连接到 Google

您可以通过多种方式将在本地数据中心运行的 GKE On-Prem 集群连接到 Google 的网络。可能采用的方式包括:

常规互联网连接

在某些情况下,您可以将互联网用作 Google 与本地数据中心之间的连接。例如:

  • 您的 GKE On-Prem 部署自包含于您的本地中,并且您的本地组件很少与 Google 网络通信。您主要通过连接来进行集群管理。连接的速度、可靠性和安全性并不重要。

  • 您的本地集群是自包含的,但访问 Cloud SQL 之类的 Google 服务除外。您的本地集群和 Google 服务之间的流量使用公共 IP 地址。您可以配置防火墙规则以提供安全性。

使用静态路由的 Cloud VPN

借助 Cloud VPN,Google 和您的本地数据中心之间的流量将遍历公共互联网,但会进行加密。本地组件可以使用私有 IP 地址与云组件进行通信。使用静态路由时,您必须在 Google Cloud 网络和本地网络之间手动配置路由。如果安全性很重要,但速度不太重要,请使用 Cloud VPN。

使用 Cloud Router 的 Cloud VPN

借助 Cloud VPNCloud Router,Google 与您的本地数据中心之间的流量将遍历公共互联网,但会进行加密。本地组件可以使用私有 IP 地址与云组件进行通信。Cloud Router 会动态地在您的 Google Cloud 网络和您的本地网络之间交换路由。动态路由在您的网络扩展和更改时尤其有用,因为它可以确保将正确的路由状态传播到本地数据中心。

合作伙伴互连

合作伙伴互连通过受支持的服务提供方提供您本地网络与 Google 网络之间的连接。Google 与您的本地数据中心之间的流量不会遍历公共互联网。本地组件可以使用私有 IP 地址与云组件进行通信。您与 Google 之间的连接速度快、安全可靠。

专用互连

专用互连在您的本地网络和 Google 网络之间提供直接物理连接。如果您有高带宽需求,这可能是一种经济实惠的方式。Google 与您的本地数据中心之间的流量不会遍历公共互联网。本地组件可以使用私有 IP 地址与云组件进行通信。您与 Google 的连接是安全可靠的,甚至比使用合作伙伴互连的连接还要快。

选择连接类型

如需查看有关如何选择连接类型的更多指导信息,请参阅:

网络监控

无论您如何建立与 Google 的基础连接,您都可以从网络日志记录和监控提供的数据分析中受益。如需了解详情,请参阅 GKE On-Prem 日志记录和监控

增强基础连接

完成基础连接后,您可以添加能够提高访问权限、安全性和可视性的功能。例如,您可以启用专用 Google 访问通道VPC Service ControlsConnect

本主题中的其余指导信息假定您使用以下某个选项与 Google 建立基础连接:

专用 Google 访问通道

专用 Google 访问通道允许只有专用 IP 地址的虚拟机访问 Google API 和服务的 IP 地址。这包括您的 GKE On-Prem 集群节点只有专用 IP 地址的情况。您可以在子网级层启用专用 Google 访问通道。

借助专用 Google 访问通道,从本地数据中心到 Google 服务的请求将遍历您的 Cloud Interconnect 或 Cloud VPN 连接,而不是遍历公共互联网。

在以下情况下使用专用 Google 访问通道:

  • 没有公共 IP 地址的本地虚拟机需要连接到像 BigQuery、Pub/Sub 或 Container Registry 之类的 Google 服务。

  • 您希望在不遍历公共互联网的情况下连接到 Google 服务。

如需查看支持来自本地虚拟机的 Google 专用访问通道的服务列表,请参阅支持的服务。有关通过本地虚拟机使用专用 Google 访问通道的信息,请参阅 配置适用于本地主机的专用 Google 访问通道

不需要 Google 专用访问通道的服务

在某些情况下,您无需专用 Google 访问通道即可通过仅具有专用 IP 地址的虚拟机访问服务。例如:

  • 您会创建一个同时具有公共 IP 地址和专用 IP 地址的 Cloud SQL 实例。然后,您的本地组件可以使用其专用 IP 地址访问 Cloud SQL 实例。在这种情况下,您不需要专用 Google 访问通道,因为您不需要访问 Google 服务的公共 IP 地址。这仅在 Cloud Router 路由器将 Cloud SQL 实例的专用 IP 地址通告到本地网络时才有效。

  • 您在 Google 云中有一个 GKE 集群,并且集群节点具有专用 IP 地址。您的本地组件可以访问 cloud GKE 集群中的 NodePort 服务或内部负载平衡器服务。

VPC Service Controls

如果您希望增加防护以防止数据渗漏,则可以使用 VPC Service Controls。借助 VPC Service Controls,您可以为 Google 代管式服务的资源配置安全边界,并控制跨边界的数据移动。

Connect

利用 Connect,您可通过 Google Cloud Console 查看和管理本地用户集群。

后续步骤