NCC 网关概览

NCC 网关是一种可连接到 Network Connectivity Center hub 的 spoke 类型。这是一种区域级产品,可为跨云网络流量提供安全保障。借助 NCC 网关,您可以启用安全功能(例如第三方安全服务边缘 [SSE],一种安全访问服务边缘 (SASE) 的云交付安全组件),并终止互连连接。

NCC 网关提供以下功能:

  • 简化的 SSE 集成:您可以将 SSE 与透明导向无缝集成,以改善用户到应用的保护和性能。
  • 区域部署:您可以根据与数据中心或其他云服务提供商的物理位置,在各个区域部署 NCC 网关。
  • 安全的远程员工:您可以安全地将远程员工(例如分支机构、数据中心和远程办公室中的远程员工)连接到 Google Cloud、本地或其他云服务提供商中的私有应用,以及 Palo Alto Networks Prisma Access 和 Symantec Cloud Secure Web Gateway (Cloud SWG) 等公共应用。
  • 增强型安全:您可以为多云流量启用 SSE 等安全功能。
  • 简化管理:NCC 网关可帮助您降低与管理 VPC 网络和连接到远程网络关联的复杂性和运营成本。
  • 性能可见性:借助 NCC 网关,您可以通过指标和遥测数据深入了解网络性能。

优势

NCC 网关具有以下优势:

  • 延迟时间更短,应用体验更出色:通过 NCC 网关以云优先方式使用高带宽 SSE 服务,并通过 Google 的专用骨干网提升性能。

  • 所有用户流量的统一安全性:通过单一统一的安全堆栈改善安全状况,并通过限制入站流量和出站流量点减少攻击面。

  • 通过 Network Connectivity Center 简化管理。

关键词

如需了解 NCC 网关,请熟悉以下术语:

混合连接:您配置为直接登录 NCC 网关的混合连接。

安全服务功能:连接到 NCC 网关的服务。例如,对于用户到应用的保护,您必须将 SSE 服务连接到 NCC 网关。

应用或工作负载 VPC 网络:工作负载 VPC 网络通常是指使用 Compute Engine 虚拟机 (VM) 或 Google Kubernetes Engine (GKE) 容器作为工作负载的网络。工作负载 VPC 网络可以是常规 VPC 网络,也可以是包含宿主项目和多个服务项目的共享 VPC。工作负载 VPC 网络必须配置为 hub 中的 spoke。

spoke 群组:一种在 Network Connectivity Center hub 中对 spoke 进行分组的方式。借助 spoke 群组,您可以将 spoke 分隔到不同的路由网域。 一个 spoke 群组可以包含多个 spoke,但一个 spoke 只能属于一个群组。如需详细了解不同拓扑的 spoke 群组,请参阅预设连接拓扑

混合检查拓扑:可让您将 NCC 网关 spoke 添加到群组以应用政策。如需了解混合检查拓扑,请参阅混合检查拓扑

Secure Access Connect:可将第三方 SSE 产品连接到 NCC 网关,以进行安全处理和安全网络出站流量。如需了解 Secure Access Connect,请参阅 Secure Access Connect 概览

支持的 SSE 产品

NCC 网关支持连接到以下 SSE 产品:

使用场景

NCC 网关非常适合希望确保混合办公员工能够安全访问应用的组织。NCC 网关通过集成的合作伙伴生态系统为混合办公员工提供安全保障,让您可以连接到所选的 SSE 提供商。借助 NCC 网关,您可以安全地访问托管在 Google Cloud、本地、其他云服务提供商以及网络和 SaaS 应用托管的公共应用中的私有应用。借助 NCC 网关,您可以创建区域级部署,以实现最佳数据中心邻近度,并管理 Google Cloud的专用骨干网中的跨区域流量。

Google Cloud 用户的应用场景包括:

  • 分支机构用户到网络
  • 分支机构用户到私有应用
  • 私有应用到网络

某些受支持的合作伙伴提供以下一种或多种应用场景:

  • 移动用户到网络
  • 移动用户到私有应用
  • 分支机构用户到合作伙伴应用
  • 私有应用到合作伙伴应用

流量

本部分介绍了 NCC 网关中根据各个应用场景的流量流路径。

Google Cloud 用户的应用场景中的流量流

分支机构用户到网络

在下图中,流量从本地分支机构用户流经 NCC 网关和第三方 SSE 堆栈到网络。

分支机构用户到网络流量流。
分支机构用户到网络流量流(点击可放大)

分支机构用户到私有应用

在下图中,流量从本地分支机构用户流经 NCC 网关,穿过第三方 SSE,然后通过 NCC 网关返回到私有应用。

分支机构用户到私有应用流量流。
分支机构用户到私有应用流量流(点击可放大)。

私有应用到网络

在下图中,流量从 Google Cloud流经 NCC 网关,穿过第三方 SSE,然后通过 NCC 网关返回到网络。

私有应用到网络流量流。
私有应用到网络流量流(点击可放大)。

支持的合作伙伴的应用场景中的流量流

移动用户到网络

在下图中,流量从移动用户流经第三方 SSE 到网络。在这种情况下,流量不会通过 NCC 网关。

移动用户到网络流量流。
移动用户到网络流量流(点击可放大)。

移动用户到私有应用

在下图中,流量从移动用户流经第三方 SSE 服务和 NCC 网关,到托管在 VPC 网络中的私有应用。

移动用户到私有应用流量流。
移动用户到私有应用流量流(点击可放大)。

分支机构用户到合作伙伴应用

在下图中,流量从本地分支机构用户流经 NCC 网关,穿过第三方 SSE,然后通过 NCC 网关返回到本地分支机构。

分支机构用户到合作伙伴应用流量流。
分支机构用户到合作伙伴应用流量流(点击可放大)。

私有应用到合作伙伴应用

在下图中,流量从私有应用流经 NCC 网关,穿过第三方 SSE,然后通过 NCC 网关返回到合作伙伴应用。

私有应用到合作伙伴应用流量流。
私有应用到合作伙伴应用流量流(点击可放大)。

处理能力

NCC 网关 spoke 的处理容量是其配置的带宽。您必须配置足够的带宽来考虑每个流量流方向,请注意,对于某些流量流,数据包可能会在每个流量方向进入和离开网关 spokex 多次

请考虑以下示例,以计算网关 spoke 所需的处理容量。

示例:分支机构用户到网络

假设分支机构的本地网络已连接到网络,如分支机构用户到网络应用场景中所示。数据包在每个方向穿过 NCC 网关一次,分支机构和网络需要 1 Gbps 全双工带宽:1 Gbps 用于从分支机构本地网络到网络的流量,1 Gbps 用于从网络到分支机构网络的流量。在这种情况下,用户需要 2 Gbps 的处理容量。此示例还假定 SSE 合作伙伴不会丢弃任何数据包。如果您选择的 SSE 合作伙伴建议的带宽高于此示例计算的带宽,请遵循该合作伙伴的建议。

示例:分支机构用户到私有应用

假设某个分支机构的本地网络连接到Google Cloud (如分支机构用户到私有应用应用场景中所示),并且分支机构和私有应用需要 1 Gbps 全双工带宽:1 Gbps 用于从分支机构到应用的流量,1 Gbps 用于从应用到分支机构的流量。此示例还假定 SSE 合作伙伴不会丢弃任何数据包。如果您选择的 SSE 合作伙伴建议的带宽高于此示例计算的带宽,请遵循该合作伙伴的建议。

将分支机构的本地网络连接到 Network Connectivity Center hub 的 NCC 网关 spoke 需要 2 个 1 Gbps VLAN 连接,以满足 Cloud Interconnect SLA 要求。这样一来,即使一个 VLAN 连接处于离线状态(例如,由于互连连接维护),一个 VLAN 连接也可以在分支机构和私有应用之间提供 1 Gbps 的全双工带宽。

网关 spoke 所需的处理容量为 4 Gbps,原因如下:

  • 从分支机构本地网络到 Network Connectivity Center hub 的流量需要 1 Gbps 的带宽。此流量需要 2 Gbps 的网关带宽,因为它在以下两个地方由网关处理:

    • 在来自连接到分支机构的 VLAN 连接的数据包会进入网关 spoke 时需要 1 Gbps
    • 在数据包离开网关 spoke 并进入 hub 时需要 1 Gbps

  • 从 Network Connectivity Center hub 到分支机构本地网络的流量也需要 1 Gbps 带宽。此流量需要额外的 2 Gbps 网关带宽,因为它在以下两个地方由网关处理:

    • 在数据包离开 hub 并进入网关 spoke 时需要 1 Gbps
    • 在数据包离开网关 spoke 并发送到连接到分支机构的 VLAN 连接时需要 1 Gbps

我们建议采用以下策略来配置网关处理能力和 VLAN 连接带宽:

  • 网关处理容量是所有网关 NIC 在每个方向所需的带宽之和。
  • 与网关处理容量不同,VLAN 连接带宽是全双工的。 即使使用通用互连连接的 VLAN 连接处于关闭状态,也要始终配置足够数量的 VLAN 连接来支持所需的带宽。

注意事项

使用 NCC 网关时,请注意以下事项:

  • NCC 网关仅支持 SSE 服务插入。
  • 您只能将 VLAN 连接附加到 NCC 网关 spoke。不支持 Cloud VPN 和路由器设备。
  • 所有 NCC 网关 spoke 都必须位于同一网关 spoke 群组中。如需配置 NCC 网关,Network Connectivity Center hub 必须使用预设混合检查拓扑
  • 一次只能将一项服务附加到 NCC 网关。
  • Cloud Router 必须与同一区域中的 NCC 网关关联。
  • 只有使用与 NCC 网关关联的 Cloud Router 创建的 VLAN 连接才会附加到网关。
  • 每个区域每个 hub 只能有一个 NCC 网关 spoke。
  • NCC 网关 spoke 和 hub 必须位于同一项目中。
  • 您必须在创建网关 spoke 时指定处理容量。处理容量可在以后根据需要进行更改。
  • 您无法更改已分配的 IP 地址范围。某些 IP 地址范围是为 SSE 合作伙伴预留的。
  • 没有流量导向政策可绕过 NCC 网关的部分流量。
  • 网关通告路由不会显示在 VPC 路由表中。您可以在 VPC 网络所在的 spoke 群组的 hub 路由表中查看这些路由。
  • 网关通告路由使用标准最佳路径选择模式进行编程。
    • hub 路由表中网关通告路由的优先级反映了有效的 Andromeda 路由优先级,例如 6553665537。在计算有效的 Andromeda 路由优先级时,系统会考虑用于创建网关通告路由的优先级。
    • 静态路由始终具有介于 0-65535 之间的优先级,因此优先于针对相同目标前缀的网关通告路由。因此,如果您想使用目的地为 0/0 的网关通告路由将网络流量定向到网关,则可能需要移除系统生成的默认路由

网关和 hub 路由表的有效路由视图

您可以从某个区域的角度查询 hub 路由表,这会在您选择路由时考虑区域间费用(无论是否通过网关)。通过此查询,您可以查看在您从特定区域发送数据包时,哪个特定网关实例会接收流量。

用户转化历程示例

如果您没有预先设置连接,请参阅 NCC 网关设置概览

价格

如需了解价格,请参阅 Network Connectivity Center 价格

后续步骤