虛擬私有雲輪輻
Network Connectivity Center 支援虛擬私有雲輪輻,可大規模提供虛擬私有雲網路間的連線。透過 VPC 輪輻和集中式連線管理模型,VPC 輪輻可降低管理個別成對 VPC 網路對等互連連線的作業複雜度。虛擬私有雲輪輻可以匯出及匯入 Network Connectivity Center 中樞上其他輪輻虛擬私有雲的所有子網路路徑。這樣做可確保所有這些虛擬私有雲網路中的所有工作負載都能完全連線。虛擬私有雲網路之間的流量會留在 Google Cloud 網路內,不會透過網際網路傳輸,有助於確保隱私權和安全性。
虛擬私有雲輪輻可以與網路連線中心中樞位於相同專案和機構,也可以位於不同專案和機構。虛擬私有雲輪輻一次只能連線至一個中樞。
如要瞭解如何建立虛擬私有雲輪輻,請參閱「建立虛擬私有雲輪輻」。
與虛擬私有雲網路對等互連的比較
虛擬私有雲支點提供 IPv4 和 IPv6 子網路路徑連線,以及使用混合型支點的 IPv4 動態路徑連線,可滿足中型至大型企業的需求。
虛擬私有雲網路可以同時做為 Network Connectivity Center 虛擬私有雲輪輻,並使用虛擬私有雲網路對等互連連線至另一個虛擬私有雲網路,前提是該對等互連的虛擬私有雲網路本身不是虛擬私有雲輪輻。
使用 Network Connectivity Center VPC 輪輻和 VPC 網路對等互連時,請注意下列事項:
VPC 輪輻中的對等互連子網路路徑不會匯出至中樞。
Network Connectivity Center 不會為透過虛擬私有雲網路對等互連連線至一個虛擬私有雲輪輻的虛擬私有雲網路中的資源提供連線,但下列情況除外:
- 您可以將私人服務存取權的對等互連服務生產端虛擬私有雲網路,新增為生產端虛擬私有雲輪輻。
| 功能 | 虛擬私有雲網路對等互連 | 虛擬私有雲輪輻 |
|---|---|---|
| 虛擬私有雲網路 | ||
| 子網路範圍 (子網路路徑) |
每個路徑資料表的子網路路徑 |
|
| 靜態和動態路徑 |
不支援靜態路由交換。 |
|
| 匯出篩選器 |
不支援特定篩選器;請參閱虛擬私有雲網路對等互連說明文件中的「路徑交換選項」。 |
每個 VPC 支點最多支援 16 個 CIDR 範圍。 |
| Inter-VPC NAT |
不支援 |
支援 |
| Private Service Connect 連線傳播 |
不支援 |
支援 |
| 從其他虛擬私有雲網路連線至供應商虛擬私有雲輪輻 |
不支援 |
支援 |
| IP 位址 |
內部 IPv4 位址,包括私人 IPv4 位址和私用公開 IPv4 位址。請參閱「有效的 IPv4 範圍」。 內部和外部 IPv6 位址。 |
僅限私有內部 IPv4 位址,不包括私用公開 IPv4 位址。請參閱「有效的 IPv4 範圍」。 內部和外部 IPv6 位址。 |
| IP 位址系列 |
支援的設定:
|
支援的設定:
|
| 效能和輸送量 (與其他 VPC 連線機制相比) |
延遲時間最短、處理量最高 (相當於 VM-VM)。 |
延遲時間最短、處理量最高 (相當於 VM-VM)。 |
與中樞位於不同專案的虛擬私有雲輪輻
使用 Network Connectivity Center 時,您可以將以虛擬私有雲輪輻表示的虛擬私有雲網路,附加至不同專案 (包括不同機構中的專案) 的單一中樞。因此您可以大規模地將多個專案和機構的虛擬私有雲網路連線在一起。
您可能是下列任一類型的使用者:
- 在一個專案中擁有中心的中心管理員
- 虛擬私有雲網路輪輻管理員或網路管理員,想將其他專案中的虛擬私有雲網路新增為中樞的輪輻
中樞管理員可使用 Identity and Access Management (IAM) 權限,控管哪些使用者可以在與中樞相關聯的其他專案中建立虛擬私有雲端 Spoke。虛擬私有雲網路輪輻管理員會在與中樞不同的專案中建立輪輻。這些子雲端在建立時處於非使用中狀態。中心管理員必須審查這些要求,並接受或拒絕分支。如果中樞管理員接受輪輻,輪輻就會啟用。
Network Connectivity Center 一律會自動接受與中樞位於同一專案中建立的輪輻。
如要詳細瞭解如何管理中樞,以及中樞所在專案以外的虛擬私有雲端網路支點,請參閱「中樞管理總覽」。如需為子網管理員提供的詳細資訊,請參閱「子網管理總覽」。
透過 VPC Service Controls 與 Spoke 互動
Network Connectivity Center 支援虛擬私有雲服務控制項,可跨專案和機構使用。如果輪輻與中樞位於不同專案,新增 VPC Service Controls 範圍後,您就無法新增違反範圍的輪輻。不過,在新增 VPC Service Controls 範圍前加入的現有輪輻,仍可繼續運作。
虛擬私有雲連線 (含匯出篩選器)
透過 Network Connectivity Center,您可以將所有輪輻虛擬私有雲網路的連線限制為輪輻虛擬私有雲中的部分子網路。你可以按照下列方式限制連線:
- 您可以將輪輻設為公告所有子網路範圍,或不公告任何子網路範圍。
- 您可以變更匯出的子網路位址範圍 (預覽)。
- 您可以指定位址範圍,防止系統通告這些位址,並建立可從 VPC 網路通告的 CIDR 範圍清單。或者,您也可以只指定允許的 CIDR 範圍清單,藉此封鎖允許範圍以外的所有範圍。
您可以使用匯出篩選器,將 VPC 輪輻設為只交換 IPv4 子網路範圍、只交換 IPv6 子網路範圍,或同時交換 IPv4 和 IPv6 子網路範圍。假設某個節點的虛擬私有雲網路混合使用子網路堆疊類型。如果您將輻射網路設為只匯出 IPv6 子網路範圍,系統就會交換雙重堆疊和僅支援 IPv6 子網路的 IPv6 範圍,但不會交換僅支援 IPv4 和雙重堆疊子網路的 IPv4 子網路範圍。
排除匯出範圍
如要避免宣傳某個 IP 位址範圍,請使用 Google Cloud CLI 中的 --exclude-export-ranges 旗標或 API 中的 excludeExportRanges 欄位。凡是符合指定範圍的 IP 位址範圍,都不會匯出至中樞。如果您有需要在虛擬私有雲網路中保持私密的子網路,或是可能與中心路徑表中的其他子網路重疊,這項篩選功能就非常實用。
納入匯出範圍
您可以使用 --include-export-ranges 旗標或 API 中的 includeExportRanges 欄位,建立允許從 VPC 支點放送廣告的 IP 位址範圍。您可以指定下列項目:
- 如要通告所有 IPv4 子網路範圍,可以指定
ALL_PRIVATE_IPV4_RANGES。 - 如要只通告特定子網路範圍,可以指定 CIDR 範圍清單。
- 如要通告所有 IPv6 子網路範圍,可以指定
ALL_IPV6_RANGES。
同時使用匯出排除篩選器和匯出包含篩選器,建立更精確的連線。這項篩選作業會決定是否可從 VPC 網路宣傳特定子網路範圍。
注意事項
使用排除和納入匯出範圍篩選器時,請注意下列事項:
納入範圍不得重疊,也就是說,納入範圍必須互斥。舉例來說,假設有三個 IPv4 位址範圍:
範圍 1:10.100.64.0/18
範圍 2:10.100.250.0/21
範圍 3:10.100.100.0/22
範圍 1 和範圍 2 是有效的包含範圍,因為這兩個範圍不會重疊。不過,範圍 3 包含在範圍 1 內,因此範圍 3 無效。
如果您使用 IPv6,假設您有下列三個 IPv6 位址範圍:
範圍 1:2001:db8::/32
範圍 2:2001:db9::/32
範圍 3:2001:db8:1000::/48
範圍 1 和範圍 2 是有效的包含範圍,因為這兩個範圍不會重疊。不過,範圍 3 包含在範圍 1 內,因此範圍 3 無效。
由於 Network Connectivity Center 已在網路設定政策中提供排除匯出篩選器,因此納入和排除匯出篩選器都會影響有效的網路設定 CIDR 範圍。同時使用納入和排除匯出篩選器時,納入的 IP 位址範圍必須是排除的 IP 位址範圍的超集。
建立虛擬私有雲 Spoke 時,如果未指定「包含」篩選器,網路連線中心會將預設包含範圍設為有效 IPv4 範圍中定義的所有有效私人 IPv4 位址。
如要縮小納入範圍,可以新增多個排除範圍。舉例來說,如果您指定 10.1.0.0/16 為納入範圍,並指定 10.1.100.0/24 和 10.1.200.0/24 為排除範圍,則結果會是結合納入和排除篩選器的精確連線。這個範圍包括 10.1.0.0/24 到 10.1.99.0/24、10.1.101.0/24 到 10.1.199.0/24,以及 10.1.201.0/24 到 10.1.255.0/24 的所有內容。
現有子網路範圍仍會照常運作。建立新的子網路範圍時,如果與納入和排除範圍重疊,就會發生錯誤。
無效的新子網路範圍範例
下列範例顯示無效的子網路範圍:
與排除範圍重疊
在本例中,下列包含範圍包含子網路範圍 4,這是排除範圍 4 的超集。這表示子網路範圍 4 無效。
包含範圍:10.0.0.0/8
排除範圍 4:10.1.1.0/24
子網路範圍 4:10.1.0.0/16
與納入範圍重疊
子網路範圍 5 與納入範圍重疊,因此無效。
包含範圍:10.1.1.0/24
子網路範圍 5:10.1.0.0/16
在子網路建立過程中輸入無效的子網路範圍時,您會收到
Invalid IPCidrRange錯誤,類似於下列訊息:Invalid IPCidrRange: CIDR_RANGE conflicts with existing subnetwork SUBNET_RANGE in region REGION
預設拓撲
您可以使用 Network Connectivity Center,在所有 VPC 輪輻中指定所需的連線設定。您可以選擇下列兩種預設拓撲之一:
如要進一步瞭解連線拓撲,請參閱「預設連線拓撲」。
如要進一步瞭解如何為虛擬私有雲端子網設定網狀或星狀拓撲,請參閱「設定中樞」。
限制
本節說明虛擬私有雲支點的一般限制,以及支點連結至不同專案中的中樞時的限制。這些限制也適用於供應商 VPC 輪輻。
虛擬私有雲輪輻的限制
- 虛擬私有雲網路可透過 Network Connectivity Center 中樞或虛擬私有雲網路對等互連,以專屬方式相互連線。
- 您無法在連線至相同 Network Connectivity Center 中樞的兩個虛擬私有雲輪輻之間,使用虛擬私有雲網路對等互連。不過,請注意下列事項:
- 供應商虛擬私有雲輪輻必須與同一個中樞上的虛擬私有雲輪輻建立對等互連連線。生產端虛擬私有雲輪輻與對等互連的虛擬私有雲輪輻之間,無法透過 Network Connectivity Center 建立連線。
- 您可以透過 VPC 網路對等互連,將 Network Connectivity Center 連線的 VPC 輪輻與另一個不屬於 Network Connectivity Center 的 VPC 建立對等互連。
- 透過 Network Connectivity Center 和 VPC 網路對等互連以任何組合連線的 VPC,都不具遞移性。
- 不支援跨虛擬私有雲支點交換靜態路徑。
- 系統不支援指向其他虛擬私有雲支點中內部直通網路負載平衡器虛擬 IP 位址的路徑。
- VPC 輪輻之間無法連線至以 IPv6 為基礎的內部直通式網路負載平衡器。
- 不支援 IPv6 動態路徑交換。
- 自動模式虛擬私有雲網路不支援做為虛擬私有雲網路輪輻。您可以從自動模式切換為自訂虛擬私有雲網路,手動定義虛擬私有雲網路中各個區域的子網路前置字串。更新後,這項操作即無法復原。
動態路徑交換的限制
僅限 IPv4:Network Connectivity Center 只支援交換 IPv4 動態路由。系統不支援交換 IPv6 動態路徑。
混合式輪輻與星狀拓撲的相容性:設定為使用星狀拓撲的中樞會對混合式輪輻強制執行下列限制:
- 啟用站對站資料移轉功能的混合輪輻僅支援中心輪輻群組。
- 如果混合式支點未啟用網站對網站資料轉移功能,則可位於中心支點群組或邊緣支點群組。
同時也是虛擬私有雲輪輻的虛擬私有雲網路路由: 只有在所有路由虛擬私有雲網路並非虛擬私有雲輪輻時,Network Connectivity Center 才支援在同一個中樞上使用兩個以上的路由虛擬私有雲網路。如果 Network Connectivity Center 中樞只有一個轉送虛擬私有雲網路,該轉送虛擬私有雲網路也可以是虛擬私有雲輪輻:
如要透過中樞的混合式輪輻,讓傳播的 Private Service Connect 連線可供內部部署網路使用,中樞的單一路由虛擬私有雲網路也必須以虛擬私有雲輪輻的形式連線。
如果您不需要透過中樞的混合式輪輻,讓內部部署網路使用傳播的 Private Service Connect 連線,建議不要將路由虛擬私有雲網路設定為虛擬私有雲輪輻,這樣中樞就能支援兩個以上的路由虛擬私有雲網路。
動態路徑互動規則:在轉送虛擬私有雲網路中,針對每個具有混合式 Spoke 中下一個躍點的不重複動態路徑目的地,您必須確保所有其他動態路徑 (無論優先順序為何) 的目的地完全相符或符合不重複動態路徑目的地,且下一個躍點 Cloud VPN 通道或 VLAN 附件也位於混合式 Spoke 中。此外,您必須確保這些混合式 Spoke 使用相同的站對站資料轉移設定 (啟用或停用)。
如果具有共同目的地的動態路徑只有部分下一個躍點位於混合式輻射網路,Network Connectivity Center 就無法與中心上的虛擬私有雲輻射網路,可靠地交換使用該目的地的動態路徑。因此,VPC 輪輻可能不會收到這些動態路由。
如果部分混合式輪輻已啟用網站間資料移轉,但其他混合式輪輻已停用網站間資料移轉,Network Connectivity Center 就不會在混合式輪輻動態路徑的所有下一個躍點之間執行 ECMP。如果動態路徑具有共同目的地,且位於混合式輪輻中,但沒有相符的網站對網站資料移轉設定,則網站對網站資料移轉或 VPC 輪輻與內部部署網路之間連線的下一個躍點,可能不是您預期的躍點。
動態路徑和靜態路徑互動規則:在轉送 VPC 網路中,針對每個具有混合式 Spoke 中下一個躍點的專屬動態路徑目的地,您必須確保不存在任何目的地與動態路徑目的地完全相符或位於其中的本機靜態路徑 (無論優先順序為何)。
如果轉送 VPC 網路中的本機靜態路徑與混合式輪輻動態路徑的目的地相同,VPC 輪輻可能會失去與動態路徑目的地的連線。
如果轉送 VPC 網路中的本機靜態路徑,其目的地符合混合式輪輻動態路徑的目的地,VPC 輪輻就會失去與靜態路徑目的地的連線。
刪除 VPC 輪輻後的等待期
如要為附加至不同中樞的相同虛擬私有雲網路建立新的輪輻,您必須等待至少 10 分鐘的冷卻期。如果沒有足夠的冷卻時間,新設定可能不會生效。如果將虛擬私有雲網路新增為同一個中樞的輪輻,就不需要這段冷卻期。
配額與限制
使用動態路徑交換時,請仔細監控每個中樞的動態路徑數量。這項配額只會計算目的地 (前置字元) 的用量,不會考量動態路徑的優先順序或下一個躍點。如果用量超過配額限制,Network Connectivity Center 會依目的地捨棄路徑。如果目的地遭到捨棄,則所有具有該目的地的動態路徑 (無論優先順序或下一個躍點為何) 都不會再傳送至中樞。
如需配額詳細資訊,請參閱「配額與限制」。
帳單
輪輻時數
系統會向 Spoke 資源所在的專案收取 Spoke 時數費用,並採用標準 Spoke 時數價格。只有在輻輪處於 ACTIVE 狀態時,才會收取輻輪時數費用。
傳出流量
輸出流量費用會計入流量來源的 spoke 資源專案。無論流量是否跨越專案界線,價格都相同。
服務水準協議
如要瞭解 Network Connectivity Center 服務水準協議,請參閱 Network Connectivity Center 服務水準協議 (SLA)。
定價
如需定價資訊,請參閱 Network Connectivity Center 定價。
後續步驟
- 如要建立中樞和輪輻,請參閱「與中樞和輪輻搭配使用」。
- 如要查看解決方案已整合 Network Connectivity Center 的合作夥伴清單,請參閱「Network Connectivity Center 合作夥伴」。
- 如要尋找常見問題的解決方案,請參閱疑難排解。
- 如要瞭解 API 和
gcloud指令的詳細資料,請參閱「API 和參考資料」。