軸輻式網路架構

本文提供三種架構選項，可在 Google Cloud中設定樞紐式網路拓撲。第一個選項使用 Network Connectivity Center，第二個選項使用 VPC 網路對等互連，第三個選項使用 Cloud VPN。

企業可以將工作負載區隔為個別虛擬私有雲網路，以便進行帳單處理、環境隔離和其他考量。不過，企業可能也需要在這些網路之間共用特定資源，例如共用服務或連線至內部網路。在這種情況下，將共用資源放在中樞網路 (在本文件其餘部分中稱為「路由」網路)，並將其他虛擬私有雲網路附加為輪輻網路 (在本文件其餘部分中稱為「工作負載」網路) 可能會很有幫助。下圖顯示含有兩個工作負載 VPC 的中樞輻射式網路，但您可以新增更多工作負載 VPC。

在這個範例中，我們使用不同的工作負載 VPC 網路，用於大型企業內個別業務單位的工作負載。每個工作負載 VPC 網路都會連線至中央轉送 VPC 網路，後者包含共用服務，並可做為企業內部部署網路連線至雲端的唯一入口。

選項摘要

選擇本文所述的架構時，請考量 Network Connectivity Center、VPC Network Peering 和 Cloud VPN 的相對優點：

• Network Connectivity Center 會在工作負載虛擬私有雲之間提供完整頻寬，並提供工作負載虛擬私有雲之間的轉送功能。
• 虛擬私人雲端網路對等互連可在工作負載虛擬私有雲網路和路由虛擬私有雲網路之間提供完整頻寬。但無法在工作負載 VPC 之間提供遞移性。虛擬私人雲端網路對等互連支援將路由傳送至其他 VPC 中的 NVA。
• Cloud VPN 允許遞移性轉送，但網路之間的總頻寬 (輸入加輸出) 會受到通道頻寬的限制。您可以新增更多通道來提高頻寬。

使用 Network Connectivity Center 的架構

下圖顯示使用 Network Connectivity Center 的輻射狀網路。

Network Connectivity Center 有提供控制層管理服務的樞紐資源，但不是資料層的樞紐網路。

• Network Connectivity Center 可使用星狀 (中樞與輻條) 或網狀拓撲將網路連結在一起。使用星狀拓撲可避免虛擬私有雲輪輻間 (工作負載虛擬私有雲端) 的通訊，但網格拓撲則不會。
• 轉送 (中樞) 虛擬私人雲端網路會使用 Cloud VPN 或 Cloud Interconnect 連線，連線至內部部署網路。
• 動態路徑可在 VPC 網路間傳播。
• Private Service Connect 路由可在工作負載 VPC 之間傳遞。
• 私人服務存取路由會透過供應者輻條，在許多 Google 提供的服務的工作負載 VPC 之間傳遞。如果路由不是傳遞的服務，解決方法是使用 Cloud VPN 而非 Network Connectivity Center，將消費者虛擬私有雲網路連線至路由虛擬私有雲網路。
• 對等網路中的所有 VM 都能以 VM 的完整頻寬進行通訊。
• 每個工作負載 VPC 和轉送 VPC 網路都設有 Cloud NAT 閘道，用於與網際網路進行傳出連線。
• 設定 DNS 對等互連和轉送，讓工作負載虛擬私有雲中的工作負載可從內部部署環境存取。

使用虛擬私有雲網路對等互連的架構

下圖顯示使用 VPC 網路對等互連的輻射狀網路。虛擬私有雲網路對等互連功能可讓您在不同的虛擬私有雲網路中的資源之間，使用內部 IP 位址進行通訊。流量會留在 Google 的內部網路中，不會周遊公開網際網路。

• 這個架構中的每個工作負載 (輻條) 虛擬私有雲網路，都與中央轉送 (中樞) 虛擬私有雲網路建立對等互連關係。
• 轉送 VPC 網路會使用 Cloud VPN 或 Cloud Interconnect 連線，連線至內部部署網路。
• 對等網路中的所有 VM 都能以 VM 的完整頻寬進行通訊。
• 虛擬私有雲網路對等互連連線不具備遞移性。在這個架構中，內部部署和工作負載 VPC 網路可以與轉送網路交換流量，但彼此之間則不行。如要提供共用服務，請將共用服務放入轉送網路，或使用 Cloud VPN 將共用服務連線至轉送網路。
• 每個工作負載 VPC 和轉送 VPC 網路都設有 Cloud NAT 閘道，用於與網際網路進行傳出連線。
• 設定 DNS 對等互連和轉送，讓工作負載虛擬私有雲中的工作負載可從內部部署環境存取。

使用 Cloud VPN 的架構

使用 VPC 網路對等互連的軸輻式拓撲的可擴充性，須遵守 VPC 網路對等互連限制。如先前所述，虛擬私有雲網路對等互連連線只允許在兩個處於對等互連關係的虛擬私有雲網路之間傳遞流量。下圖顯示另一種軸輻式網路架構，可使用 Cloud VPN 克服虛擬私有雲網路對等互連的限制。

• IPsec VPN 通道可將每個工作負載 (輪輻) 虛擬私有雲網路連結至路由 (中樞) 虛擬私有雲網路。
• 路由網路中的 DNS 私人區域，以及每個工作負載網路中的 DNS 對等互連區域和私人區域。
• 連線是可傳遞的。地端部署和輪輻 VPC 網路可以透過路由網路互相連線，但這可能受到限制。
• 網路之間的頻寬受通道總頻寬限制。
• 每個工作負載 (輪輻) VPC 和轉送 VPC 網路都設有 Cloud NAT 閘道，用於與網際網路進行傳出連線。
• 虛擬私人雲端網路對等互連不提供轉介路徑公告。
• 設定 DNS 對等互連和轉送，讓工作負載虛擬私有雲中的工作負載可從內部部署環境存取。

設計替代方案

如要在 Google Cloud中部署在不同虛擬私有雲網路中的資源互連，請考慮採用下列架構替代方案：

使用轉送虛擬私有雲網路中的閘道，建立輻輳間連線

如要啟用輪輻間通訊，您可以在路由虛擬私有雲網路上部署網路虛擬設備 (NVA) 或下一代防火牆 (NGFW)，做為輪輻間流量的閘道。

多個共用虛擬私有雲網路

為每個要從網路層級隔離的資源群組建立共用虛擬私有雲網路。舉例來說，如要將用於實際作業環境和開發環境的資源分開，請為實際作業環境建立一個共用虛擬私有雲網路，並為開發環境建立另一個共用虛擬私有雲網路。接著，將兩個虛擬私有雲網路對等互連，啟用虛擬私有雲網路間的通訊。每個應用程式或部門的個別專案資源，可使用適當共用虛擬私有雲網路的服務。

如要連結 VPC 網路和內部部署網路，您可以為每個 VPC 網路使用個別的 VPN 通道，或是在同一個專屬互連網路連線上使用個別的 VLAN 連結。

後續步驟

• 部署樞紐式網路terraform。
• 如要瞭解如何將中樞輻射拓撲連結至內部部署和其他雲端，請參閱跨雲網路設計指南。
• 瞭解連結多個虛擬私有雲網路的更多設計選項。
• 瞭解最佳做法，建構安全且具彈性的雲端拓樸，以便針對成本和效能進行最佳化。