Best practice per Cloud Interconnect

Utilizza le seguenti best practice durante la pianificazione e la configurazione di Cloud Interconnect.

Utilizzare i progetti Google Cloud

Se la tua architettura di rete lo supporta, configura i progetti Cloud Interconnect come consigliato in questa sezione.

Esegui il provisioning delle connessioni Cloud Interconnect fisiche in un progetto separato

Esegui il provisioning delle connessioni fisiche (porte) per Cloud Interconnect in un progetto, ma esegui il provisioning dei collegamenti VLAN in altri progetti. Gli altri progetti devono appartenere alla stessa organizzazione Google Cloud del progetto che contiene le connessioni fisiche.

I collegamenti VLAN che connettono una connessione fisica a una regione tramite un router Cloud non devono trovarsi nello stesso progetto della connessione fisica. Per ulteriori informazioni, vedi Utilizzare le connessioni in altri progetti.

Questa prassi semplifica i seguenti passaggi di configurazione:

• Puoi associare un account di fatturazione interno separato al progetto che contiene le connessioni fisiche.
• Puoi configurare ruoli e autorizzazioni Identity and Access Management (IAM) nel progetto che contiene le connessioni fisiche.
• Se vuoi eliminare o aggiornare una risorsa che non è una connessione fisica, puoi farlo senza influire sulle connessioni fisiche.

Configura i collegamenti VLAN nel progetto host VPC condiviso

In una rete VPC condiviso, configura tutti i collegamenti VLAN, non le connessioni (porte) Cloud Interconnect fisiche, nel progetto host. Per ulteriori informazioni sul collegamento degli allegati alle retiVPC condivisoe, consulta Opzioni per la connessione a più reti VPC.

Crea connessioni Cloud Interconnect ridondanti con capacità sufficiente

Questa sezione descrive le best practice per la creazione di connessioni Cloud Interconnect ridondanti con capacità sufficiente in uno scenario di failover. Seguendo queste pratiche, gli eventi come la manutenzione pianificata o i guasti hardware non causano tempi di inattività.

Le connessioni Cloud Interconnect forniscono protezione fino al 50% del traffico di rete sulla capacità aggregata quando la capacità è suddivisa equamente tra i domini di disponibilità edge. In questo modo, la capacità è sufficiente in caso di errore o manutenzione pianificata. L'utilizzo di oltre il 50% della capacità di Cloud Interconnect può comportare la limitazione della connessione durante i periodi di congestione della rete. Ad esempio, se intendi inviare 100 Gbps di traffico protetto tra la tua rete on-premise e Google Cloud, assicurati di eseguire il provisioning di connessioni Cloud Interconnect ridondanti con una capacità di almeno 200 Gbps.

Puoi creare connessioni Cloud Interconnect in base a una delle seguenti topologie consigliate:

• Topologia per applicazioni a livello di produzione
• Topologia per applicazioni non critiche

Quando crei connessioni Cloud Interconnect in base a queste topologie, crei coppie di connessioni in una o più aree metropolitane. All'interno di una singola area metropolitana, posiziona le connessioni Cloud Interconnect in domini di disponibilità perimetrale diversi.

Ti consigliamo di creare connessioni ridondanti utilizzando i gruppi di connessioni. Per maggiori informazioni, consulta Opzioni di resilienza e SLA.

Assicurati che la capacità di ogni dominio di disponibilità edge sia sufficiente

Se si verifica un tempo di inattività o una manutenzione in uno dei domini di disponibilità perimetrale di un'area metropolitana, il traffico viene sottoposto a failover nell'altro dominio di disponibilità perimetrale.

Per evitare la perdita di pacchetti in caso di errore di un singolo dominio di disponibilità perimetrale, segui queste indicazioni:

Tipo di capacità	Consulenza
Capacità di connessione Cloud Interconnect	Assicurati che ogni dominio di disponibilità perimetrale abbia una capacità di connessione sufficiente per gestire tutto il traffico di produzione.
Capacità collegamento VLAN	Assicurati che ogni dominio di disponibilità perimetrale abbia una capacità di collegamento VLAN sufficiente per gestire tutto il traffico di produzione per la rete VPC di destinazione. Il traffico VPC sulle connessioni Cloud Interconnect viene trasportato tramite i collegamenti VLAN, che collegano la connessione alle reti VPC. Anche se ogni dominio di disponibilità perimetrale ha una capacità di connessione sufficiente, deve avere anche una capacità di collegamento VLAN sufficiente.

Capacità di collegamento VLAN e più reti VPC

Se utilizzi le connessioni Cloud Interconnect per accedere a più di una rete VPC (Virtual Private Cloud), crea collegamenti VLAN da ogni rete VPC a ogni connessione Cloud Interconnect. Per ogni rete VPC, assicurati che la capacità del collegamento VLAN sia sufficiente a gestire tutto il traffico di produzione per quella rete VPC in caso di failover.

Considera un esempio in cui hai le seguenti reti VPC e carichi di lavoro:

• vpc-1 riceve 2 Gbps di traffico totale dalla tua rete on-premise.
• vpc-2 riceve anche 2 Gbps di traffico totale dalla tua rete on-premise.

La tabella seguente descrive la quantità minima di capacità di collegamento necessaria in ogni dominio di disponibilità perimetrale per ogni rete VPC:

Dominio di disponibilità perimetrale	Capacità di connessione	Capacità degli allegati
EDGE_DOMAIN_1	1 x 10 Gbps	2 x 1 Gbps a vpc-1 2 x 1 Gbps a vpc-2
EDGE_DOMAIN_2	1 x 10 Gbps	2 x 1 Gbps a vpc-1 2 x 1 Gbps a vpc-2

Quando aggiungi collegamenti VLAN a una connessione Cloud Interconnect, la capacità configurata del collegamento potrebbe superare la capacità totale della connessione. Sebbene questa configurazione sia valida, il traffico effettivo non può superare la capacità totale della connessione. Assicurati che il carico di lavoro non generi più traffico della capacità della connessione.

Utilizzare i collegamenti VLAN attivi-attivi

Esistono due modi per configurare i collegamenti VLAN ridondanti:

• Una configurazione attiva/attiva che suddivide il traffico tra i collegamenti VLAN.
• Una configurazione attiva/passiva che utilizza un solo collegamento VLAN alla volta.

Ti consigliamo di utilizzare una configurazione active-active perché consente di determinare facilmente se tutti i collegamenti VLAN funzionano correttamente durante il normale funzionamento. Quando utilizzi una configurazione active-active, monitora i pattern di utilizzo per assicurarti di avere una capacità sufficiente in caso di errore.

In una configurazione attiva/passiva, i collegamenti VLAN potrebbero essere configurati in modo errato senza che tu te ne accorga. Se utilizzi questa configurazione, assicurati di testare il failover prima di aggiungere il traffico di produzione.

Comprendere il failover tra regioni

Il traffico di rete che esce da una regione preferisce utilizzare il percorso con la metrica più bassa, come descritto in Effetti della modalità di routing dinamico nella panoramica del router Cloud. In genere, questo significa che il traffico di uscita esce tramite la regione Google Cloud più vicina che ha collegamenti VLAN attivi, con la regione locale che è la più vicina.

Considera un esempio in cui crei la topologia per applicazioni di livello di produzione e hai una rete VPC con quanto segue:

• Collegamenti VLAN in due regioni
• Routing dinamico globale abilitato

Il traffico preferisce uscire dai collegamenti VLAN nella regione locale, anche se i collegamenti in quella regione sono sovraccarichi. Il traffico viene inviato all'altra regione solo se tutti i collegamenti VLAN nella regione locale non sono attivi. Ciò significa che ognuna delle quattro connessioni Cloud Interconnect nella topologia deve avere una capacità di collegamento VLAN sufficiente per trasportare tutto il traffico di produzione.

Scenari

Questa sezione descrive gli scenari in cui configuri le risorse Cloud Interconnect. Descrive inoltre come ogni configurazione gestisce il workload durante il normale funzionamento e il failover. Ogni scenario include un consiglio relativo alle best practice per la ridondanza e la capacità.

Scenario 1: capacità sufficiente

In questo scenario, esegui il provisioning di due connessioni Dedicated Interconnect in due domini di disponibilità edge diversi, come mostrato nella tabella seguente:

Dominio di disponibilità perimetrale	Capacità di connessione	Capacità degli allegati	Regione allegato
EDGE_DOMAIN_1	1 x 10 Gbps	1 x 10 Gbps	ATTACHMENT_REGION_1
EDGE_DOMAIN_2	1 x 10 Gbps	1 x 10 Gbps	ATTACHMENT_REGION_1

La tabella seguente descrive come questa configurazione gestisce il carico di lavoro durante il normale funzionamento e il failover:

Risorsa	Descrizione
Dimensioni del carico di lavoro	10 Gbps di traffico totale tra ATTACHMENT_REGION_1 e la tua rete on-premise.
Capacità durante il normale funzionamento	Capacità sufficiente 20 Gbps di capacità da ATTACHMENT_REGION_1 alla tua rete on-premise. Il carico di lavoro da 10 Gbps viene eseguito correttamente.
Capacità durante il failover	Capacità sufficiente se una delle due connessioni Cloud Interconnect si interrompe. Ad esempio, se la connessione in EDGE_DOMAIN_1 non riesce, la capacità disponibile è la connessione in EDGE_DOMAIN_2. Questa singola connessione Cloud Interconnect ha una capacità di 10 Gbps. I 10 Gbps di capacità di collegamento che hai creato sono sufficienti per gestire il tuo workload di produzione. Se il tuo workload aumenta a più di 10 Gbps di traffico, supera la capacità del collegamento e potresti riscontrare una perdita di pacchetti.
Consiglio	Esegui il provisioning della connessione Cloud Interconnect e della capacità del collegamento VLAN in modo che ogni dominio di disponibilità perimetrale disponga di capacità sufficiente per tutto il carico di lavoro di produzione.

Scenario 2: capacità insufficiente durante il failover

In questo scenario, esegui il provisioning di due connessioni Dedicated Interconnect in due domini di disponibilità edge diversi, come mostrato nella tabella seguente:

Dominio di disponibilità perimetrale	Capacità di connessione	Capacità degli allegati	Regione allegato
EDGE_DOMAIN_1	1 x 100 Gbps	100 Gbps (2 x 50 Gbps)	ATTACHMENT_REGION_1
EDGE_DOMAIN_2	1 x 100 Gbps	100 Gbps (2 x 50 Gbps)	ATTACHMENT_REGION_1

La tabella seguente descrive come questa configurazione gestisce il carico di lavoro durante il normale funzionamento e il failover:

Risorsa	Descrizione
Dimensioni del carico di lavoro	150 Gbps di traffico totale tra ATTACHMENT_REGION_1 e la tua rete on-premise.
Capacità durante il normale funzionamento	Capacità sufficiente 200 Gbps di capacità da ATTACHMENT_REGION_1 alla tua rete on-premise. Il carico di lavoro da 150 Gbps viene eseguito correttamente.
Capacità durante il failover	Capacità insufficiente se una delle connessioni Cloud Interconnect non funziona. Se una delle tue connessioni Cloud Interconnect non funziona per manutenzione, l'intero carico di lavoro da 150 Gbps tenta di eseguire il failover su una singola connessione da 100 Gbps. che è superiore alla capacità della connessione, quindi si verificano congestione e perdita di pacchetti.
Consiglio	Per garantire la piena disponibilità durante un evento di errore, assicurati che il traffico combinato su ogni connessione non superi la capacità totale di un singolo dominio di disponibilità perimetrale. In questo scenario, hai bisogno di almeno 200 Gbps di capacità di connessione e 3 x 50 Gbps di capacità di collegamento in ogni dominio di disponibilità edge per avere una capacità sufficiente durante il failover.

Scenario 3: Collegamenti VLAN non bilanciati

In questo scenario, esegui il provisioning di due connessioni Dedicated Interconnect in due domini di disponibilità edge diversi, come mostrato nella tabella seguente. Inizialmente, esegui il provisioning di 1 x 10 Gbps di capacità di collegamento in EDGE_DOMAIN_1. In un secondo momento, ti rendi conto che il carico di lavoro è aumentato fino a 20 Gbps, quindi aggiorni solo la capacità del collegamento in EDGE_DOMAIN_1 a 2 x 10 Gbps.

Dominio di disponibilità perimetrale	Capacità di connessione	Capacità degli allegati	Regione allegato
EDGE_DOMAIN_1	1 x 100 Gbps	1 x 10 Gbit/s (provisioning iniziale) 2 x 10 Gbit/s (aggiornamento successivo)	ATTACHMENT_REGION_1
EDGE_DOMAIN_2	1 x 100 Gbps	1 x 10 Gbps	ATTACHMENT_REGION_1

La tabella seguente descrive come questa configurazione gestisce il carico di lavoro durante il normale funzionamento e il failover:

Risorsa	Descrizione
Dimensioni del workload	20 Gbps di traffico totale tra ATTACHMENT_REGION_1 e la tua rete on-premise.
Capacità durante il normale funzionamento	Capacità sufficiente 30 Gbps di capacità da ATTACHMENT_REGION_1 alla tua rete on-premise. Il carico di lavoro da 20 Gbps viene eseguito correttamente.
Capacità durante il failover	Capacità sufficiente se la connessione Cloud Interconnect in EDGE_DOMAIN_2 si interrompe. Capacità insufficiente se la connessione Cloud Interconnect in EDGE_DOMAIN_1 si interrompe. Se la connessione Cloud Interconnect in EDGE_DOMAIN_2 si interrompe, rimangono comunque 20 Gbps di capacità del collegamento dalla connessione rimanente e il tuo workload viene eseguito correttamente. Tuttavia, se la connessione Cloud Interconnect in EDGE_DOMAIN_1 non funziona, la capacità del collegamento della connessione rimanente è di soli 10 Gbps e si verificano congestione e perdita di pacchetti.
Consiglio	Assicurati di avere una capacità uguale per entrambi i domini di disponibilità perimetrale in un'area metropolitana. Questo vale sia per le connessioni Cloud Interconnect che per i collegamenti VLAN. In questo scenario, hai bisogno di almeno 2 x 10 Gbps di capacità di collegamento in ogni dominio di disponibilità edge per garantire una capacità sufficiente se una delle connessioni Cloud Interconnect non funziona.

Utilizza lo stesso MTU per tutti i collegamenti VLAN

Ti consigliamo di utilizzare lo stesso MTU per tutti i collegamenti VLAN connessi alla stessa rete VPC e di impostare l'MTU della rete VPC sullo stesso valore. Sebbene questa sia la prassi consigliata, non sei obbligato a far corrispondere le MTU collegamento VLAN e delle reti VPC. Tuttavia, potresti riscontrare pacchetti persi, soprattutto per protocolli diversi da TCP, se esegui una delle seguenti operazioni:

• Utilizza MTU di collegamento VLAN diversi per i collegamenti VLAN connessi alla stessa rete VPC.
• Configura MTU collegamento VLAN inferiori all'MTU della rete VPC che contiene i collegamenti VLAN.

Per informazioni generali su come i protocolli gestiscono le MTU non corrispondenti, consulta MTU non corrispondenti, blocco MSS, rilevamento MTU del percorso nella documentazione relativa alla MTU VPC.

I pacchetti inviati tramite un collegamento VLAN vengono elaborati nel seguente modo:

Situazione	Comportamento
Pacchetti TCP SYN e SYN-ACK	Google Cloud esegue il blocco MSS, modificando l'MSS in modo che i pacchetti rientrino nell'MTU del collegamento VLAN. Ad esempio, se l'MTU del collegamento VLAN è di 1500 byte, il clamping MSS utilizza una dimensione massima del segmento di 1460 byte.
Pacchetti IP fino alla MTU del collegamento VLAN (inclusa)	Google Cloud non apporta modifiche al pacchetto, ad eccezione dei pacchetti SYN e SYN-ACK, come descritto nella prima riga.
Controlli MTU per i pacchetti IP	L'MTU per i pacchetti inviati dalle risorse Google Cloud tramite un collegamento VLAN è limitata dall'MTU del collegamento VLAN. Ad esempio, quando un'istanza VM invia pacchetti a una destinazione raggiungibile tramite una route dinamica il cui hop successivo è un collegamento VLAN, i pacchetti che superano l'MTU del collegamento VLAN vengono eliminati: Google Cloud elimina il pacchetto e invia un messaggio di frammentazione necessaria (ICMP su IPv4) o pacchetto troppo grande (ICMPv6) sia quando il bit Don't Fragment (DF) è attivo sia quando è disattivato. Devi configurare le regole firewall VPC o le regole nelle policy del firewall in modo che ICMP (per IPv4) o ICMPv6 (per IPv6) siano consentiti dalle origini che corrispondono alle destinazioni dei pacchetti originali. Le regole di forwarding per il bilanciatore del carico di rete passthrough interno e il forwarding del protocollo interno devono utilizzare il protocollo L3_DEFAULT in modo da elaborare sia ICMP per il rilevamento MTU del percorso (PMTUD) sia il protocollo utilizzato dal pacchetto originale. Cloud Interconnect non applica l'MTU del collegamento VLAN per i pacchetti ricevuti da una rete on-premise. Invece, Google Cloud applica l'MTU alla risorsa Google Cloud che riceve il pacchetto: Se la risorsa che riceve il pacchetto è un'istanza VM, Google Cloud applica l'MTU della rete VPC utilizzata dall'interfaccia di rete della VM ricevente, come se la VM ricevente avesse ricevuto un pacchetto instradato all'interno della rete VPC. I pacchetti inviati alle API e ai servizi Google da on-premise tramite un collegamento VLAN vengono elaborati allo stesso modo dei pacchetti inviati dalle istanze VM alle API e ai servizi Google. Per saperne di più, vedi Comunicazione con le API e i servizi Google.
Pacchetti inviati tramite la VPN ad alta disponibilità su Cloud Interconnect	La VPN ad alta disponibilità su Cloud Interconnect utilizza un'unità MTU del gateway di 1440 byte, e le unità MTU del payload sono più piccole, a seconda delle cifrature utilizzate. Per ulteriori informazioni, consulta Considerazioni sulla MTU nella documentazione di Cloud VPN.

Passaggi successivi

• Per scegliere un tipo di connessione per Cloud Interconnect, consulta Scelta di un prodotto di connettività di rete.
• Per scoprire di più su Cloud Interconnect, consulta la panoramica di Cloud Interconnect.