Network Connectivity Center – Übersicht

Network Connectivity Center ist ein Orchestrierungs-Framework, das Netzwerkverbindungen zwischen Spoke-Ressourcen bietet, die mit einer zentralen Verwaltungsressource verbunden sind, Hub genannt. Network Connectivity Center unterstützt drei Arten von Spokes:

  • VPC-Spokes (Virtual Private Cloud)
  • Ersteller-VPC-Spokes (Vorabversion)
  • Hybrid-Spokes, die aus Folgendem bestehen:
    • HA VPN-Tunnel
    • Cloud Interconnect-VLAN-Anhänge
    • Router-Appliance-VMs

Mit der Hub-und-Spoke-Verbindung haben Sie folgende Möglichkeiten:

  • Verbinden Sie mehrere VPC-Netzwerke miteinander. Die VPC-Netzwerke können sich in verschiedenen Projekten in derselben Google Cloud-Organisation oder in verschiedenen Organisationen befinden.
  • Verbinden Sie mehrere VPC-Netzwerke mit lokalen oder anderen Netzwerken des Cloud-Anbieters. Diese externen Netzwerke können über jede Art von Hybrid-Spoke erreichbar sein. Dieser Ansatz wird als Site-to-Cloud-Konnektivität bezeichnet.
  • Verwenden Sie Router-Appliance-VMs, um die Verbindung zwischen Ihren VPC-Netzwerken zu verwalten.
  • Verwenden Sie ein Google Cloud-VPC-Netzwerk als Enterprise Wide Area Network (WAN), um Netzwerke außerhalb von Google Cloud zu verbinden. Sie können eine Verbindung zwischen Ihren externen Standorten mit einem beliebigen Hybrid-Spoke herstellen. Dieser Ansatz wird als Site-to-Cloud-Konnektivität bezeichnet.

Funktionsweise

Wenn ein Hub VPC-Spokes verwendet, können Sie die Verbindung zwischen den VPC-Netzwerken konfigurieren, die mit dem Hub verbunden sind, indem Sie Subnetzrouten zwischen allen oder einigen der VPC-Netzwerke austauschen.

Wenn ein Hub sowohl VPC-Spokes als auch Hybrid-Spokes verwendet, wird die „Any-to-Any“-Konnektivität über all diese Spokes unterstützt.

Wenn ein Hub Hybrid-Spokes in einem einzelnen VPC-Netzwerk verwendet, können Sie die Site-to-Site-Datenübertragung auch so konfigurieren, dass die dynamischen Routen, deren nächste Hops ein Hybrid-Spoke sind – z. B. ein Cloud Interconnect-VLAN-Anhang – in einem lokalen Netzwerk durch die BGP-Sitzungen der anderen Hybrid-Spokes im VPC-Netzwerk beworben werden.

In den folgenden Abschnitten finden Sie eine detaillierte Beschreibung von Hubs und Spokes.

Hubs

Ein Network Connectivity Center-Hub ist eine globale Ressource, an die Sie Spokes anhängen. Ein einzelner Hub kann Spokes aus mehreren Regionen enthalten. Wenn jedoch einer der Spokes eines Hubs die Site-to-Site-Datenübertragung verwendet, müssen sich die mit diesen Spokes verknüpften Ressourcen alle im selben VPC-Netzwerk befinden. Spokes, die keine Site-to-Site-Datenübertragung verwenden, können mit jedem VPC-Netzwerk in Ihrem Projekt verknüpft werden.

Spokes

Ein Spoke steht für eine oder mehrere Google Cloud-Netzwerkressourcen, die mit einem Hub verbunden sind.

Wenn Sie einen Spoke erstellen, müssen Sie ihn mindestens einer unterstützten Verbindungsressource zuordnen. Diese wird auch als Sicherungsressource bezeichnet.

Ein Spoke kann jede der folgenden Google Cloud-Ressourcen als Sicherungs-Ressource verwenden.

VPC-Spokes

Mit VPC-Spokes können Sie zwei oder mehr VPC-Netzwerke mit einem Hub verbinden, sodass die Netzwerke IPv4-Subnetzrouten austauschen. VPC-Spokes, die an einen einzelnen Hub angehängt sind, können auf VPC-Netzwerke im selben Projekt oder in einem anderen Projekt verweisen (einschließlich eines Projekts in einer anderen Organisation).

Ausführliche Informationen zu VPC-Spokes finden Sie unter VPC-Spokes.

VPC-Spokes bieten eine Konnektivität zwischen IPv4-Subnetzbereichen aus mehreren VPC-Netzwerken.

Ersteller-VPC-Spokes (Vorabversion)

Wenn Sie einen vorhandenen VPC-Spoke haben, der einen Dienst aus einem Erstellernetzwerk in einem anderen Projekt über VPC-Netzwerk-Peering nutzt, können Sie den Dienst für die anderen Spokes in Ihrem Network Connectivity Center-Hub erreichbar machen, indem Sie einen Ersteller-VPC-Spoke erzeugen.

Ausführliche Informationen zu Ersteller-VPC-Spokes finden Sie unter Ersteller-VPC-Spokes.

Hybrid-Spokes

Ein Hybrid-Spoke steht für eine oder mehrere Netzwerkkonnektivitätsressourcen, die mit einem Hub verbunden sind. Ein Hybrid-Spoke-Typ kann eine der folgenden Ressourcen sein, die einem Spoke zugeordnet sind:

  • Router-Appliance-VMs
  • HA VPN-Tunnel
  • Cloud Interconnect-VLAN-Anhänge

Ein einzelner Hybrid-Spoke kann mehr als einer Ressource desselben Typs zugeordnet sein. Beispiel: Ein Hybrid-Spoke kann auf zwei oder mehr HA VPN-Tunnel verweisen, aber derselbe Hybrid-Spoke kann nicht auch auf Router-Appliance-VMs oder Cloud Interconnect-VLAN-Anhänge verweisen. Ein Hybrid-Spoke muss sich im selben Projekt wie der Network Connectivity Center-Hub befinden.

Für die Site-to-Site-Datenübertragung mit Hybrid-Spokes müssen sich die Spokes im selben VPC-Netzwerk befinden. Weitere Informationen finden Sie unter Übersicht über die Site-zu-Site-Datenübertragung.

Router-Appliance-Spokes

Ein Spoke, der mit einer VM-Instanz der Router-Appliance verknüpft ist, unterstützt die folgenden Anwendungsfälle:

  • IPv4-Site-to-Cloud-Konnektivität: Sie können eine Verbindung zwischen einem externen Standort und Ihren VPC-Netzwerkressourcen herstellen.
  • IPv4-Site-to-Site-Datenübertragung: Verwenden Sie das Google-Netzwerk als Teil eines Wide Area Network (WAN), das Ihre externen Websites umfasst, um Daten zwischen allen Standorten zu übertragen.
  • IPv4-Konnektivität zwischen VPC-Netzwerken: Verwenden Sie eine virtuelle Appliance des Netzwerks, um eine Verbindung zwischen Ihren VPC-Netzwerken herzustellen.

Alle Site-to-Site-Spokes, die mit demselben Hub verbunden sind, müssen alle ihre unterstützenden Ressourcen im selben VPC-Netzwerk haben.

HA VPN-Tunnel-Spokes

Ein Spoke, der mit Cloud VPN-Tunneln (HA VPN) verknüpft ist, unterstützt die folgenden Anwendungsfälle:

  • IPv4-Site-to-Cloud-Konnektivität: Sie können eine Verbindung zwischen einer externen Website und Ihren VPC-Netzwerkressourcen herstellen.
  • IPv4-Site-to-Site-Datenübertragung: Verwenden Sie das Google-Netzwerk als Teil eines Wide Area Network (WAN), das Ihre externen Websites umfasst, um Daten zwischen allen Standorten zu übertragen.

Alle Appliances, die von einem einzelnen Spoke verknüpft sind, und alle Cloud VPN-Tunnel und VLAN-Anhänge müssen sich im selben VPC-Netzwerk befinden.

Cloud Interconnect-VLAN-Anhang-Spokes

Ein Spoke, der mit Cloud Interconnect-VLAN-Anhängen verknüpft ist, unterstützt die folgenden Anwendungsfälle:

  • IPv4-Site-to-Cloud-Konnektivität (alle Appliances, die mit einem einzelnen Spoke verknüpft sind, müssen sich im selben VPC-Netzwerk befinden)
  • IPv4-Site-to-Site-Datenübertragung (alle Cloud VPN-Tunnel, VLAN-Anhänge oder beides müssen sich im selben VPC-Netzwerk befinden)

Routenaustausch mit VPC-Konnektivität

Network Connectivity Center-VPC-Spokes unterstützen nur den Austausch von Subnetz-IPv4-Adressbereichen, die private Adressen verwenden. Ausgenommen sind privat verwendete öffentliche IPv4-Adressen. Dynamische Routen, also Routen, die von Hybrid-Spokes über BGP erlernt werden, können auch mit VPC-Spokes oder anderen Hybrid-Spokes ausgetauscht werden. Statische Routen in einem Spoke-VPC-Netzwerk können nicht mit anderen VPC-Spokes im Hub ausgetauscht werden.

Hub-Subnetze für Hybrid-Spokes importieren

Sie können die automatische Ankündigung von VPC-Spoke-IP-Subnetzbereichen in lokalen Netzwerken und anderen Cloud-Anbieternetzwerken über BGP erreichen, indem Sie den Import von Hub-Subnetzen für Hybrid-Spokes aktivieren. Wenn diese Option aktiviert ist, werden alle neuen VPC-Subnetze, die erstellt oder gelöscht wurden und sich in der Hub-Routingtabelle befinden, automatisch von Hybrid-Spokes importiert und über BGP gegenüber ihren Remote-Peers beworben.

Wenn Sie die IP-Adressbereiche von VPC-Spoke-Subnetzen automatisch für Hybrid-Spokes angeben möchten, verwenden Sie beim Erstellen des Spokes das Flag --include-import-ranges mit dem Feld ALL_IPV4_RANGES. Standardmäßig ist das Feld --include-import-ranges leer. Das bedeutet, dass keine Hub-Subnetze in neue oder vorhandene Hybrid-Spokes importiert werden, bis ALL_IPV4_RANGES angegeben ist.

Ausführliche Informationen zum Erstellen von Hybrid-Spokes finden Sie unter Mit Spokes arbeiten.

Benutzerdefiniertes Route Advertisement

Mit benutzerdefiniertem Route Advertisement in Cloud Router haben Sie die manuelle Kontrolle über die Präfixe, die von Hybrid-Spokes beworben werden. Sie können benutzerdefinierte beworbene Routen (einschließlich Standardrouten, 0.0.0.0/0 für IPv4-Routen oder ::/0 für IPv6-Routen) für alle BGP-Sitzungen angeben, wenn Sie kein automatisches Advertising der VPC-Spoke-Subnetze benötigen. Standardmäßig werden andere VPC-Spoke-Subnetze nicht beworben. Das bedeutet, dass lokale Standorte nicht automatisch Informationen zur Erreichbarkeit dieser IP-Adressbereiche erhalten.

Hinweise zum Importieren von Hub-Subnetzen

Beachten Sie bei der Verwendung der Funktion zum Importieren von Hub-Subnetzen Folgendes:

  • Alle VPC-Spoke-Subnetze in der Hub-Routingtabelle werden standardmäßig gegenüber einem Hybrid-Spoke beworben, wenn der Hybrid-Spoke ALL_IPV4_RANGES im Feld --include-import-ranges angegeben hat.
  • Die Routenpriorität folgt in dieser Reihenfolge den Ziel-VPC-Netzwerksubnetzen, Hub-Subnetzen und benutzerdefinierten Cloud Router-Routen.
  • Network Connectivity Center verhindert Überschneidungen zwischen Routing-VPC-Subnetzen und Hub-Subnetzen anderer VPC-Spokes.
  • Wenn eine benutzerdefinierte Cloud Router-Route genau mit den Ziel-VPC-Subnetzen oder Hub-Subnetzen übereinstimmt oder sich mit ihnen überschneidet, wird die benutzerdefinierte Route dieses Cloud Routers ignoriert.
  • Die BGP-Attribute von Hub-Subnetzen stimmen mit den Subnetzen des Landing-VPC des Hybrid-Spoke überein.
  • Cloud Router-Richtlinien für die BGP-Sitzung werden auch auf Hub-Subnetze angewendet, die in das Network Connectivity Center importiert wurden.
  • Wenn im Routing-VPC-Netzwerk des Hybrid-Spokes der dynamische Routingmodus auf regional festgelegt ist, werden nur Hub-Subnetze in derselben Region wie der Hybrid-Spoke beworben.

Beispielanwendungsfälle

In den folgenden Abschnitten werden die wichtigsten Anwendungsfälle von Network Connectivity Center beschrieben.

Verschiedene VPC-Netzwerke mit Network Connectivity Center verbinden

Wenn Sie zwei oder mehr VPC-Spokes an einen Hub anhängen, bietet Network Connectivity Center IPv4-Subnetzverbindungen zwischen allen VPC-Netzwerken, die durch die Spokes dargestellt werden. Die Verwendung eines Hubs vereinfacht die Verwaltung umfangreicher Mesh-Subnetzverbindungen. Informationen zur Anzahl der VPC-Netzwerke, die mit einem Hub verbunden werden können, finden Sie unter Kontingente.

Das folgende Diagramm zeigt zwei VPC-Spokes.

Spokes mit einem VPC-Netzwerk verbinden
Spokes mit einem VPC-Netzwerk verbinden (zum Vergrößern klicken).

Lokale Verbindung für VPC-Spokes

VPC-Spokes können sich mit lokalen Netzwerken verbinden, indem sie Hybrid-Spokes verwenden, die sich in anderen (Routing-) VPC-Netzwerken befinden. Jeder Network Connectivity Center-Hub unterstützt mehrere VPC-Spokes und Cloud Interconnect-VLAN-Anhänge, HA VPN-Tunnel oder Router-Appliance-VMs, die als Hybrid-Spokes hinzugefügt wurden. Das folgende Diagramm zeigt einen Beispiel-Hub mit VPC-Spokes und Hybrid-Spokes im selben Network Connectivity Center-Hub.

Dynamischer Routenaustausch mit VPC-Spokes.
Dynamischer Routenaustausch mit VPC-Spokes (zum Vergrößern klicken).

Netzwerke über Router-Appliance-VMs verbinden

Network Connectivity Center kann Router-Appliance-VMs in den folgenden beiden IPv4-Konnektivitätsszenarien verwenden:

  • VPC-Netzwerk mit dynamischen Routen mit einem lokalen oder anderen Netzwerk eines Cloud-Anbieters verbinden
  • Zwei VPC-Netzwerke über dynamische Routen miteinander verbinden

Mit dieser Option verwaltet Cloud Router die BGP-Sitzungen für Router-Appliance-VMs.

Externes Netzwerk mit Google Cloud verbinden

Im folgenden Diagramm wird ein Hybrid-Spoke mit einer Router-Appliance-VM verwendet, um zwei VPC-Netzwerke mit einem externen Netzwerk zu verbinden. Die Cloud Router-VM hat in jedem VPC-Netzwerk eine Netzwerkschnittstelle (NIC).

Externes Netzwerk mit Google Cloud verbinden.
Externes Netzwerk mit Google Cloud verbinden (zum Vergrößern klicken)

Weitere Informationen zu diesem Anwendungsfall finden Sie unter Site-to-Cloud-Topologien, die eine Appliance eines Drittanbieters verwenden.

Verbindungen zwischen VPC-Netzwerken verwalten

Das folgende Diagramm verwendet einen Hybrid-Spoke mit einer Router-Appliance-VM, auf der spezielle Firewall- oder Paketinspektionssoftware zum Verbinden von zwei VPC-Netzwerken ausgeführt wird.

Firewall eines Drittanbieters verwenden
Firewall eines Drittanbieters verwenden (zum Vergrößern klicken)

Weitere Informationen finden Sie unter VPC-zu-VPC-Topologie, die eine Appliance eines Drittanbieters verwendet.

Datenübertragung über das Google-Netzwerk (Site-to-Site)

Die Datenübertragung bietet IPv4-Verbindungen zwischen externen Netzwerken über ein Google Cloud-VPC-Netzwerk und Hybrid-Spokes. Sie können Daten zwischen mehreren lokalen Netzwerken oder in andere Cloud-Netzwerke übertragen.

Wenn Sie einen Hybrid-Spoke erstellen, können Sie die Datenübertragungsoption für diesen Spoke aktivieren. Wenn die Datenübertragung für Hybrid-Spokes aktiviert ist, die mit demselben Hub verbunden sind, werden die dynamischen Routen, die von jeder Router-Appliance-VM, jedem Cloud VPN-Tunnel oder jedem Cloud Interconnect-VLAN-Anhang erlernt werden, noch einmal beworben – gegenüber den anderen VMs, Tunneln oder VLAN-Anhängen, die mit einem beliebigen Hybrid-Spoke verknüpft sind, der mit demselben Hub verbunden ist. Für die Datenübertragung müssen alle Hybrid-Spokes auf Router-Appliance-VMs, Cloud VPN-Tunnel oder Cloud Interconnect-VLAN-Anhänge in einem einzelnen VPC-Netzwerk verweisen.

Angenommen, Sie haben Rechenzentren in New York, Sydney und Tokio. Nachdem Sie unterstützte Ressourcen verwendet haben, um Ihr VPC-Netzwerk mit jedem dieser Standorte zu verbinden, können Sie einen Spoke für jedes Netzwerk erstellen. Nachdem Sie diese Einrichtung abgeschlossen haben, bietet das Network Connectivity Center vollständige Mesh-Konnektivität zwischen allen drei Standorten.

Wie im folgenden Diagramm dargestellt, können Sie Spokes erstellen, die auf Konnektivitätsressourcen wie Cloud VPN, Cloud Interconnect und der Router-Appliance basieren.

Das Diagramm zeigt keine Cross-Cloud Interconnect-Verbindungen, aber Sie können auch Cross-Cloud Interconnect-VLAN-Anhänge verwenden.

Grafik: Datenübertragung über das Google-Netzwerk
Datenübertragung über das Google-Netzwerk (zum Vergrößern klicken)

Weitere Informationen zu diesem Anwendungsfall finden Sie unter Übersicht über die Site-to-Site-Datenübertragung.

Hinweise zum Network Connectivity Center

Lesen Sie die folgenden Abschnitte, bevor Sie Network Connectivity Center einrichten.

IP-Adressierung

Das Network Connectivity Center unterstützt IPv4-Adressierung. IPv6 wird nicht unterstützt. Beispiel:

  • Wenn ein Spoke mit Site-to-Site-Datenübertragung aktiviert ist, unterstützen die mit den Spokes verknüpften Ressourcen IPv4-Traffic. Diese Spokes können keinen IPv6-Traffic austauschen. Diese Anweisung gilt für alle Spoke-Typen: Router-Appliance, VLAN-Anhang und VPN-Spokes.

  • Site-to-Cloud-Router-Appliances-Spokes unterstützen IPv4-Traffic. IPv6-Traffic wird nicht unterstützt.

  • Wenn Sie eine Router-Appliance-VM erstellen, muss die primäre interne IPv4-Adresse der VM eine RFC 1918-Adresse sein.

  • Wenn VPC-Spokes sowohl IPv4- als auch IPv6-Subnetze enthalten, werden zwischen ihnen nur IPv4-Subnetze ausgetauscht.

Routing

Von Network Connectivity Center-Hybrid-Spokes installierte Routen werden als dynamische Routen behandelt.

Informationen zum Umgang mit dynamischen Routen im Vergleich zu anderen Routentypen finden Sie in der VPC-Dokumentation unter Anwendbarkeit und Reihenfolge.

Ressource Geeignete Anwendungsfälle
Priorisierung Alle Hybrid-Spoke-Ressourcen verwenden Cloud Router. Weitere Informationen zur Verwendung des Pfadauswahlmodells durch Cloud Router finden Sie in der Cloud Router-Übersicht unter AS-Pfadvoranstellung und AS-Pfadlänge.
ASN Alle Nicht-Google-Peering-Router, die mit einem einzelnen Spoke verknüpft sind, müssen beim Bewerben von Präfixen an den Cloud Router dieselbe ASN verwenden. Dies ist wichtig, denn wenn zwei Peers dasselbe Präfix mit unterschiedlichen ASNs oder AS-Pfaden bewerben, werden nur die ASN und der AS-Pfad eines einzelnen Peers für dieses Präfix neu beworben. Unterschiedliche Spokes müssen unterschiedliche ASNs haben. Wenn also zwei BGP-Sitzungen zu unterschiedliche Spokes gehören, müssen sie unterschiedliche ASNs haben. Wenn Sie das Datenübertragungsfeature verwenden, müssen Sie ASNs zuweisen, wie unter ASN-Anforderungen für die Site-to-Site-Datenübertragung beschrieben.
BGP-Sitzungen BGP-Communitys werden nicht unterstützt.

Änderungen des Route Advertisements bei Verwendung der Site-to-Site-Datenübertragung

Wenn Sie einem Hybrid-Spoke einen Cloud Interconnect-VLAN-Anhang oder einen Cloud VPN-Tunnel hinzufügen, aktualisiert Network Connectivity Center die entsprechende BGP-Sitzung für den VLAN-Anhang oder den Cloud VPN-Tunnel, sodass die Präfixe noch einmal beworben werden, die von BGP-Sitzungen der anderen Cloud Interconnect-VLAN-Anhängen oder Cloud VPN-Tunneln gelernt wurden, die mit einem der Hybrid-Spokes des Hubs verbunden sind, für die die Site-to-Site-Datenübertragung aktiviert ist.

Unterstützung für andere Produkte

In den folgenden Abschnitten wird beschrieben, wie Network Connectivity Center mit anderen Netzwerkprodukten und -features funktioniert.

VPC-Spokes und VPC-Netzwerk-Peering

Network Connectivity Center-VPC-Spokes unterstützen nur den Austausch von gültigen Subnetz-IPv4-Adressbereichen, die private Adressen verwenden. Ausgenommen sind privat verwendete öffentliche IPv4-Adressen, IPv6-Subnetzbereiche sowie statische und dynamische Routen.

Obwohl Network Connectivity Center-VPC-Spokes den Austausch statischer oder dynamischer Routen nicht unterstützen, kann ein Spoke-VPC-Netzwerk die statischen und dynamischen Routen aus einem anderen VPC-Netzwerk mithilfe von VPC-Netzwerk-Peering importieren. Wenn das andere VPC-Netzwerk dynamische Routen mit Cloud Interconnect-VLAN-Anhängen oder Cloud VPN-Tunneln mit nächstem Hop hat, die eine Verbindung zu einem lokalen Netzwerk herstellen, können Sie das Spoke-VPC-Netzwerk mit dem lokalen Netzwerk verbinden. Verwenden Sie dazu benutzerdefinierten Route Advertisements von Cloud Router und Routenaustauschoptionen für VPC-Netzwerk-Peering, wie im Beispiel zum Transitnetzwerk in der VPC-Netzwerk-Peering-Dokumentation beschrieben.

Freigegebene VPC-Netzwerke

Wenn Sie freigegebene VPC-Netzwerke verwenden, müssen Sie den Hub im Hostprojekt erstellen. Diese Einschränkung gilt nur für Hybrid-Spokes.

Wir empfehlen Administratoren von Dienstprojekten die Rolle networkconnectivity.googleapis.com/spokeAdmin. Weitere Informationen zu dieser Rolle und anderen Network Connectivity Center-Rollen finden Sie unter Rollen und Berechtigungen.

Legacy-Netzwerke

Spoke-Ressourcen können nicht Teil eines Legacy-Netzwerks sein.

VPN-Tunnel

Klassische VPN-Tunnel werden nicht unterstützt.

Datenübertragung

Wenn Sie Datenübertragungen verwenden, lesen Sie den Abschnitt Hinweise in der Übersicht über die Site-to-Site-Datenübertragung.

Service Level Agreement

Informationen zum Service Level Agreement (SLA) für Network Connectivity Center finden Sie unter Service Level Agreement (SLA) für Network Connectivity Center.

Preise

Informationen zu den Preisen finden Sie unter Preise für Network Connectivity Center.

Nächste Schritte