本文档介绍了 Network Connectivity Center 如何在 VPC spoke 中支持静态路由。
在阅读本页面之前,请确保您熟悉以下资源:
简介
与子网路由和动态路由不同,Network Connectivity Center hub 不会交换静态路由。相反,hub 可为每个 VPC spoke 中创建的静态路由提供额外的配置灵活性。
如果满足以下所有条件,一个 VPC spoke 中的静态路由可以使用另一个 VPC spoke 中的下一个跃点:
- 静态路由未使用网络标记。
- 静态路由的目标范围是 IPv4 范围。
- 静态路由的指定下一个跃点是内部直通式网络负载均衡器的 IPv4 地址。
- Google Cloud 能够在指定下一个跃点 IP 地址处识别下一个跃点内部直通式网络负载均衡器。
- 已满足 Network Connectivity Center 连接要求。
静态路由的额外配置灵活性仅适用于 VPC spoke,而不适用于纯路由 VPC 网络(仅包含混合 spoke)。
如需了解与其他类型的静态路由下一个跃点的比较,请参阅下一个跃点项目和网络。
识别下一个跃点内部直通式网络负载均衡器
Google Cloud 尝试使用以下流程为具有下一个跃点内部直通式网络负载均衡器 IP 地址的静态路由查找内部直通式网络负载均衡器:
如果下一个跃点 IP 地址位于本地子网路由的目标范围内: Google Cloud 专门搜索转发规则 IP 地址位于相应本地子网中的内部直通式网络负载均衡器。如果找到下一个跃点内部直通式网络负载均衡器,则静态路由和下一个跃点都位于同一 VPC 网络中。
如果下一个跃点 IP 地址位于 Network Connectivity Center 子网路由(从 hub 导入)的目标范围内: Google Cloud 专门搜索转发规则 IP 地址位于另一个 VPC spoke 的相应子网中的内部直通式网络负载均衡器。如果找到下一个跃点内部直通式网络负载均衡器,则静态路由位于一个 VPC spoke 中,而下一个跃点位于另一个 VPC spoke 中。
如需详细了解如何查找另一个 VPC spoke 中的内部直通式网络负载均衡器,请参阅 Network Connectivity Center 连接要求。
如果您想使用路由 VPC 网络(包含混合 spoke)中的下一个跃点内部直通式网络负载均衡器,则必须将相应路由 VPC 网络作为 VPC spoke 添加到 hub。如需了解与将路由 VPC 网络用作 VPC spoke 相关的更多限制,请参阅动态路由交换的限制。
如果下一个跃点 IP 地址位于对等互连子网路由(从使用 VPC 网络对等互连的另一个网络导入)的目标范围内:Google Cloud 专门搜索转发规则 IP 地址位于对等互连 VPC 网络的相应子网中的内部直通式网络负载均衡器。如果找到下一个跃点内部直通式网络负载均衡器,则静态路由位于一个 VPC 网络中,而下一个跃点位于对等互连 VPC 网络中。
如果找不到下一个跃点内部直通式网络负载均衡器,则发送到静态路由的目标范围的数据包会被丢弃。
对下一个跃点内部直通式网络负载均衡器的更新
Google Cloud 会持续尝试识别下一个跃点内部直通式网络负载均衡器。在以下示例情况中,系统会自动更新静态路由的下一个跃点。
替换下一个跃点内部直通式网络负载均衡器:当静态路由的下一个跃点是内部直通式网络负载均衡器的 IP 地址时,您可以删除下一个跃点内部直通式网络负载均衡器,而无需先删除静态路由。如果 Google Cloud 找到具有相同 IP 地址的替换内部直通式网络负载均衡器, Google Cloud 会切换到替换内部直通式网络负载均衡器下一个跃点。
没有有效下一个跃点内部直通式网络负载均衡器的现有静态路由可以变为可运行状态:当找到有效的下一个跃点内部直通式网络负载均衡器时, Google Cloud开始使用该内部直通式网络负载均衡器下一个跃点。
调整 Network Connectivity Center 配置:将 VPC spoke 移至其他 spoke 群组或调整导出过滤条件可能会导致再也找不到某个下一个跃点内部直通式网络负载均衡器,或者找到并使用其他下一个跃点内部直通式网络负载均衡器。
Network Connectivity Center 连接要求
如需在另一个 VPC spoke 中查找下一个跃点内部直通式网络负载均衡器,内部直通式网络负载均衡器转发规则使用的子网必须可在定义静态路由的 VPC spoke 中访问。必须同时满足以下两个条件:
hub 拓扑必须允许交换包含下一个跃点内部直通式网络负载均衡器的子网路由。
如果您使用网状拓扑,则所有 VPC spoke 都属于同一 spoke 群组。静态路由可以存在于任何 VPC spoke 中,其下一个跃点内部直通式网络负载均衡器也可以存在于任何 VPC spoke 中。
如果您使用星形拓扑,则必须满足以下要求:
如果静态路由位于边缘 spoke 群组的一个 VPC spoke 中,则下一个跃点内部直通式网络负载均衡器可以位于该边缘 VPC spoke 中,也可以位于中心 spoke 群组的任何 VPC spoke 中。下一个跃点不能位于边缘 spoke 群组的其他 VPC spoke 中。
如果静态路由位于中心 spoke 群组的一个 VPC spoke 中,则其下一个跃点内部直通式网络负载均衡器可以位于任何 VPC spoke 中(边缘 spoke 群组或中心 spoke 群组中)。
内部直通式网络负载均衡器转发规则使用的子网范围必须导出到 hub。如需了解详情,请参阅使用导出过滤条件的 VPC 连接。
全球访问权限的影响
未启用全球访问权限的下一个跃点内部直通式网络负载均衡器无法从负载均衡器所在区域以外的区域访问。如果 Google Cloud 在指定下一个跃点 IP 地址处识别出下一个跃点负载均衡器,并且满足 Network Connectivity Center 连接要求,但该负载均衡器未启用全球访问权限,则 Google Cloud 会丢弃从与负载均衡器区域不同的区域中的虚拟机实例、VLAN 连接和 Cloud VPN 隧道发送的所有数据包。
如需更改此行为并使下一个跃点负载均衡器可从所有区域访问,请启用全球访问权限。