中心辐射型网络架构

Last reviewed 2024-07-29 UTC

本文档介绍了两种在 Google Cloud 中设置中心辐射型网络拓扑的架构选项。一个选项使用 Virtual Private Cloud (VPC) 的网络对等互连功能,另一个使用 Cloud VPN。

企业可以在结算、环境隔离等方面将工作负载分离到各个 VPC 网络。不过,企业可能还需要跨这些网络共享特定资源,例如共享服务或与本地环境的连接。在这种情况下,将共享资源布置在 hub 网络中以及将其他 VPC 网络作为 spoke 连接会很有用。下图展示了生成的中心辐射型网络(有时称为星形拓扑)示例

中心辐射型网络架构。

在此示例中,单独的辐射型 VPC 网络用于大型企业中单个业务部门的工作负载。每个 spoke VPC 网络均连接到中心 hub VPC 网络,其中包含共享服务,并可作为企业本地网络到云的唯一入口点。

使用 VPC 网络对等互连的架构

下图展示了使用 VPC 网络对等互连的中心辐射型网络。VPC 网络对等互连可以使用内部 VPC 地址在不同 VPC 网络中的资源之间实现通信。流量保留在 Google 的内部网络中,不会通过公共互联网。

使用 VPC 网络对等互连的中心辐射型架构
  • 在此架构中,需要网络级隔离的资源使用单独的辐射型 VPC 网络。例如,此架构显示 spoke-1 VPC 网络中的 Compute Engine 虚拟机。spoke-2 VPC 网络具有 Compute Engine 虚拟机和 Google Kubernetes Engine (GKE) 集群。
  • 此架构中的每个辐射 VPC 网络与中央中心 VPC 网络具有对等互连关系。
  • VPC 网络对等互连不限制虚拟机带宽。每个虚拟机都可以以单个虚拟机的全带宽发送流量。
  • 每个辐射 VPC 网络都有一个 Cloud NAT 网关,用于与互联网进行出站通信。
  • VPC 网络对等互连不提供传递性路由通告。除非使用其他机制,否则 spoke-1 网络中的虚拟机无法向 spoke-2 网络中的虚拟机发送流量。为了解决这种非传递性限制条件,此架构展示了使用 Cloud VPN 在网络之间转发路由的方案。在此示例中,spoke-2 VPC 网络与 hub VPC 网络之间的 VPN 隧道可通过其他 spoke 实现 spoke-2 VPC 网络的可达性。如果您只需要几个特定辐射之间的连接,则可以直接对等互连这些 VPC 网络对。

使用 Cloud VPN 的架构

使用 VPC 网络对等互连的中心辐射型拓扑的可扩缩性受 VPC 网络对等互连限制的约束。如前所述,VPC 网络对等互连连接不允许超出对等互连关系中两个 VPC 网络的传递流量。下图展示了一个中心辐射型网络架构,它使用 Cloud VPN 克服 VPC 网络对等互连的限制。

使用 Cloud VPN 的中心辐射型架构
  • 需要网络级隔离的资源使用不同的 spoke VPC 网络。
  • IPSec VPN 隧道将每个 spoke VPC 网络均连接到 hub VPC 网络。
  • Hub 网络中存在 DNS 专用区域,每个 spoke 网络中均存在 DNS 对等互连区域和专用区域。
  • 网络之间的带宽受隧道总带宽的限制。

在到目前为止讨论的两种架构之间进行选择时,请考虑 VPC 网络对等互连和 Cloud VPN 的相对优点:

  • VPC 网络对等互连具有非传递性限制条件,但它支持由虚拟机的机器类型定义的其他带宽以及确定网络带宽的其他因素。 不过,您可以通过添加 VPN 隧道来添加传递路由。
  • Cloud VPN 允许传递性路由,但总带宽(入站流量加上出站流量)不得超过隧道的带宽。

设计替代方案

请考虑以下架构替代方案,以部署在 Google Cloud 中的单独 VPC 网络中部署的资源:

使用中心 VPC 网络中的网关的辐射型连接
如需启用辐射通信,您可以在中心 VPC 网络上部署网络虚拟设备 (NVA) 或下一代防火墙 (NGFW),以充当辐射型网关通话流量。
没有集线器的 VPC 网络对等互连
如果您不需要集中控制本地连接或跨 VPC 网络共享服务,则无需使用中心 VPC 网络。您可以为需要连接的 VPC 网络对设置对等互连,并单独管理互连。请考虑每个 VPC 网络的对等互连关系数量限制
多个共享 VPC 网络

为要在网络级别隔离的每组资源创建共享 VPC 网络。例如,如需分离用于生产和开发环境的资源,请创建用于生产的共享 VPC 网络和用于开发的其他共享 VPC 网络。然后,对等互连两个 VPC 网络以启用 VPC 之间的网络通信。每个应用或部门的各个项目中的资源可以使用适当的共享 VPC 网络中的服务。

对于 VPC 网络和本地网络之间的连接,您可以为每个 VPC 网络使用单独的 VPN 隧道,也可以在同一专用互连连接上使用单独的 VLAN 连接。

后续步骤