Cloud Interconnect – Übersicht

Cloud Interconnect bietet Verbindungen mit niedriger Latenz und hoher Verfügbarkeit, mit denen Sie Daten zuverlässig zwischen Ihren Google Cloud-VPC-Netzwerken (Virtual Private Cloud) und Ihren anderen Netzwerken übertragen können. Außerdem bieten Cloud Interconnect-Verbindungen eine interne IP-Adresskommunikation, d. h. interne IP-Adressen sind von beiden Netzwerken aus direkt zugänglich.

Cloud Interconnect bietet die folgenden Optionen zum Erweitern Ihres Netzwerks auf Google Cloud:

  • Dedicated Interconnect stellt eine direkte physische Verbindung zwischen Ihrem lokalen Netzwerk und dem Google-Netzwerk bereit.
  • Partner Interconnect stellt über einen unterstützten Dienstanbieter eine Verbindung zwischen Ihren lokalen und VPC-Netzwerken her.
  • Cross-Cloud Interconnect stellt eine direkte physische Verbindung zwischen Ihrem Netzwerk in einer anderen Cloud und dem Google-Netzwerk bereit.

Einen Vergleich zur Auswahl zwischen Dedicated Interconnect und Partner Interconnect finden Sie im Abschnitt zu Cloud Interconnect unter Produkt für die Netzwerkverbindung auswählen.

Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe von Cloud Interconnect.

Vorteile

Die Verwendung von Cloud Interconnect bietet folgende Vorteile:

  • Traffic zwischen Ihrem externen Netzwerk und Ihrem VPC-Netzwerk durchläuft nicht das öffentliche Internet. Der Traffic wird über eine dedizierte Verbindung oder über einen Dienstanbieter mit einer dedizierten Verbindung weitergeleitet. Durch die Umgehung des öffentlichen Internets benötigt Ihr Traffic weniger Hops. Das bedeutet, dass weniger Points of Failure vorhanden sind, die zu Trafficausfällen oder -unterbrechungen führen können.

  • Auf die internen IP-Adressen Ihres VPC-Netzwerks kann direkt von Ihrem lokalen Netzwerk aus zugegriffen werden. Sie müssen weder ein NAT-Gerät noch einen VPN-Tunnel verwenden, um interne IP-Adressen zu erreichen. Weitere Informationen finden Sie unter IP-Adressierung und dynamische Routen.

  • Sie können die Verbindungskapazität an Ihre speziellen Anforderungen anpassen.

    Bei Dedicated Interconnect wird die Verbindungskapazität über eine oder mehrere 10-Gbit/s- oder 100-Gbit/s-Ethernet-Verbindungen bereitgestellt, wobei die folgenden maximalen Kapazitäten pro Cloud Interconnect-Verbindung unterstützt werden:

    • 8 Verbindungen mit 10 Gbit/s (insgesamt 80 Gbit/s)
    • 2 Verbindungen mit 100 Gbit/s (insgesamt 200 Gbit/s)

    In Partner Interconnect werden die folgenden Verbindungskapazitäten für jeden VLAN-Anhang unterstützt:

    • VLAN-Anhänge von 50 Mbit/s bis 50 Gbit/s Die maximal unterstützte Größe des Anhangs ist 50 Gbit/s. Möglicherweise sind aber nicht alle Größen verfügbar. Dies hängt davon ab, was Ihr ausgewählter Partner am ausgewählten Standort anbietet.
  • Sie können 100 Gbit/s-Verbindungen an jedem der auf der Seite Alle Colocations-Einrichtungen aufgeführten Standorte anfragen.

  • Mit Dedicated Interconnect, Partner Interconnect, Direct Peering und Carrier Peering können Sie den ausgehenden Traffic Ihres VPC-Netzwerks optimieren und die Kosten für den ausgehenden Traffic senken. Cloud VPN alleine reduziert die Kosten für ausgehenden Traffic nicht.

  • Sie können Cloud Interconnect mit privatem Google-Zugriff für lokale Hosts verwenden, sodass lokale Hosts anstelle von externen IP-Adressen interne IP-Adressen nutzen können, um auf Google APIs und Dienste zuzugreifen. Weitere Informationen finden Sie unter Private Zugriffsoptionen für Dienste in der VPC-Dokumentation.

  • Sie können die IPsec-Verschlüsselung auf Ihren Cloud Interconnect-Traffic anwenden, indem Sie HA VPN über Cloud Interconnect bereitstellen.

Hinweise

Cloud VPN allein verwenden

Wenn Sie keine vollständige Cloud Interconnect-Verbindung benötigen, können Sie Cloud VPN allein verwenden, um IPsec-VPN-Tunnel zwischen Ihren Netzwerken einzurichten. IPsec-VPN-Tunnel verschlüsseln Daten mithilfe von IPsec-Protokollen nach Industriestandard. Der verschlüsselte Traffic läuft durch das öffentliche Internet.

Für Cloud VPN müssen Sie ein Peer-VPN-Gateway in Ihrem lokalen Netzwerk konfigurieren.

IP-Adressierung, IPv6 und dynamische Routen

Wenn Sie Ihr VPC-Netzwerk mit Ihrem lokalen Netzwerk verbinden, lassen Sie die Kommunikation zwischen dem IP-Adressraum Ihres lokalen Netzwerks und einigen oder allen Subnetzen in Ihrem VPC-Netzwerk zu. Welche VPC-Subnetze verfügbar sind, hängt vom dynamischen Routingmodus Ihres VPC-Netzwerks ab. Subnetz-IP-Bereiche in VPC-Netzwerken sind immer interne IP-Adressen.

Sie können den IPv6-Trafficaustausch zwischen Ihrem IPv6-fähigen VPC-Netzwerk und Ihrem lokalen Netzwerk aktivieren. Weitere Informationen finden Sie unter IPv6-Unterstützung für Dedicated Interconnect und IPv6-Unterstützung für Partner Interconnect.

Der IP-Adressraum in Ihrem lokalen Netzwerk und Ihrem VPC-Netzwerk darf sich nicht überlappen, da der Traffic sonst nicht ordnungsgemäß weitergeleitet wird. Überlappende Adressen sollten aus beiden Netzwerken entfernt werden.

Ihr lokaler Router teilt die Routen Ihres lokalen Netzwerks mit dem Cloud Router in Ihrem VPC-Netzwerk. Durch diese Aktion werden benutzerdefinierte dynamische Routen in Ihrem VPC-Netzwerk erstellt, wobei jeder nächste Hop auf den entsprechenden VLAN-Anhang festgelegt ist.

Cloud Router in Ihrem VPC-Netzwerk teilen die IP-Adressbereiche des VPC-Netzwerk-Subnetzes mit Ihren lokalen Routern entsprechend dem dynamischen Routingmodus Ihres VPC-Netzwerks, sofern dies nicht durch benutzerdefinierte Advertisements geändert wurde.

Für die folgenden Konfigurationen müssen Sie auf Ihrem Cloud Router benutzerdefinierte beworbene Routen erstellen, um den Traffic von Ihrem lokalen Netzwerk über eine Cloud Interconnect-Verbindung an bestimmte interne IP-Adressen zu leiten:

Cloud Interconnect als Datenübertragungsnetzwerk

Gehen Sie den Abschnitt 2 der allgemeinen Dienstbedingungen für Google Cloud sorgfältig durch, bevor Sie Cloud Interconnect verwenden.

Mit Network Connectivity Center können Sie VLAN-Anhänge verwenden, um lokale Netzwerke miteinander zu verbinden und den Traffic zwischen ihnen als Datenübertragungsnetzwerk weiterzuleiten. Sie verbinden die Netzwerke, indem Sie für jeden lokalen Standort VLAN-Anhänge mit einem Network Connectivity Center-Spoke verbinden. Anschließend verbinden Sie alle Spokes mit einem Network Connectivity Center-Hub.

Weitere Informationen zum Network Connectivity Center finden Sie unter Network Connectivity Center – Übersicht.

Cloud Interconnect-Traffic verschlüsseln

Cloud Interconnect verschlüsselt Traffic nicht standardmäßig. Sie können MACsec für Cloud Interconnect nutzen, um Traffic zwischen Ihrem lokalen Router und den Edge-Routern von Google auf unterstützten Dedicated Interconnect-Netzwerkverbindungen zu sichern. Weitere Informationen finden Sie unter MACsec für Cloud Interconnect.

Sie können auch HA VPN über Cloud Interconnect bereitstellen, wenn Sie den von Ihren VLAN-Anhängen übertragenen Traffic verschlüsseln müssen. HA VPN über Cloud Interconnect wird sowohl für Dedicated Interconnect als auch für Partner Interconnect unterstützt. Möglicherweise müssen Sie Ihren Cloud Interconnect-Traffic verschlüsseln, um bestimmte regulatorische oder Sicherheitsanforderungen zu erfüllen. Weitere Informationen finden Sie unter HA VPN über Cloud Interconnect.

Nutzung von Cloud Interconnect einschränken

Standardmäßig kann jedes VPC-Netzwerk Cloud Interconnect nutzen. Über eine Organisationsrichtlinie können Sie bestimmen, welche VPC-Netzwerke Cloud Interconnect verwenden können. Weitere Informationen finden Sie unter Nutzung von Cloud Interconnect einschränken.

Cloud Interconnect-MTU

Cloud Interconnect-VLAN-Anhänge unterstützen die folgenden vier MTU-Größen:

  • 1.440 Byte
  • 1.460 Byte
  • 1.500 Byte
  • 8.896 Byte

Google empfiehlt, für alle VLAN-Anhänge, die mit demselben VPC-Netzwerk verbunden sind, dieselbe MTU zu verwenden und für die MTU des VPC-Netzwerks denselben Wert festzulegen. Dies ist zwar die empfohlene Vorgehensweise, Sie sind jedoch nicht gezwungen, die MTUs von VLAN-Anhängen und VPC-Netzwerk-MTUs abzugleichen. Sie können verworfene Pakete feststellen, insbesondere bei anderen Protokollen als TCP, wenn Sie eine der folgenden Aktionen ausführen:

  • Verwenden Sie verschiedene MTUs für VLAN-Anhänge für VLAN-Anhänge, die mit demselben VPC-Netzwerk verbunden sind.
  • Konfigurieren Sie VLAN-Anhang-MTUs, die kleiner als die MTU des VPC-Netzwerks sind, das die VLAN-Anhänge enthält.

Allgemeine Informationen dazu, wie Protokolle nicht übereinstimmende MTUs verarbeiten, finden Sie unter Nicht übereinstimmende MTUs, MSS-Clamping, Pfad-MTU-Erkennung in der VPC-MTU-Dokumentation.

Pakete, die über einen VLAN-Anhang gesendet werden, werden so verarbeitet:

Situation Verhalten
TCP-SYN- und SYN-ACK-Pakete Google Cloud führt MSS-Clamping durch, wobei die MSS-Pakete geändert werden, sodass die Pakete in die VLAN-Anhang-MTU passen. Wenn die MTU des VLAN-Anhangs beispielsweise 1.500 Byte beträgt, verwendet MSS Clamping eine maximale Segmentgröße von 1.460 Byte.
IP-Pakete bis zur MTU des VLAN-Anhangs (einschließlich) Google Cloud nimmt keine Änderungen am Paket vor, mit Ausnahme von SYN- und SYN-ACK-Paketen, wie in der ersten Zeile erläutert.
MTU-Prüfung auf IP-Pakete
  • Die MTU für Pakete, die von Google Cloud-Ressourcen über einen VLAN-Anhang gesendet werden, wird durch die MTU des VLAN-Anhangs begrenzt. Wenn eine VM-Instanz beispielsweise Pakete an ein Ziel sendet, das von einer dynamischen Route erreichbar ist, deren nächster Hop ein VLAN-Anhang ist, werden Pakete verworfen, die die MTU des VLAN-Anhangs überschreiten:
    • Google Cloud löscht das Paket und sendet eine Nachricht „Fragmentierung erforderlich“ (ICMP über IPv4) oder „Paket zu groß (ICMPv6)“ sowohl, wenn das Bit „Nicht fragmentieren” (DF) aktiviert ist als auch wenn das DF-Bit ist { 101} aus.
    • Sie müssen VPC-Firewallregeln oder Regeln in Firewallrichtlinien für eingehenden Traffic konfigurieren, damit ICMP (für IPv4) oder ICMPv6 (für IPv6) aus Quellen, die mit den ursprünglichen Paketzielen übereinstimmen, erlaubt sind.
    • Weiterleitungsregeln für den internen Passthrough-Network Load Balancer und die interne Protokollweiterleitung müssen das L3_DEFAULT-Protokoll verwenden, damit sie sowohl ICMP für Path MTU Discovery (PMTUD) als auch das vom ursprünglichen Paket verwendete Protokoll verarbeiten.
  • Cloud Interconnect erzwingt die MTU von VLAN-Anhängen für Pakete, die von einem lokalen Netzwerk empfangen werden, nicht. Stattdessen erzwingt Google Cloud die MTU für die Google Cloud-Ressource, die das Paket empfängt:
    • Wenn die Ressource, die das Paket empfängt, eine VM-Instanz ist, erzwingt Google Cloud die MTU des VPC-Netzwerks, das von der Netzwerkschnittstelle der empfangenden VM verwendet wird, als ob die empfangende VM ein weitergeleitetes Paket empfangen hätte innerhalb des VPC-Netzwerks.
    • Pakete, die von lokal über einen VLAN-Anhang an Google APIs und Google-Dienste gesendet werden, werden auf die gleiche Weise verarbeitet wie Pakete, die von VM-Instanzen an Google APIs und Google-Dienste gesendet werden. Weitere Informationen finden Sie unter Kommunikation mit Google APIs und Google-Diensten.
Pakete, die über HA VPN über Cloud Interconnect gesendet werden HA VPN über Cloud Interconnect verwendet eine Gateway-MTU von 1.440 Byte und kleinere Nutzlast-MTUs, je nach verwendeten Chiffren. Weitere Informationen finden Sie unter Überlegungen zur MTU in der Cloud VPN-Dokumentation.

Unterstützung für GRE-Traffic

Cloud Interconnect unterstützt GRE-Traffic. Dank der Unterstützung für GRE können Sie den GRE-Traffic auf einer VM aus dem Internet (externe IP-Adresse) und Cloud VPN oder Cloud Interconnect (interne IP-Adresse) beenden. Der entkapselte Traffic kann dann an ein erreichbares Ziel weitergeleitet werden. GRE ermöglicht es Ihnen, Dienste wie SASE (Secure Access Service Edge) und SD-WAN zu verwenden. Sie müssen eine Firewallregel erstellen, um GRE-Traffic zuzulassen.

Netzwerkverkehr unterscheiden

Dedicated Interconnect und Cross-Cloud Interconnect unterstützen die Differenzierung von Netzwerkverkehr durch Application Awareness in Cloud Interconnect in Vorabversion. Mit der Anwendungserkennung können Sie Ihren ausgehenden Traffic verschiedenen Traffic-Klassen zuordnen und entweder eine Richtlinie für den Prozentsatz der Bandbreite oder eine Richtlinie mit strenger Priorität festlegen. So lässt sich dafür sorgen, dass geschäftskritischer Netzwerkverkehr vor Netzwerkverkehr mit niedrigerer Priorität priorisiert wird.

Weitere Informationen finden Sie unter „Trafficdifferenzierung konfigurieren“ für Dedicated Interconnect und Cross-Cloud Interconnect.

Wenden Sie sich an Ihr Account-Management-Team, um die Anwendungserkennung für Ihren Cloud Interconnect zu aktivieren.

Cloud Interconnect-Verbindungen und VLAN-Anhänge visualisieren und überwachen

Netzwerktopologie ist ein Visualisierungstool, das die Topologie Ihrer VPC-Netzwerke, die Hybridkonnektivität zu und von Ihren lokalen Netzwerken sowie die zugehörigen Messwerte zeigt. Sie können die Cloud Interconnect-Verbindungen und VLAN-Anhänge als Entitäten in der Ansicht "Netzwerktopologie" aufrufen.

Eine Basisentität ist die unterste Ebene einer bestimmten Hierarchie und stellt eine Ressource dar, die direkt über ein Netzwerk mit anderen Ressourcen kommunizieren kann. Netzwerktopologie fasst Basisentitäten in hierarchischen Entitäten zusammen, die Sie maximieren oder minimieren können. Wenn Sie zum ersten Mal ein Diagramm von Netzwerktopologie aufrufen, werden alle Basisentitäten in ihrer übergeordneten Hierarchie zusammengefasst.

Netzwerktopologie fasst beispielsweise VLAN-Anhänge in ihrer Cloud Interconnect-Verbindung zusammen. Sie können die Hierarchie aufrufen, indem Sie die Symbole für Cloud Interconnect-Verbindungen maximieren oder minimieren.

Weitere Informationen finden Sie in der Übersicht zu Netzwerktopologie.

Häufig gestellte Fragen

Antworten auf häufig gestellte Fragen zur Architektur und zu den Features von Cloud Interconnect finden Sie in den FAQ zu Cloud Interconnect.

Nächste Schritte