Network Connectivity Center 是一種調度架構,可簡化與稱為「中樞」的中央管理資源連線的「輪輻」資源之間的網路連線。Network Connectivity Center 支援下列類型的輻條:
- 虛擬私有雲 (VPC) 輻條
- 供應商虛擬私有雲輪輻
- NCC 閘道輪輻
- 混合式輪輻,包括:
- HA VPN 通道
- Cloud Interconnect VLAN 連結
- 路由器設備 VM
透過輻射狀連線,您可以執行下列操作:
- 連結多個虛擬私有雲網路。虛擬私有雲網路可位於同一 Google Cloud 機構或不同機構的不同專案中。
- 將多個虛擬私有雲網路連結至內部部署或其他雲端供應商網路。這些外部網路可透過任何類型的混合型輻條存取。這種做法稱為網站到雲端連線。
- 使用 Router 設備 VM 來管理虛擬私有雲網路之間的連線。
- 使用 Google Cloud 虛擬私人雲端網路做為企業廣域網路 (WAN),連線至 Google Cloud以外的網路。您可以使用任何類型的混合式 Spoke,在外部網站之間建立連線。這種做法稱為網站對網站連線。
運作方式
當中樞使用 VPC 輪輻時,您可以透過在所有或部分 VPC 網路之間交換子網路路徑,設定連結至中樞的這些 VPC 網路之間的連線。
如果中樞同時使用虛擬私有雲輪輻和混合式輪輻,則所有輪輻都會支援任意連線。
如果集線器使用位於單一虛擬私有雲網路中的混合式輻條,您也可以設定站對站資料傳輸,讓下一個躍點為混合式輻條 (例如 Cloud Interconnect VLAN 連結) 的動態路徑,透過該虛擬私有雲網路中其他混合式輻條的 BGP 工作階段,宣傳至內部部署網路。
如需中樞和輪輻的詳細說明,請參閱下列章節。
中樞
Network Connectivity Center 中樞是用來連接輪輻的全域資源。單一樞紐可包含來自多個區域的輻條。不過,如果中樞的任何輪輻使用站對站資料移轉功能,與這些輪輻相關聯的資源都必須位於同一個虛擬私有雲網路中。不使用站對站資料移轉的輪輻可與專案中的任何虛擬私有雲網路建立關聯。
輪輻
輪輻代表與中樞連結的一或多個 Google Cloud 網路資源。
建立輻條時,您必須將其與至少一個支援的連線資源建立關聯,這也稱為支援資源。
輪輻可以使用下列任一 Google Cloud 資源做為其支援資源。
虛擬私有雲輪輻
您可以透過虛擬私有雲輪輻,將兩個以上的虛擬私有雲網路連結至中樞,接著這些網路就能交換子網路路由。連接至單一中樞的 VPC 輻條可以參照同一個專案或不同專案 (包括不同機構中的專案) 中的虛擬私有雲網路。
虛擬私有雲輪輻會將子網路路由匯出至中樞,並從中樞匯入子網路路由和動態路由。
如要進一步瞭解虛擬私有雲輪輻,請參閱虛擬私有雲輪輻總覽。
虛擬私有雲輪輻可在多個虛擬私有雲網路的 IPv4 和 IPv6 子網路範圍之間提供連線。您可以設定每個 VPC 輻條匯出子網路範圍,如下所示:
- 僅限 IPv4 子網路範圍
- 同時包含 IPv4 和 IPv6 子網路範圍
- 僅限 IPv6 子網路範圍
請考慮一個星狀拓撲結構的虛擬私有雲網路,其中包含混合子網路堆疊類型。如果您將輻射狀節點設為只匯出 IPv6 子網路範圍,系統就會交換雙重堆疊和僅支援 IPv6 (預覽) 子網路的 IPv6 子網路範圍,但不會交換僅支援 IPv4 和雙重堆疊的 IPv4 子網路範圍。
供應商虛擬私有雲輪輻
如果您有現有的虛擬私有雲輪輻,會透過虛擬私有雲網路對接,使用其他專案供應商網路中的服務,那麼只要建立供應商虛擬私有雲輪輻,Network Connectivity Center 中樞的其他輪輻就能存取該服務。
如要進一步瞭解供應商虛擬私有雲輪輻,請參閱「供應商虛擬私有雲輪輻」。
閘道輪輻
NCC 閘道是附加至 Network Connectivity Center 中樞的區域輪輻類型。可為 Cross-Cloud Network 流量啟用安全性。NCC Gateway 可啟用第三方安全服務邊緣 (SSE) 檢查功能。
如要進一步瞭解 NCC 閘道輪輻,請參閱「NCC 閘道總覽」。
混合式輪輻
混合式輻條代表與中樞連線的一或多個網路連線資源。混合型輻條類型可以是輻條相關聯的下列任一資源:
- 路由器設備 VM
- HA VPN 通道
- Cloud Interconnect VLAN 連結
單一混合型輪輻可與多個相同類型的資源建立關聯。舉例來說,混合式輪輻可以參照兩個以上的高可用性 VPN 通道,但同一個混合式輪輻則無法參照路由器機器 VM 或 Cloud Interconnect VLAN 連結。混合型輪輻必須與 Network Connectivity Center 中樞位於相同專案中。
使用混合型輪輻進行站對站資料移轉時,輪輻必須位於同一個虛擬私有雲網路中。詳情請參閱「站對站資料移轉總覽」。
路由器設備輪輻
與路由器設備 VM 執行個體相關聯的輪輻可支援下列用途:
- IPv4 網站到雲端連線:在外部網站與 VPC 網路資源之間建立連線。
- IPv4 網站對網站資料移轉:在廣域網路 (WAN) 中使用 Google 網路,其中包含您的外部網站,以便在所有網站之間移轉資料。
- 虛擬私有雲網路之間的 IPv4 連線:使用第三方網路虛擬設備,在虛擬私有雲網路之間建立連線。
所有連線至同一個中樞的站對站輪輻,其所有後端資源都必須位於同一個虛擬私有雲網路。
高可用性 VPN 通道輪輻
與 Cloud VPN (HA VPN) 通道相關聯的輪輻可支援下列用途:
- IPv4 網站到雲端連線:在外部網站與 VPC 網路資源之間建立連線。
- IPv4 網站對網站資料移轉:在廣域網路 (WAN) 中使用 Google 網路,其中包含您的外部網站,以便在所有網站之間移轉資料。
從單一輪輻連結的所有裝置,以及所有 Cloud VPN 通道和 VLAN 連結,都必須位於同一個 VPC 網路。
Cloud Interconnect VLAN 連結輪輻
與 Cloud Interconnect VLAN 連結相關聯的輪輻可支援下列用途:
- IPv4 站對雲連線:從單一輪輻連結的所有裝置都必須位於同一個虛擬私有雲網路。
- IPv4 網站對網站資料移轉:所有 Cloud VPN 通道和 VLAN 連結 (或兩者皆是) 都必須位於同一個虛擬私有雲網路。
透過 VPC 連線交換路由
Network Connectivity Center 虛擬私有雲輪輻可支援交換下列子網路範圍:
- 使用私人位址的 IPv4 子網路範圍 (不含私人使用的公開 IPv4 位址)
- IPv6 子網路範圍
IPv4 動態路徑 (也就是混合式輻射狀節點透過 BGP 學習到的路徑) 也可以與 VPC 輻射狀節點或其他混合式輻射狀節點交換。
匯入混合式輪輻的中樞子網路
您可以啟用混合型輪輻的中樞子網路匯入功能,讓系統透過 BGP 自動將虛擬私有雲輪輻 IP 子網路範圍宣傳至內部部署網路和其他雲端服務供應商網路。啟用後,混合型輻射點會自動匯入或刪除位於中樞路由表中的任何新 VPC 子網路,並透過 BGP 向遠端對等端宣傳。
如要自動將 VPC 輻射狀子網路 IP 位址範圍宣傳至混合輻射狀節點,請在建立輻射狀節點時使用 --include-import-ranges 標記搭配 ALL_IPV4_RANGES 欄位。根據預設,--include-import-ranges 欄位為空白,這表示在指定 ALL_IPV4_RANGES 之前,系統不會將中樞子網路匯入新或現有的混合式輪輻。
如要進一步瞭解如何建立混合型輻條,請參閱「使用輻條」一文。
自訂路徑通告
Cloud Router 中的自訂路徑通告可讓您手動控制混合式輪輻通告的前置字串。如果您不需要自動通告 VPC 輪輻子網路,可以為所有 BGP 工作階段指定自訂通告路徑 (包括預設路徑、0.0.0.0/0 (適用於 IPv4 路徑) 或 ::/0 (適用於 IPv6 路徑))。根據預設,其他 VPC 輻射子網路不會宣傳,這表示內部部署位置不會自動瞭解這些 IP 位址範圍的可及性。
匯入中樞子網路時的注意事項
使用匯入中心子網路功能時,請注意下列事項。
- 如果混合式輪輻在
--include-import-ranges欄位中指定了ALL_IPV4_RANGES,則中樞路由表中的所有 VPC 輪輻子網路都會預設通告至混合式輪輻。 - 路徑優先順序依序為目的地 VPC 網路子網路、中樞子網路和 Cloud Router 自訂路徑。
- Network Connectivity Center 可避免路由 VPC 子網路與其他 VPC 輻射狀結構中的中樞子網路重疊。
- 如果 Cloud Router 自訂路徑與著陸 VPC 子網路或中樞子網路完全相同或重疊,系統會忽略該 Cloud Router 的自訂路徑。
- 中樞子網路的 BGP 屬性與混合式輻射狀 VPC 的子網路相同。
- BGP 工作階段的 Cloud Router 政策也會套用至 Network Connectivity Center 匯入的中樞子網路。
- 如果混合式分支的轉送 VPC 網路將動態轉送模式設為
regional,則只會通告與混合式分支位於同一個地區的中樞子網路。
應用實例
以下各節說明 Network Connectivity Center 的主要用途。
透過 Network Connectivity Center 連結不同虛擬私有雲網路
將兩個以上的虛擬私有雲輪輻連結至中樞後,Network Connectivity Center 會透過子網路路由,提供虛擬私有雲網路之間的連線,使用中樞可簡化大規模網格子網路連線的管理作業。請參閱配額,瞭解可連結至中樞的虛擬私有雲網路數量。
下圖顯示兩個 VPC 輻條。
虛擬私有雲輪輻的內部部署連線
虛擬私有雲輻條可透過位於其他 (路由) 虛擬私有雲網路的混合式輻條,連線至內部部署網路。每個 Network Connectivity Center 中樞都支援多個 VPC 輻射線,以及 Cloud Interconnect VLAN 連結、高可用性 VPN 通道,或新增做為混合式輻射線的 Router 應用程式 VM。
使用路由器設備 VM 連線
Network Connectivity Center 可在下列兩種 IPv4 連線情境中使用路由器設備 VM:
- 使用動態路由將 VPC 網路連線至內部部署或其他雲端服務供應商網路
- 使用動態路徑將兩個 VPC 網路互相連線
啟用這個選項後,Cloud Router 會管理路由器機器 VM 的 BGP 工作階段。
將外部網路連線至 Google Cloud
下圖使用混合式輻射狀結構搭配路由器機器 VM,將兩個 VPC 網路連線至外部網路。Cloud Router VM 在每個 VPC 網路中都有一個網路介面 (NIC)。
如要進一步瞭解這個用途,請參閱「使用第三方機器的站對雲端拓撲」。
管理虛擬私有雲網路之間的連線
下圖採用混合式輻射狀路由器機器 VM,執行專用防火牆或封包檢查軟體,以連線兩個 VPC 網路。
詳情請參閱使用第三方設備的 VPC 對 VPC 拓撲。
透過 Google 網路進行資料移轉 (網站對網站)
資料移轉可透過 Google Cloud 虛擬私有雲網路和混合式輪輻,在外部網路之間提供 IPv4 連線。您可以在多個內部部署網路之間,或傳輸至其他雲端網路。
建立混合型輻條時,您可以為該輻條啟用資料移轉選項。當啟用與同一個中樞連線的混合式輻射點的資料移轉功能時,每個路由器機器 VM、Cloud VPN 通道或 Cloud Interconnect VLAN 連結所學習的動態路徑,都會重新宣傳至與連線至同一個中樞的任何混合式輻射點相關聯的其他 VM、通道或 VLAN 連結。資料傳輸需要所有混合式輻條都參照單一 VPC 網路中的路由器機架 VM、Cloud VPN 通道或 Cloud Interconnect VLAN 連結。
舉例來說,假設您在紐約、雪梨和東京設有資料中心,使用支援的資源將虛擬私有雲網路連結至各個網站後,您可以建立代表各個網路的輻條。完成這項設定後,Network Connectivity Center 會在所有三個網站之間提供完整網狀連線。
如下圖所示,您可以建立依賴 Cloud VPN、Cloud Interconnect 和 Router 設備等連線資源的輪輻。
雖然圖表中未顯示 Cross-Cloud Interconnect,但您也可以使用 Cross-Cloud Interconnect VLAN 連結。
如要進一步瞭解此用途,請參閱「站對站資料移轉功能總覽」。
Network Connectivity Center 注意事項
設定 Network Connectivity Center 前,請先詳閱下列各節。
IP 位址
IP 版本支援功能取決於所用節點類型:
虛擬私有雲輪輻:Network Connectivity Center 支援下列 IP 版本:
IPv4 和 IPv6:用於交換子網路範圍。
您可以設定 VPC 輻射狀網路,只交換 IPv4 子網路範圍、只交換 IPv6 子網路範圍,或同時交換 IPv4 和 IPv6 子網路範圍。
IPv4 位址僅用於交換動態路徑。
混合型輪輻:Network Connectivity Center 僅支援 IPv4。例如:
如果輪輻已啟用站對站資料移轉功能,與輪輻相關聯的資源僅支援 IPv4 流量。這項陳述式適用於所有混合式輪輻類型:路由器設備、VLAN 連結和 VPN 輪輻。
網站到雲端路由器分支機器人僅支援 IPv4 流量。
建立 Router 應用程式 VM 時,VM 的主要內部 IPv4 位址必須是 RFC 1918 位址。
轉送
Network Connectivity Center 混合式輪輻安裝的路徑會視為動態路徑。
如要瞭解動態路徑與其他類型路徑的處理方式,請參閱 VPC 說明文件中的「適用範圍與順序」一節。
| 資源 | 適用的用途 |
|---|---|
| 優先順序 | 所有混合型輻射狀資源都會使用 Cloud Router。如要進一步瞭解 Cloud Router 如何處理已知路徑,以便在虛擬私人雲端網路或 Network Connectivity Center 中建立動態路徑,請參閱 Cloud Router 說明文件中的「已知路徑」。 |
| ASN | 所有與單一輻條相關聯的非 Google 對等互連路由器,在向 Cloud Router 宣告前置字串時,都必須使用相同的 ASN。這一點很重要,因為如果兩個對等端以不同的 ASN 或 AS 路徑宣告相同的前置字串,只有其中一個對等端的 ASN 和 AS 路徑會針對該前置字串重新宣告。不同的輻條必須使用不同的 ASN。也就是說,如果兩個 BGP 工作階段屬於不同的輻條,就必須有不同的 ASN。此外,如果您使用資料移轉功能,請務必依照「網站間資料移轉的 ASN 規定」所述指示指派 ASN。 |
| BGP 工作階段 | 不支援 BGP 社群。 |
使用站對站資料移轉時,路由廣告會有所變更
將 Cloud Interconnect VLAN 連結或 Cloud VPN 通道新增至混合式輪輻時,Network Connectivity Center 會更新 VLAN 連結或 Cloud VPN 通道的對應 BGP 工作階段,以便重新宣傳其他 Cloud Interconnect VLAN 連結或 Cloud VPN 通道 (已連線至啟用網站對網站資料移轉選項的中樞混合式輪輻) 的 BGP 工作階段所學到的前置字串。
其他產品支援
以下各節說明 Network Connectivity Center 如何與其他網路產品和功能搭配運作。
虛擬私有雲輻條和虛擬私有雲網路對等互連
Network Connectivity Center 虛擬私有雲輪輻支援交換下列項目:
- 使用私人位址的有效 IPv4 子網路範圍 (不含私用公開 IPv4 位址)
- IPv6 子網路範圍
- IPv4 動態路徑
虛擬私有雲輪輻不支援交換下列項目:
- 對等互連子網路路徑
- 採用私用公開 IPv4 位址的本機路徑
- 採用 IPv6 位址的本機子網路路徑
虛擬私有雲輪輻不會交換靜態路徑,但虛擬私有雲輪輻可以從位於同一個 Network Connectivity Center 中樞的混合輪輻匯入 Network Connectivity Center IPv4 動態路徑。
如要進一步瞭解 Network Connectivity Center 虛擬私有雲輪輻,請參閱「虛擬私有雲輪輻總覽」。
如要進一步瞭解如何使用 VPC 網路對等互連交換路徑,請參閱 VPC 網路對等互連說明文件中的路徑交換選項。
雖然 Network Connectivity Center 輪輻虛擬私有雲網路不支援交換靜態路徑,但輪輻虛擬私有雲網路仍可透過虛擬私有雲網路對等互連,從其他虛擬私有雲網路匯入靜態路徑和路徑。
此外,VPC 輻射狀網路仍可透過虛擬私有雲網路對等互連,從其他虛擬私有雲網路匯入動態路徑。如果其他虛擬私有雲網路有含下一個躍點 Cloud Interconnect VLAN 連結或 Cloud VPN 通道的動態路徑,且這些路徑連線至內部部署網路,您可以使用 Cloud Router 自訂路徑廣告和 VPC 網路對等互連路徑交換選項,將輻射狀虛擬私有雲網路連線至內部部署網路,如VPC 網路對等互連說明文件中的轉接網路範例所述。
共用虛擬私有雲網路
使用共用 VPC 網路時,您必須在主機專案中建立中樞。這項限制僅適用於混合型輻條。
建議您將 networkconnectivity.googleapis.com/spokeAdmin 角色指派給服務專案的管理員。如要進一步瞭解這個角色和其他 Network Connectivity Center 角色,請參閱「角色和權限」。
舊版網路
輻射狀資源無法加入舊版網路。
VPN 通道
不支援傳統版 VPN 通道。
資料移轉
如果您使用資料移轉功能,請參閱站對站資料移轉總覽中的「注意事項」一節。
服務水準協議
如要瞭解 Network Connectivity Center 服務水準協議,請參閱 Network Connectivity Center 服務水準協議 (SLA)。
定價
如需定價資訊,請參閱 Network Connectivity Center 定價。
後續步驟
- 如要瞭解如何管理中樞和輪輻,請參閱「使用中樞和輪輻」。
- 如要瞭解如何使用 Cloud VPN 輪輻,請參閱「使用 Cloud VPN 輪輻連結兩個網站」。
- 如要取得與 Network Connectivity Center 整合的解決方案合作夥伴清單,請參閱「Network Connectivity Center 合作夥伴」。
- 如要查看 Network Connectivity Center 配額和限制,請參閱「配額與限制」一文。