud Interconnect,請查看 Google Cloud 和 CSP 皆可使用的位置清單 (可用性因雲端服務供應商而異)。
    • 如果是專屬互連網路或合作夥伴互連網路,請為主機代管服務供應商選擇低延遲位置
  • 評估指定的網路邊緣連結點 (POP) 與各 CSP 中相關區域之間的延遲時間。

為盡可能提高跨雲連線的可靠性,建議您設定可支援實際工作負載 99.99% 服務水準協議的運作時間。如需詳細資訊,請參閱「Cross-Cloud Interconnect 高可用性」、「為專屬互連網路建立 99.99% 的可用性」和「為合作夥伴互連網路建立 99.99% 的可用性」。

如果您不需要不同 CSP 之間的頻寬高,可以使用 VPN 通道。這種做法有助於您開始使用,當分散式應用程式使用更多頻寬時,您可以升級至 Cross-Cloud Interconnect。VPN 通道也能達到 99.99% 的服務水準協議。詳情請參閱「高可用性 VPN 拓撲」。

連線至內部部署資料中心的私人連線

如要連線至私人資料中心,您可以使用下列混合連線選項之一:

  • 專屬互連網路
  • 合作夥伴互連網路
  • 高可用性 VPN

這些連線的轉送考量與與其他雲端服務供應商的私人連線類似。

下圖顯示連線至內部部署網路,以及內部部署路由器如何透過對等連線政策連線至 Cloud Router:

連線至內部部署網路

與外部網路進行跨網域路由

如要提高網路間的復原力和總處理量,請使用多個路徑連結網路。

當流量在網路網域之間轉移時,必須由具狀態的安全裝置進行檢查。因此,網域之間的邊界必須具備流動對稱性。

對於跨區域傳輸資料的網路,每個網路的費用和服務品質等級可能會大不相同。您可以根據這些差異,決定使用哪些聯播網。

設定網域間轉送政策,滿足區域間轉送、流量對稱、傳輸量和彈性需求。

跨網域路由政策的設定取決於各個網域邊緣的可用功能。設定方式也取決於鄰近網域在不同區域中,從自治系統和 IP 位址 (子網路) 觀點的結構。為了提升可擴充性,且不超過邊緣裝置的前置字限制,建議您在 IP 位址規劃中,為每個區域和網域組合設定較少的總和前置字。

設計區域間路由時,請考量下列事項:

  • Google Cloud VPC 網路和 Cloud Router 都支援全球跨區轉送。其他 CSP 可能會有區域 VPC 和邊界閘道通訊協定 (BGP) 範圍。詳情請參閱其他 CSP 的說明文件。
  • Cloud Router 會根據地區鄰近性,自動通告路徑,並使用預先設定的路徑偏好設定。這項轉送行為取決於 VPC 的動態轉送模式設定。您可能需要覆寫這些偏好設定,才能取得所需的路由行為。
  • 不同的 CSP 支援不同的 BGP 和雙向轉送偵測 (BFD) 功能,而 Google Cloud Router 也具有特定的路由政策功能,詳情請參閱「建立 BGP 工作階段」。
  • 不同的 CSP 可能會使用不同的 BGP 平局判定屬性,決定路徑偏好設定。詳情請參閱 CSP 的說明文件。

單一區域網域間路由

建議您先從單一區域的網域間路由開始,再進一步建立多個區域連線,並使用網域間路由。

使用 Cloud Interconnect 的設計至少須有兩個連線位置,且位於同一個區域但不同的邊緣可用性網域

決定是否要在主動/主動或主動/被動設計中設定這些重複的連線:

  • 雙主動式會使用等價多路徑 (ECMP) 路由,匯總兩個路徑的頻寬,並同時用於網域間流量。Cloud Interconnect 也支援使用 LACP 匯總連結,以便在每個路徑上達到最高 200 Gbps 的匯總頻寬。
  • 主動/被動會強制將一個連結設為待命狀態,只有在主動連結中斷時才會接收流量。

我們建議您為區域內連結採用主動/主動設計。不過,某些內部網路拓樸與使用有狀態安全性功能,可能需要採用主動/被動設計。

Cloud Router 會在多個可用區中例項化,因此比單一元素提供更高的彈性。下圖顯示所有彈性連線如何在某個地區的單一 Cloud Router 中匯集。只要遵循為專屬互連網路建立 99.9% 的可用性的規範,這項設計就能支援單一都會區內 99.9% 的服務水準協議。

下圖顯示兩個內部部署路由器備援連線至單一地區的受管理 Cloud Router 服務:

彈性連線可使用單一 Cloud Router

多區域網域間路由

為提供備用連線,網路可在多個地理區域中對等互連。連結多個地區的網路後,可用性服務水準協議可提高至 99.99%。

下圖顯示 99.99% 服務水準協議的架構。這張圖顯示兩個不同地區內部部署的路由器,以備援方式連線至兩個不同區域的 Cloud Router 服務。

位於多個區域的 Cloud Interconnect 連線

除了彈性之外,多區域路由設計也應實現流量對稱。設計也應指出區域間通訊的偏好網路,您可以使用熱點和冷點路由來執行這項操作。將一個網域中的冷馬鈴薯轉送與同級網域中的熱馬鈴薯轉送配對。針對冷凍馬鈴薯網域,建議您使用Google Cloud 網路網域,因為這個網域提供全域 VPC 路由功能。

流程對稱性不一定是必要條件,但流程不對稱可能會導致有狀態安全性函式的問題。

下圖顯示如何使用熱門和冷門轉送功能,指定偏好的區域間轉運網路。在這種情況下,來自前置字串 X 和 Y 的流量會留在原始網路,直到抵達離目的地最近的區域為止 (冷門轉送)。來自前置字 A 和 B 的流量會切換至原始區域中的其他網路,然後透過其他網路傳送至目的地 (熱門薯條路由)。

使用熱馬鈴薯和冷馬鈴薯轉送功能,指定偏好的區域間轉運網路

加密網域間流量

除非另有說明,否則在不同 CSP 之間,或 CSP 與內部資料中心之間的 Cloud Interconnect 連線,不會對流量進行加密。 Google Cloud 如果貴機構需要為這類流量加密,可以使用下列功能:

  • Cloud Interconnect 適用的 MACsec:透過路由器和 Google 邊緣路由器之間的 Cloud Interconnect 連線加密流量。詳情請參閱 Cloud Interconnect 適用的 MACsec 總覽
  • 採用 Cloud Interconnect 的高可用性 VPN:使用多個高可用性 VPN 通道,提供基礎 Cloud Interconnect 連線的完整頻寬。高可用性 VPN 通道會採用 IPsec 加密,並透過 Cloud Interconnect 連線部署,這些連線也可能會採用 MACsec 加密。在這種設定中,Cloud Interconnect 連線會設為只允許高可用性 VPN 流量。詳情請參閱「採用 Cloud Interconnect 的高可用性 VPN 總覽」。

工作負載的網際網路連線

對於傳入和傳出網際網路連線,系統會假設回覆流量會依據原始要求方向的反向,完整地遵循狀態。

一般來說,提供輸入網際網路連線的功能與輸出網際網路功能是分開的,但外部 IP 位址例外,因為這類功能同時提供這兩種連線。

內送網際網路連線

Inbound Internet Connectivity 主要與提供雲端服務的公開端點有關。舉例來說,您可以透過網路連線至Google Cloud上代管的網路應用程式伺服器和遊戲伺服器。

提供入站網際網路連線的主要功能是 Google 的 Cloud Load Balancing 產品。虛擬私人雲端網路的設計與提供入站網際網路連線的能力無關:

傳出網際網路連線

外向網際網路連線 (初始要求來自工作負載,傳送至網際網路目的地) 的例子包括工作負載存取第三方 API、下載軟體套件和更新,以及將推播通知傳送至網際網路上的 webhook 端點。

如要設定外連連線,您可以使用「為私人 VM 建構網際網路連線能力」一文所述的 Google Cloud 內建選項。或者,您也可以使用集中式 NGFW NVA,如「網路安全性」一文所述。

提供傳出網際網路連線的主要途徑是虛擬私有雲路由表中的預設網際網路閘道目的地,這通常是 Google 虛擬私有雲中的預設路徑。外部 IP 和 Cloud NAT (Google Cloud的代管 NAT 服務) 都需要指向虛擬私有雲網路的預設網際網路閘道的路徑。因此,如果 VPC 轉送設計覆寫預設路徑,就必須透過其他方式提供出站連線。詳情請參閱 Cloud Router 總覽

為了確保傳出連線的安全性, Google Cloud 提供 Cloud Next Generation Firewall 強制執行和 安全 Web Proxy,以便更深入地篩選 HTTP 和 HTTPS URL。不過,在所有情況下,流量都會沿著預設路徑傳送至預設網際網路閘道,或透過 VPC 路由表中的自訂預設路徑。

使用自己的 IP

您可以使用 Google 擁有的 IPv4 位址進行網路連線,也可以使用自備 IP 位址 (BYOIP),使用貴機構擁有的 IPv4 空間。大多數 Google Cloud需要可透過網際網路路由的 IP 位址的產品,都支援使用 BYOIP 範圍。

您也可以透過專屬使用權控管 IP 空間的聲譽。自帶 IP 可協助您提高連線的可攜性,並節省 IP 位址費用。

內部連線和虛擬私有雲網路

設定外部和混合式連線服務後,轉接 VPC 中的資源就能連線至外部網路。接下來,您需要將這項連線功能提供給代管在其他虛擬私有雲網路中的資源。

下圖顯示 VPC 的一般結構,無論您如何啟用外部連線皆然。這張圖顯示了中繼 VPC,可終止外部連線,並在每個區域中代管 Cloud Router。每個 Cloud Router 都會透過各地區的 NNI 接收來自外部對等點的路徑。應用程式虛擬私有雲會連線至傳遞虛擬私有雲,以便共用外部連線。此外,傳遞虛擬私有雲會做為輪輻虛擬私有雲的中樞。輻射狀 VPC 可代管應用程式、服務,或兩者皆可。

Cross-Cloud Network 的一般結構

為達到最佳效能和內建雲端網路服務的可擴充性,請使用 Network Connectivity Center 連結虛擬私有雲,如「透過 Network Connectivity Center 連結虛擬私有雲」一文所述。Network Connectivity Center 提供下列功能:

  • 對 Private Service Connect L4 和 L7 端點及其相關服務的傳遞存取權
  • 透過 BGP 學習的內部部署網路,取得對等存取權
  • 每個中樞的虛擬私有雲網路規模為 250 個

如果您想插入網路虛擬設備 (NVA) 來執行防火牆或其他網路功能,就必須使用 VPC 網路對等互連。外圍防火牆可保留在外部網路中。如果需要插入 NVA,請使用虛擬私有雲網路對等互連的虛擬私有雲網路間連線模式,連結虛擬私有雲網路。

請一併在轉接 VPC 中設定 DNS 轉送和對等互連。詳情請參閱「DNS 基礎架構設計」一節。

以下各節將討論混合式連線的可能設計,說明如何支援基礎 IP 連線和 API 存取點部署作業。

透過 Network Connectivity Center 連結虛擬私有雲

建議您使用 Network Connectivity Center VPC 輻條連結應用程式 VPC、傳輸 VPC 和服務存取 VPC。

當服務消費者存取點需要透過其他網路 (其他虛擬私有雲網路或外部網路) 存取時,就會部署在服務存取 VPC 中。如果這些存取點只需要從應用程式 VPC 內存取,您可以在應用程式 VPC 中部署服務用戶存取點

如果您需要提供私人服務存取權後方的服務存取權,請使用高可用性 VPN 建立服務存取權 VPC,並連線至轉接 VPC。接著,將受管理的服務 VPC 連線至服務存取 VPC。HA VPN 可啟用來自其他網路的遞移性轉送。

這項設計結合了兩種連線類型:

  • Network Connectivity Center:在主機代管 Private Service Connect 端點的轉接 VPC、應用程式 VPC 和服務存取 VPC 之間提供連線。
  • 高可用性 VPN 虛擬私有雲間連線:為在服務存取虛擬私有雲中代管的私人服務存取子網路提供傳遞連線。這些服務存取虛擬私有雲網路不應新增為 Network Connectivity Center 中樞的輪輻。

結合這些連線類型時,請考量以下事項:

  • 將 VPC 網路對等互連和 Network Connectivity Center 對等子網路重新分配至動態轉送 (透過 HA VPN 連線至服務存取 VPC,以及透過混合連結連線至外部網路)
  • 多地區路由考量
  • 將動態路徑傳播至 VPC 網路對等互連和 Network Connectivity Center 對等互連 (從服務存取 VPC 透過 HA VPN 和從外部網路透過混合連結)

下圖顯示服務存取 VPC 主機,該主機透過 HA VPN 連線至轉接 VPC 的私人服務存取子網路。圖表中也顯示應用程式 VPC、轉接 VPC 和服務存取 VPC,這些 VPC 會代管使用 Network Connectivity Center 連線的 Private Service Connect 使用者端點:

使用 Network Connectivity Center 虛擬私有雲輪輻的 Cross-Cloud Network 一般結構

上圖所示的結構包含以下元件:

  • 外部網路:有網路設備的資料中心或遠端辦公室。這個範例假設這些位置是透過外部網路連結在一起。
  • 傳輸虛擬私有雲網路:中樞專案中的虛擬私有雲網路,可接收來自內部部署和其他 CSP 的連線,然後做為從其他虛擬私有雲傳輸至內部部署和 CSP 網路的傳輸路徑。
  • 應用程式虛擬私有雲:主機代管各種應用程式的專案和 VPC 網路。
  • 用於私人服務存取權的消費者 VPC:虛擬私有雲網路會透過私人服務存取權,集中存取其他網路中應用程式所需的服務。
  • 代管服務虛擬私有雲:由其他實體提供及管理的服務,但可供在虛擬私有雲網路中執行的應用程式存取。
  • Private Service Connect 的消費者 VPC:代管 Private Service Connect 存取點的 VPC 網路,用於存取其他網路代管的服務。

使用 Network Connectivity Center 將應用程式 VPC 連線至傳輸 VPC 中的 Cloud Interconnect VLAN 連結和高可用性 VPN 執行個體。將所有虛擬私有雲設為 Network Connectivity Center 中樞的輪輻,並將 VLAN 連結和高可用性 VPN 設為同一個 Network Connectivity Center 中樞的混合式輪輻。使用預設的 Network Connectivity Center 網狀拓撲,讓所有輪輻 (虛擬私有雲和混合) 之間能進行通訊。這個拓撲圖也能讓受 Cloud NGFW 政策規範的應用程式 VPC 之間進行通訊。透過高可用性 VPN 連線的任何用戶端服務虛擬私有雲網路,不得是 Network Connectivity Center 中樞的輪輻。Private Service Connect 端點可部署在 Network Connectivity Center 虛擬私有雲輪輻中,而且在使用 Network Connectivity Center 時,不需要高可用性 VPN 連線來進行跨虛擬私有雲的轉接。

使用虛擬私有雲網路對等互連連線虛擬私有雲

當發布的服務消費者存取點部署在服務存取虛擬私有雲網路中時,建議您使用 VPC 網路對等互連,將應用程式虛擬私有雲網路連線至傳輸虛擬私有雲網路,並透過 HA VPN 將服務存取虛擬私有雲網路連線至傳輸虛擬私有雲網路。

在此設計中,轉接 VPC 是樞紐,您會在服務存取 VPC 中部署私人服務端點的消費者存取點。

這項設計結合了兩種連線類型:

  • VPC 網路對等互連:在傳輸 VPC 和應用程式 VPC 之間提供連線。
  • HA VPN 虛擬私有雲端間連線:在服務存取虛擬私有雲網路和傳輸虛擬私有雲端網路之間提供傳遞連線。

結合這些架構時,請考量下列事項:

  • 將 VPC 對等子網路重新分配至動態轉送 (透過高可用性 VPN 連線至服務存取 VPC,以及透過混合連線連線至外部網路)
  • 多地區路由考量
  • 將動態路由傳播至 VPC 對等連線 (從服務存取 VPC 透過高可用性 VPN,以及從外部網路透過混合式連線)

下圖顯示服務存取虛擬私有雲,該虛擬私有雲透過高可用性 VPN 連線至傳遞虛擬私有雲,而應用程式虛擬私有雲則透過虛擬私有雲網路對等互連連線至傳遞虛擬私有雲:

中央服務虛擬私有雲端透過高可用性 VPN 連線至傳輸虛擬私有雲端,而應用程式虛擬私有雲端則透過虛擬私有雲端對等互連連線至傳輸虛擬私有雲端

上圖所示的結構包含以下元件:

  • 客戶位置:您有網路設備的資料中心或遠端辦公室。這個範例假設地點是透過外部網路連結在一起。
  • 都會區:包含一或多個 Cloud Interconnect 邊緣可用性網域的都會區。Cloud Interconnect 會連線至這些都會區的其他網路。
  • 中樞專案:至少代管一個 VPC 網路的專案,可做為其他 VPC 網路的中樞。
  • 轉接虛擬私有雲:中樞專案中的虛擬私有雲網路,可接收來自內部部署和其他雲端服務供應商的連線,然後做為從其他虛擬私有雲到內部部署和雲端服務供應商網路的轉接路徑。
  • 應用程式主機專案和虛擬私有雲:主機代管各種應用程式的專案和虛擬私有雲網路。
  • 服務存取權 VPC:虛擬私有雲網路,可集中代管應用程式 VPC 網路中應用程式所需的服務。
  • 代管服務虛擬私有雲:由其他實體提供及管理的服務,但可供在虛擬私有雲網路中執行的應用程式存取。

在 VPC 網路對等互連設計中,如果應用程式 VPC 需要彼此通訊,您可以將應用程式 VPC 連結至 Network Connectivity Center 中樞,做為 VPC 輻條。這種做法可在 Network Connectivity Center 中樞中的所有虛擬私有雲之間建立連線。您可以使用多個 Network Connectivity Center 中樞,建立通訊子群組。您可以使用防火牆政策,限制特定中樞內端點之間的通訊。

應用程式 VPC 之間的東西向連線的工作負載安全性可使用 Cloud Next Generation Firewall。

如需部署這些連線類型的詳細指引和設定藍圖,請參閱「軸輻式網路架構」。

DNS 基礎架構設計

在混合式環境中,Cloud DNS 或外部 (內部部署或 CSP) 供應商都能處理 DNS 查詢。外部 DNS 伺服器是外部 DNS 區域的權威來源,而 Cloud DNS 則是Google Cloud 區域的權威來源。您必須在Google Cloud 和外部網路之間啟用 DNS 轉送功能,並設定防火牆,允許 DNS 解析流量。

如果您使用共用虛擬私有雲來存取服務虛擬私有雲,不同應用程式服務專案的管理員就能將自己的服務例項化,請使用 DNS 區域的跨專案繫結。跨專案繫結可將 DNS 命名空間劃分並委派給服務專案管理員。

在轉送案例中,外部網路透過 Google Cloud與其他外部網路通訊時,應將外部 DNS 區域設為直接將要求轉送給彼此。Google 跨雲網路會提供 DNS 要求和回覆的連線,但 Google Cloud DNS 會參與轉送外部網路區域間的任何 DNS 解析流量。在跨雲端網路中強制執行的任何防火牆規則,都必須允許外部網路之間的 DNS 解析流量。

下圖顯示 DNS 設計可與本設計指南中提出的任何 hub-and-spoke VPC 連線設定搭配使用:

可搭配軸輻式連線模式使用的 DNS 設計

上圖顯示設計流程中的步驟:

  1. 內部部署 DNS
    將內部部署 DNS 伺服器設為內部部署 DNS 區域的權威伺服器。指定 Cloud DNS 傳入轉送 IP 位址,即可設定 DNS 轉送 (針對 Google Cloud DNS 名稱),這個 IP 位址是透過樞紐虛擬私有雲中的傳入伺服器政策設定建立。這項設定可讓內部部署網路解析 Google Cloud DNS 名稱。
  2. 轉接 VPC - DNS 出口 Proxy
    使用 Cloud Router 將 Google DNS 出口 Proxy 範圍 35.199.192.0/19 宣傳至內部部署網路。從 Google 傳送至地端的 DNS 傳出要求,會來自這個 IP 位址範圍。
  3. 轉接 VPC - Cloud DNS
    1. 針對來自內部部署環境的傳入 DNS 要求,設定傳入伺服器政策
    2. 設定 Cloud DNS 轉送區域 (針對內部部署 DNS 名稱),指定內部部署 DNS 伺服器。
  4. 服務存取 VPC - Cloud DNS
    1. 設定服務 DNS 對等互連區域 (適用於內部部署 DNS 名稱),將樞紐 VPC 設為對等互連網路。內部部署和服務資源的 DNS 解析會透過中樞虛擬私有雲進行。
    2. 在服務主機專案中設定服務 DNS 私人區域,並將服務共用虛擬私有雲、應用程式共用虛擬私有雲和中樞虛擬私有雲連結至該區域。這樣一來,所有主機 (內部部署和所有服務專案) 都能解析服務 DNS 名稱。
  5. 應用程式主機專案 - Cloud DNS
    1. 為內部部署 DNS 名稱設定應用程式 DNS 對等互連區域,並將樞紐 VPC 設為對等網路。內部部署主機的 DNS 解析會經過中樞虛擬私人雲端網路。
    2. 在應用程式主機專案中設定應用程式 DNS 私人區域,並將應用程式 VPC、服務共用虛擬私有雲和中樞虛擬私有雲連結至該區域。這項設定可讓所有主機 (內部部署和所有服務專案) 解析應用程式 DNS 名稱。

詳情請參閱「使用連線至輻射狀虛擬私有雲網路的樞紐虛擬私有雲網路混合式架構」。

後續步驟

貢獻者

作者:

其他貢獻者: