虛擬私有雲網路對等互連

Google Cloud VPC 網路對等互連可連結兩個虛擬私有雲 (VPC) 網路，讓每個網路中的資源可以相互通訊。對等互連的虛擬私有雲網路可以位於相同專案、相同機構的不同專案，或不同機構的不同專案。

規格

虛擬私有雲網路對等互連可讓您執行下列操作：

• 在虛擬私有雲網路之間發布軟體即服務 (SaaS) 產品。
• 虛擬私有雲網路對等互連支援 Compute Engine、GKE 和 App Engine 彈性環境。
  • 虛擬私人雲端網路對等互連會交換子網路路由，支援虛擬私人雲端原生 GKE 叢集。
  • 如果設定為交換靜態路徑，VPC 網路對等互連支援以路徑為基礎的 GKE 叢集。

連線能力

• 虛擬私有雲網路對等互連支援連線 VPC 網路，但不支援舊版網路。
• 虛擬私有雲網路對等互連可讓成對的虛擬私有雲網路之間，透過內部 IPv4 和 IPv6 建立連線。對等互連流量 (對等互連網路之間的流量) 的延遲時間、總處理量和可用性與同一個 VPC 網路內的流量相同。
  • 虛擬私有雲網路對等互連不提供遞移路徑。舉例來說，如果 VPC 網路 net-a 和 net-b 是透過 VPC 網路對等互連連線，且 VPC 網路 net-a 和 net-c 也是透過 VPC 網路對等互連連線，則 VPC 網路對等互連不會在 net-b 和 net-c 之間提供連線。
  • 您無法使用虛擬私有雲網路對等互連連線兩個自動模式虛擬私有雲網路。這是因為對等互連的虛擬私有雲網路一律會交換使用私人內部 IPv4 位址的子網路路徑，且自動模式虛擬私有雲網路中的每個子網路，都會使用符合 10.128.0.0/9 CIDR 區塊的子網路 IP 位址範圍。
  • 只要自訂模式虛擬私有雲網路沒有任何子網路 IP 位址範圍符合 10.128.0.0/9，您就可以將自訂模式虛擬私有雲網路連線至自動模式虛擬私有雲網路。
• 虛擬私有雲網路對等互連也會在虛擬私有雲網路對等互連交換前往這些目的地外部 IPv6 位址的路徑時，為下列資源的目的地外部 IPv6 位址範圍提供特定外部 IPv6 連線：
  • 雙堆疊和僅限 IPv6 (預先發布版) 虛擬機器 (VM) 執行個體網路介面
  • 外部通訊協定轉送作業的轉送規則
  • 外部直通式網路負載平衡器的轉送規則
• 虛擬私有雲網路對等互連支援 IPv4 和 IPv6 連線。您可以在包含 IPv6 位址範圍子網路的虛擬私有雲網路上，設定虛擬私有雲網路對等互連。

管理

• 對等虛擬私人雲端網路在管理方面維持獨立運作。系統只會根據對等互連設定交換路徑。
• 如要建立對等互連連線，每個 VPC 網路的網路管理員都必須建立與其他 VPC 網路的對等互連連線。根據預設，任一虛擬私有雲網路的網路管理員都可以中斷對等互連連線；您可以在「建立」或「更新」連線時變更這項行為。
• 對接關聯的每一側均為獨立設定。只有在兩端的設定互相符合時，對等互連才會生效。任一側皆可隨時選擇刪除對等互連關聯；您可以在建立或更新連線時變更這項行為。
• 建立對等互連連線不會授予您其他虛擬私有雲網路的任何 Identity and Access Management (IAM) 角色。舉例來說，如果您擁有某個網路的 Compute 網路管理員角色或 Compute 安全管理員角色，您不會成為其他網路的網路管理員或安全管理員。

IAM 權限

• 建立和刪除虛擬私有雲網路對等互連的身分與存取權管理權限為運算網路管理員角色 (roles/compute.networkAdmin) 的一部分。
• 如果自訂角色包含下列權限，即可使用：
  • compute.networks.addPeering
  • compute.networks.updatePeering
  • compute.networks.removePeering
  • compute.networks.listPeeringRoutes

網路安全

透過 VPC 網路對等互連方式連線的 VPC 網路，只會根據每個 VPC 網路的網路管理員設定的路徑交換選項交換路徑。

虛擬私有雲網路對等互連不會交換虛擬私有雲防火牆規則或防火牆政策。

虛擬私有雲防火牆規則：

• 如果防火牆規則的目標是使用網路標記定義，則只會解析為防火牆規則 VPC 網路中的執行個體。即使對等互連 VPC 網路的安全管理員可以使用相同的網路標記，在對等互連 VPC 網路中定義防火牆規則的目標，但對等互連 VPC 網路中的防火牆規則目標，不會包含您 VPC 網路中的執行個體。同樣地，如果輸入防火牆規則的來源是使用網路標記定義，則只會解析為防火牆規則 VPC 網路中的執行個體。

• 如果防火牆規則的目標是使用服務帳戶定義，則只會解析為防火牆規則虛擬私有雲網路中的執行個體。視 IAM 權限而定，對等互連 VPC 網路的安全管理員或許能使用同一個服務帳戶，在對等互連 VPC 網路中定義防火牆規則的目標，但對等互連 VPC 網路中的防火牆規則目標不包含您 VPC 網路中的執行個體。同樣地，來源是使用服務帳戶定義的輸入防火牆規則，只會解析為防火牆規則虛擬私有雲網路中的執行個體。

網路防火牆政策中的規則可以使用安全標記 (與網路標記不同) 來識別目標和來源：

• 在網路防火牆政策中，標記可用來指定輸入或輸出規則的目標，但只能識別標記範圍內的 VPC 網路目標。

• 在網路防火牆政策中，標記可用於指定輸入規則的來源，識別標記範圍內的 VPC 網路和任何與標記範圍內 VPC 網路連線的對等互連 VPC 網路中的來源。詳情請參閱「防火牆的標記」。

每個虛擬私有雲網路都包含默示防火牆規則。由於隱含拒絕輸入的防火牆規則，每個虛擬私有雲網路的安全管理員必須建立允許輸入的防火牆規則或防火牆政策規則。這些規則的來源可以包括對等互連虛擬私有雲網路的 IP 位址範圍。

由於有默示允許輸出防火牆規則，因此您不需要建立輸出允許防火牆規則或防火牆政策中的規則，即可允許封包前往對等互連虛擬私有雲網路中的目的地，除非您的網路包含輸出拒絕規則。

DNS 支援

對等互連的虛擬私有雲網路中的資源，無法使用本機虛擬私有雲網路建立的 Compute Engine 內部 DNS 名稱。

對等互連的虛擬私有雲網路無法使用僅授權給本機虛擬私有雲網路的 Cloud DNS 代管不公開區域。如要讓對等互連 VPC 網路中的資源使用 DNS 名稱，請採用下列其中一種做法：

• 使用 Cloud DNS 對等互連區域。
• 授權 (顯示) 同一個代管不公開區域給所有對等互連的虛擬私人雲端網路。

支援內部負載平衡器

本機 VPC 網路中的用戶端可以存取對等互連 VPC 網路中的內部負載平衡器。詳情請參閱下列負載平衡器說明文件的「使用虛擬私有雲網路對等互連」一節：

• 內部直通式網路負載平衡器和連線網路
• 內部 Proxy 網路負載平衡器和連線網路
• 內部應用程式負載平衡器和連線網路

對等互連網路可以交換使用內部直通式網路負載平衡器做為下一個躍點的靜態路徑。詳情請參閱「路徑交換選項」。

對等互連群組和配額

虛擬私有雲對等互連配額取決於「對等互連群組」的概念。每個 VPC 網路都有自己的對等互連群組，其中包含該網路本身，以及透過 VPC 網路對等互連方式連線的所有其他 VPC 網路。在最簡單的情況下，如果兩個 VPC 網路 (net-a 和 net-b) 彼此對等互連，則會有兩個對等互連群組：一個從 net-a 的角度來看，另一個從 net-b 的角度來看。

如要進一步瞭解虛擬私有雲網路對等互連配額，請參閱：

• 每個聯播網的配額
• 每個對等互連群組的有效配額限制

限制

VPC 網路對等互連有下列限制。

子網路 IP 範圍不得跨對等 VPC 網路重疊

在對等 VPC 網路中，沒有子網路 IP 範圍能與另一個子網路 IP 範圍完全相符、包含或符合。進行對等互連時，Google Cloud 會檢查是否有 IP 範圍重疊的子網路，如有，對等互連就會失敗。如果是已對等的網路，當您執行會建立新子網路路徑的動作時，Google Cloud 新子網路路徑必須具有專屬的目的地 IP 位址範圍。

建立新的子網路之前，您可以先列出來自對等互連連線的路徑，確保新的子網路 IPv4 位址範圍尚未遭使用。

這項限制和 Google Cloud的相應檢查也適用於下列情況：

• 您的虛擬私有雲網路 network-1 與第二個虛擬私有雲網路 network-2 建立對等互連。
• network-2 也與第三個虛擬私有雲網路 network-3 對等互連。
• network-3 未與 network-1 對等互連。

在這種情況下，您必須與網路管理員協調，才能network-2。請網路管理員在虛擬私有雲網路中network-2列出對等互連路徑。

如要進一步瞭解重疊檢查，請參閱「子網路和對等互連子網路路由互動」。

內部 DNS 名稱無法在對等互連網路中解析

對等互連網路無法存取在網路中建立的 Compute Engine 內部 DNS 名稱。如要連線到對等互連網路中的 VM 執行個體，請使用 VM 的 IP 位址。

標記和服務帳戶無法跨對等網路使用

您無法在其他對等互連網路的防火牆規則中，參照某個對等互連網路中 VM 的標記或服務帳戶。舉例來說，如果某個對等互連網路的輸入規則會根據標記篩選來源，則該規則只會套用至源自該網路的 VM 流量，而不會套用至對等互連網路，即使對等互連網路中的 VM 具有該標記也一樣。服務帳戶也適用於這種情況。

路徑交換選項

虛擬私有雲端網路與對等互連的虛擬私有雲端網路共用本機路徑時，會匯出路徑。對等互連的虛擬私有雲網路隨後可以匯入這些路徑。系統一律會交換子網路路徑，但使用私用公開 IPv4 位址的 IPv4 子網路路徑除外。

虛擬私有雲網路對等互連設定可讓您控管下列項目：

• 如果交換 IPv6 路徑，設定雙重堆疊對等互連連線後，您就能交換雙重堆疊和僅限 IPv6 (預先發布) 子網路的 IPv6 路徑。
• 如果匯出或匯入採用私用公開 IPv4 位址的子網路路徑。
• 是否匯出或匯入靜態和動態路徑。

您可以在對等互連建立前或對等互連連線啟用時更新設定。

虛擬私有雲網路對接不提供：

• 可精細控管特定子網路路徑、靜態路徑和動態路徑的交換作業。
• 支援交換策略路徑。

交換子網路路徑的選項

下表說明子網路路徑的路徑交換選項：

路徑類型	路線匯出條件	路線匯入條件
使用私有 IPv4 位址範圍的 IPv4 子網路路徑 (主要和次要 IPv4 子網路範圍)	一律匯出 無法停用	一律匯入 無法停用
使用私用公開 IPv4 位址範圍的 IPv4 子網路路徑 (主要和次要 IPv4 子網路範圍)	預設匯出 使用 --export-subnet-routes-with-public-ip 旗標控制匯出作業	預設不會匯入 匯入作業是使用 --import-subnet-routes-with-public-ip 標記控制
內部 IPv6 子網路範圍 (ipv6-access-type=INTERNAL)	預設不會匯出 如要啟用匯出功能，請設定 --stack-type=IPV4_IPV6	預設不會匯入 如要啟用匯入功能，請設定 --stack-type=IPV4_IPV6
外部 IPv6 子網路範圍 (ipv6-access-type=EXTERNAL)	預設不會匯出 如要啟用匯出功能，請設定 --stack-type=IPV4_IPV6	預設不會匯入 設定 --stack-type=IPV4_IPV6 即可啟用匯入功能

交換靜態路線的選項

下表說明靜態路線的路線交換選項。

路徑類型	路線匯出條件	路線匯入條件
具有網路標記的靜態路徑 (所有下一個躍點類型)	無法匯出	無法匯入
使用預設網際網路閘道下一個躍點的靜態路徑	無法匯出	無法匯入
IPv4 靜態路徑 (不含網路標記)，使用與預設網際網路閘道不同的下一個躍點	預設不會匯出 使用 --export-custom-routes 旗標控制匯出作業	預設不會匯入 使用 --import-custom-routes 標記控制匯入作業
使用 VM 執行個體做為下一個躍點的 IPv6 靜態路徑 (不含網路標記)	預設不會匯出 如果對等互連的堆疊類型設為 --stack-type=IPV4_IPV6，則匯出作業會由 --export-custom-routes 旗標控制	預設不會匯入 如果對等互連的堆疊類型設為 --stack-type=IPV4_IPV6，則匯入作業會使用 --import-custom-routes 標記控制

交換動態路徑的選項

下表說明動態路線的路線交換選項。

路徑類型	路線匯出條件	路線匯入條件
動態 IPv4 路徑	預設不會匯出 使用 --export-custom-routes 旗標控制匯出作業	預設不會匯入 使用 --import-custom-routes 標記控制匯入作業
動態 IPv6 路徑	預設不會匯出 如果對等互連的堆疊類型設為 --stack-type=IPV4_IPV6，則匯出作業會由 --export-custom-routes 旗標控制	預設不會匯入 如果對等互連的堆疊類型設為 --stack-type=IPV4_IPV6，則匯入作業會使用 --import-custom-routes 旗標控制

交換靜態和動態路徑的優點

當一個虛擬私有雲網路匯出靜態和動態路徑，而另一個虛擬私有雲網路匯入這些路徑時，匯入網路可將封包直接傳送至每個匯入靜態或動態路徑的下一個躍點，這些路徑的下一個躍點位於對等互連虛擬私有雲網路中。

本機 VPC 網路的網路管理員可使用 --export-custom-routes 旗標，控管該網路的靜態和動態路徑匯出作業。對等互連虛擬私有雲網路的網路管理員，可使用 --import-custom-routes 旗標控管這些靜態和動態路徑的匯入作業。詳情請參閱「遭忽略的路徑」、「子網路和對等互連子網路路徑互動」和「子網路和靜態路徑互動」。

從對等互連 VPC 網路匯入靜態和動態路徑，在下列情況中會很有用：

• 如果對等互連的虛擬私有雲網路包含以路徑為基礎的 GKE 叢集，且您需要將封包傳送至這些叢集中的 Pod。Pod IP 位址會實作為對等互連虛擬私有雲網路中靜態路徑的目的地範圍。

• 如需在地端部署網路與對等互連的 VPC 網路之間提供連線。假設本機虛擬私有雲網路包含動態路徑，且下一個躍點為 Cloud VPN 通道、Cloud Interconnect 連結 (VLAN) 或連線至內部部署網路的路由器設備。如要提供從對等互連虛擬私有雲端網路到內部部署網路的路徑，本機虛擬私有雲端網路的網路管理員會啟用自訂路徑匯出功能，而對等互連虛擬私有雲端網路的網路管理員則會啟用自訂路徑匯入功能。如要提供從內部部署網路到對等互連虛擬私有雲網路的路徑，本機虛擬私有雲網路的網路管理員必須在 Cloud Router 上設定Cloud Router 自訂通告模式，該 Cloud Router 會管理 Cloud VPN 通道、Cloud Interconnect 連結 (VLAN) 或連線至內部部署網路的路由器設備的 BGP 工作階段。這些自訂通告路徑的內容必須包含對等互連虛擬私有雲網路的子網路 IP 位址範圍。

已忽略的路徑

即使虛擬私有雲網路匯入路徑，在下列情況下仍可忽略匯入的路徑：

• 如果本機 VPC 網路有目的地相同或更明確 (子網路遮罩較長) 的路徑，本機 VPC 網路一律會使用本機路徑。

• 如果本機虛擬私有雲網路不包含封包目的地的最明確路徑，但兩個以上的對等互連虛擬私有雲網路包含封包的相同最明確目的地，Google Cloud 會使用內部演算法，從其中一個對等互連虛擬私有雲網路中選取下一個躍點。這項選取作業會在考量路徑優先順序之前進行，且您無法設定這項行為。建議您避免使用這項設定，因為新增或移除對等互連的 VPC 網路可能會導致轉送順序發生非預期的變更。

如要進一步瞭解上述情況，請參閱轉送順序。

如果是雙重堆疊對等互連，如果匯入 IPv6 路徑的本機 VPC 網路沒有任何雙重堆疊或僅限 IPv6 (搶先版) 子網路，則無法使用從對等互連 VPC 網路接收的任何 IPv6 路徑。此外，如果已設定constraints/compute.disableAllIpv6機構政策限制，網路管理員可能無法建立含有 IPv6 位址範圍的子網路。

子網路和對等互連子網路路徑互動

對等互連虛擬私有雲網路中的 IPv4 子網路路徑不得重疊：

• 對等互連禁止使用相同的 IPv4 子網路路徑。舉例來說，兩個對等互連的 VPC 網路不能同時有目的地為 100.64.0.0/10 的 IPv4 子網路路徑。
• 對等互連會禁止子網路路徑包含在對等互連子網路路徑中。舉例來說，如果本機 VPC 網路有目的地為 100.64.0.0/24 的子網路路徑，則任何對等互連的 VPC 網路都不能有目的地為 100.64.0.0/10 的子網路路徑。

在下列情況下，Google Cloud 會強制執行 IPv4 子網路路徑的上述條件：

• 首次使用 VPC 網路對等互連連線到 VPC 網路時。
• 網路對等互連期間。
• 變更對等互連設定時，例如啟用匯入採用私用公開 IP 位址的子網路 IPv4 路徑。

對等互連網路時，如果下列任何作業導致重疊， Google Cloud 就會傳回錯誤：

• 新增子網路。

• 新增子網路次要 IPv4 位址範圍。

• 擴充子網路主要 IPv4 位址範圍。

IPv6 子網路路徑 (包括內部和外部) 根據定義是獨一無二。兩個虛擬私有雲網路不得使用相同的內部或外部 IPv6 子網路範圍。舉例來說，如果一個 VPC 網路使用 fc:1000:1000:1000::/64 做為 IPv6 子網路範圍，則 Google Cloud 中的其他 VPC 網路都無法使用 fc:1000:1000:1000::/64，無論 VPC 網路是否透過 VPC 網路對等互連建立連線。

子網路和靜態路徑互動

Google Cloud 規定子網路路徑和對等互連子網路路徑必須具有最明確的目的地 IPv4 或 IPv6 範圍。在任何 VPC 網路中，本機靜態路徑的目的地都不能與本機子網路路徑完全相符，或位於本機子網路路徑內。如要進一步瞭解這個情境，請參閱「與靜態路徑的互動」。

以下兩項規則將這個概念延伸至 VPC 網路對等互連：

• 本機靜態路徑的目的地不能與對等互連子網路路徑完全相符，也不能位於該路徑內。如果存在本機靜態路徑，Google Cloud 會強制執行下列事項：

  • 如果對等互連設定會匯入衝突的子網路路徑，您就無法與已包含子網路路徑的 VPC 網路建立新的對等互連連線，因為該子網路路徑與本機靜態路徑的目的地完全相符或包含該目的地。例如：

    • 如果存在目的地為 10.0.0.0/24 的本機靜態路徑，您就無法與含有 IPv4 子網路路徑的 VPC 網路建立新的對等互連連線，因為該路徑的目的地與 10.0.0.0/24 完全相符，或是包含 10.0.0.0/24 (例如 10.0.0.0/8)。

    • 如果預期的對等互連堆疊類型為 IPV4_IPV6，且存在目的地為 2001:0db8:0a0b:0c0d::/96 的本機靜態路徑，您就無法與包含 IPv6 子網路路徑的虛擬私有雲網路建立新的對等互連連線，因為該路徑的目的地完全符合或包含 2001:0db8:0a0b:0c0d::/96。在這種情況下，唯一可能的子網路 IPv6 位址範圍是 2001:0db8:0a0b:0c0d::/64，因為 Google Cloud 中的子網路 IPv6 位址範圍必須使用 64 位元的子網路遮罩長度。

  • 如果更新後的對等互連設定會匯入衝突的子網路路徑，您就無法更新現有的對等互連連線。例如：

    • 假設兩個虛擬私有雲網路已對等互連，但未透過私用公開 IPv4 位址範圍匯出及匯入 IPv4 子網路路徑。第一個虛擬私有雲網路中存在具有 11.0.0.0/24 目的地的本機靜態路徑，且對等互連虛擬私有雲網路中存在具有 11.0.0.0/8 目的地的子網路路徑。您無法同時設定對等互連的虛擬私有雲網路，透過私用公開 IPv4 位址匯出子網路路徑，並設定第一個虛擬私有雲網路，透過私用公開 IPv4 位址匯入子網路路徑。

    • 假設兩個虛擬私有雲網路已建立對等互連，且對等互連堆疊類型僅為 IPv4。第一個虛擬私有雲網路中存在目的地為 2001:0db8:0a0b:0c0d::/96 的本機靜態路徑，而對等互連虛擬私有雲網路中存在目的地為 2001:0db8:0a0b:0c0d::/64 的 IPv6 子網路路徑。您無法將對等互連堆疊類型變更為 IPV4_IPV6。

  • 反之，如果 VPC 網路已透過 VPC 網路對等互連建立連線，則無法執行下列作業：

    • 建立新的本機靜態路徑，其目的地與匯入的對等互連子網路路徑完全相符或位於其中。

    • 如果該範圍與現有的本機靜態路徑完全相符或包含該路徑，請在對等互連的虛擬私有雲網路中建立新的子網路位址範圍。

• 對等互連靜態路徑的目的地，不能與本機子網路路徑完全相符或位於該路徑內。如果存在本機子網路路徑，Google Cloud 會禁止下列事項：

  • 如果對等互連設定會導致從對等互連網路匯入靜態路徑，且該路徑與本機虛擬私有雲網路子網路路徑的目的地完全相符或位於其中，您就無法與已包含這類靜態路徑的虛擬私有雲網路建立新的對等互連連線。舉例來說：

    • 如果存在 10.0.0.0/8 的本機子網路路徑，您就無法與具有靜態路徑的 VPC 網路建立對等互連連線，因為該靜態路徑的目的地與 10.0.0.0/8 完全相符，或位於 10.0.0.0/8 內 (例如 10.0.0.0/24)。

    • 如果預期的對等互連堆疊類型為 IPV4_IPV6，且存在 2001:0db8:0a0b:0c0d::/64 的本機子網路路徑，您就無法與 VPC 網路建立對等互連連線，因為該網路的靜態路徑目的地與 2001:0db8:0a0b:0c0d::/64 完全相符，或位於 2001:0db8:0a0b:0c0d::/64 內 (例如 2001:0db8:0a0b:0c0d::/96)。

  • 如果更新後的對等互連設定會導致匯入衝突的靜態路徑，您就無法更新現有的對等互連連線。

  • 反之，如果 VPC 網路已透過 VPC 網路對等互連建立連線，則無法執行下列作業：

    • 建立新的本機子網路路徑，其目的地與匯入的對等互連靜態路徑完全相符或包含該路徑。
    • 在對等互連的虛擬私有雲網路中建立新的靜態路徑，其目的地會完全符合或位於現有的本機子網路路徑內。

動態轉送模式的影響

VPC 網路的動態轉送模式會決定從該網路的 Cloud Router 取得的前置字元，要套用為本機動態路徑的地區。如要進一步瞭解這個行為，請參閱動態轉送模式的影響。

這個概念也適用於虛擬私有雲網路對等互連。匯出 VPC 網路 (包含已瞭解這些動態路徑前置字元的 Cloud Router) 的動態轉送模式，決定對等互連動態路徑可在對等互連網路中設定的區域：

• 如果匯出 VPC 網路的動態轉送模式為地區性，則該網路只會匯出與前置字元所屬 Cloud Router 位於相同地區的動態路徑。

• 如果匯出虛擬私有雲端網路的動態轉送模式為全域，則該網路會匯出所有區域的動態路徑。

在這兩種情況下，匯入 VPC 網路的動態轉送模式並不重要。

如需說明此行為的範例，請參閱本機虛擬私有雲網路和對等互連虛擬私有雲網路與內部部署連線。

子網路和動態路徑互動

本機或對等互連子網路路徑與動態路徑之間的衝突，會按照「與動態路徑的互動」一文所述方式解決。

虛擬私有雲網路對等互連範例

以下範例說明兩種常見的 VPC 網路對等互連情境。

本機虛擬私有雲網路和對等互連虛擬私有雲網路，且具備內部部署連線

在本範例中，設定的網路對等互連如下：

• network-a 對等連線至 network-b，network-b 對等連線至 network-a。
• network-a 包含兩個子網路，每個子網路都位於不同地區。network-b 包含單一子網路。
• network-b 使用動態轉送功能，透過 Cloud VPN 通道連線至內部部署網路。(如果以 Cloud Interconnect VLAN 連結取代通道，也適用相同原則)。
• network-b 的對等互連連線已透過 --export-custom-routes 旗標設定，network-a 的對等互連連線則透過 --import-custom-routes 旗標設定。

如要從內部部署環境連線至 network-a 和 network-b 中的子網路，network-b 中的 Cloud Router 必須設定為使用自訂通告模式。舉例來說，Cloud Router 只會通告自訂前置字元 custom-prefix-1，其中包含 network-b 的子網路範圍和 network-a 的子網路範圍。

us-west1 中的 Cloud Router 會on-premises-prefix從內部部署路由器學習。on-premises-prefix 不會造成任何衝突，因為它比子網路和對等互連子網路路徑更廣。換句話說，on-premises-prefix 不完全相符，且不符合任何子網路或對等互連子網路路徑。

下表總結上述範例中指定的網路設定：

網路名稱	網路元件	IPv4 範圍	IPv6 範圍	區域
network-a	subnet-a	10.0.0.0/24	fc:1000:1000:1000::/64	us-west1
network-a	subnet-b	10.0.1.0/24	fc:1000:1000:1001::/64	europe-north 1
network-b	subnet-c	10.0.2.0/23	fc:1000:1000:1002::/64	us-west1
network-b	Cloud Router	10.0.0.0/22	fc:1000:1000:1000::/64	us-west1
地端部署網路	地端部署路由器	10.0.0.0/8	fc:1000:1000:1000::/56	不適用

無論 network-a 的動態轉送模式為何，都適用下列轉送特性：

• 如果 network-b 的動態轉送模式為全域，則 Cloud Router 在 network-b 中取得的 On-premises prefix 會新增為 network-b 所有區域中的動態路徑，並新增為 network-a 所有區域中的對等互連動態路徑。如果防火牆規則設定正確，vm-a1、vm-a2 和 vm-b 就能與 IPv4 位址為 10.5.6.7 (或 IPv6 位址為 fc:1000:1000:10a0:29b::) 的內部部署資源通訊。

• 如果 network-b 的動態轉送模式變更為地區性，則 network-b 中 Cloud Router 取得的 On-premises prefix 只會新增為 network-b 的 us-west1 區域中的動態路徑，以及 network-a 的 us-west1 區域中的對等互連動態路徑。如果防火牆規則設定正確，只有 vm-a1 和 vm-b 可以與 IPv4 位址為 10.5.6.7 (或 IPv6 位址為 fc:1000:1000:10a0:29b::) 的內部部署資源通訊，因為這是與 Cloud Router 位於相同區域的唯一 VM。

具有多個對等互連的轉運網路

假設 network-b 連線至內部部署網路，並做為其他兩個網路 (network-a 和 network-c) 的傳輸網路。如要讓這兩個網路中的 VM 僅使用內部 IP 位址存取 network-b 和已連結的內部部署網路，請進行下列設定：

• network-a 對等連線至 network-b，network-b 對等連線至 network-a。
• network-c 對等連線至 network-b，network-b 對等連線至 network-c。
• network-b 使用動態轉送功能透過 Cloud VPN 通道連線到內部部署網路。如果以 Cloud Interconnect VLAN 連結取代通道，也適用相同原則。
  • 如要從內部部署環境連線至 network-a、network-b 和 network-c 中的子網路，請將 network-b 中的 Cloud Router 設為使用自訂通告模式。舉例來說，Cloud Router 會通告 network-b 的子網路路由，以及涵蓋 network-a 和 network-c 中子網路路由的自訂前置字元。
  • 受子網路和動態路徑互動影響，network-b 中的 Cloud Router 會取得內部部署前置字元，並在 network-b 中建立動態路徑。
• 從 network-b 到 network-a，以及從 network-b 到 network-c 的對等互連連線，均已設定 --export-custom-routes 旗標。從 network-a 到 network-b，以及從 network-c 到 network-b 的對等互連連線，都已設定 --import-custom-routes 旗標。
  • 受子網路和動態路徑互動影響，network-b 中的 Cloud Router 也會在 network-a 和 network-c 中建立對等互連動態路徑。

如果防火牆設定正確，可能會出現下列連線情境：

• network-a 中的 VM 執行個體可以連到 network-b 中的其他 VM 和內部部署系統。
• network-c 中的 VM 執行個體可以連到 network-b 中的其他 VM 和內部部署系統。
• network-b 中的 VM 執行個體可以連線至 network-a 和 network-c 中的其他 VM，以及內部部署網路中的系統。

由於 VPC 網路對等互連不具遞移性，除非您也使用 VPC 網路對等互連功能連結 network-a 和 network-c 網路，否則 network-a 和 network-c 中的 VM 執行個體無法彼此通訊。

定價

虛擬私有雲網路對等互連適用一般網路定價。

後續步驟

• 如要設定及排解虛擬私有雲網路對等互連問題，請參閱「設定及管理虛擬私有雲網路對等互連」。