您可以通过多种方式将在本地数据中心运行的 GKE On-Prem 集群连接到 Google 网络。提供方可能采用的方式包括:
- 常规互联网连接
- 使用静态路由的 Cloud VPN
- 使用 Cloud Router 的 Cloud VPN
- 合作伙伴互连
- 专用互连
常规互联网连接
在某些情况下,您可以将互联网用作 Google 与本地数据中心之间的连接。例如:
GKE On-Prem 部署自包含在您的本地中,并且本地组件很少与 Google 网络通信。您主要通过连接来进行集群管理。连接的速度、可靠性和安全性并不重要。
您的本地集群是自包含的,但访问 Cloud SQL 之类的 Google 服务除外。您的本地集群和 Google 服务之间的流量使用公共 IP 地址。您可以配置防火墙规则以提供安全性。
使用静态路由的 Cloud VPN
借助 Cloud VPN,Google 与您的本地数据中心之间的流量将遍历公共互联网,但会经过加密。本地组件可以使用私有 IP 地址与云组件进行通信。使用静态路由时,您必须在 Google Cloud 网络和本地网络之间手动配置路由。如果安全性很重要,但速度不太重要,请使用 Cloud VPN。
使用 Cloud Router 的 Cloud VPN
借助 Cloud VPN 和 Cloud Router,Google 与您的本地数据中心之间的流量将遍历公共互联网,但会经过加密。本地组件可以使用私有 IP 地址与云组件进行通信。Cloud Router 路由器会动态地在您的 Google Cloud 网络与您的本地网络之间交换路由。动态路由在您的网络扩展和更改时尤其有用,因为它可以确保将正确的路由状态传播到本地数据中心。
合作伙伴互连
合作伙伴互连可通过支持的服务提供方在您的本地网络与 Google 网络之间提供连接。Google 与您的本地数据中心之间的流量不会遍历公开互联网。本地组件可以使用专用 IP 地址与云组件进行通信。您与 Google 之间的连接速度快、安全可靠。
专用互连
专用互联可在您的本地网络与 Google 网络之间提供直接物理连接。如果您有高带宽需求,则这是一种经济高效的方式。Google 与您的本地数据中心之间的流量不会遍历公开互联网。本地组件可以使用专用 IP 地址与云组件进行通信。您与 Google 的连接是安全可靠的,甚至比使用合作伙伴互连的连接还要快。
选择连接类型
如需查看有关如何选择连接类型的更多指导信息,请参阅:
网络监控
无论您如何建立与 Google 的基础连接,您都可以从网络日志记录和监控提供的数据分析中受益。如需了解详情,请参阅适用于 GKE On-Prem 的日志记录和监控。
增强基础连接
完成基础连接后,您可以添加能够提高访问权限、安全性和可视性的功能。例如,您可以启用专用 Google 访问通道、VPC Service Controls 或 Connect。
本主题中的其余指导信息假定您使用以下某个选项与 Google 建立基础连接:
- 使用 Cloud Router 的 Cloud VPN
- 合作伙伴互连
- 专用互连
专用 Google 访问通道
专用 Google 访问通道支持仅具有专用 IP 地址的虚拟机访问 Google API 和服务的 IP 地址。这包括您的 GKE On-Prem 集群节点仅具有专用 IP 地址的情况。您可以在子网级层启用专用 Google 访问通道。
借助专用 Google 访问通道,从本地数据中心到 Google 服务的请求将遍历您的 Cloud Interconnect 或 Cloud VPN 连接,而不是遍历公共互联网。
在以下情况下使用专用 Google 访问通道:
没有公共 IP 地址的本地虚拟机需要连接到 BigQuery、Pub/Sub 或 Container Registry 等 Google 服务。
您希望在不遍历公共互联网的情况下连接到 Google 服务。
如需查看通过本地虚拟机支持 Google 专用访问通道的服务列表,请参阅支持的服务。如需了解如何通过本地虚拟机使用专用 Google 访问通道,请参阅为本地主机配置专用 Google 访问通道。
不需要 Google 专用访问通道的服务
在某些情况下,您无需专用 Google 访问通道即可通过仅具有专用 IP 地址的虚拟机访问服务。例如:
您创建了一个同时具有公共 IP 地址和专用 IP 地址的 Cloud SQL 实例。然后,您的本地组件可以使用其专用 IP 地址访问该 Cloud SQL 实例。在这种情况下,您不需要专用 Google 访问通道,因为您不需要访问 Google 服务的公共 IP 地址。这仅在 Cloud Router 路由器将 Cloud SQL 实例的专用 IP 地址通告到本地网络时才有效。
您在 Google 的云中有一个 GKE 集群,并且集群节点具有专用 IP 地址。您的本地组件可以访问 Cloud GKE 集群中的 NodePort Service 或内部负载平衡器 Service。
VPC Service Controls
如果您希望增加防护以防止数据渗漏,则可以使用 VPC Service Controls。借助 VPC Service Controls,您可以为 Google 代管式服务的资源配置安全边界,并控制跨边界的数据移动。
Connect
利用 Connect,您可通过 Google Cloud Console 查看和管理本地用户集群。