您可以通过多种方式将在本地数据中心中运行的 Google Distributed Cloud 集群连接到 Google Cloud 网络。可能采用的方式包括:
常规互联网连接
在某些情况下,您可以将互联网用作 Google 与本地数据中心之间的连接。例如:
Google Distributed Cloud 部署在本地自成一体,并且本地组件很少与 Google Cloud 网络通信。您主要通过连接来进行集群管理。连接的速度、可靠性和安全性并不重要。
您的本地集群是自包含的,但访问 Cloud SQL 之类的 Google 服务除外。您的本地集群和 Google 服务之间的流量使用公共 IP 地址。您可以配置防火墙规则以提供安全性。
高可用性 VPN
借助高可用性 VPN 和 Cloud Router 路由器,Google 与您的本地数据中心之间的流量将遍历公共互联网,但会经过加密。本地组件可以使用专用 IP 地址与云组件进行通信。Cloud Router 路由器会动态地在您的 Google Cloud 网络与您的本地网络之间交换路由。动态路由在您的网络扩展和更改时尤其有用,因为它可以确保将正确的路由状态传播到本地数据中心。
合作伙伴互连
合作伙伴互连通过支持的服务提供商提供在本地网络与 Google Cloud 网络之间提供连接。Google 与您的本地数据中心之间的流量不会遍历公开互联网。本地组件可以使用专用 IP 地址与云组件进行通信。您与 Google 之间的连接速度快、安全可靠。
专用互连
专用互连在您的本地网络和 Google Cloud 网络之间提供直接物理连接。如果您需要高带宽,则此类连接经济实惠。Google 与您的本地数据中心之间的流量不会遍历公开互联网。本地组件可以使用专用 IP 地址与云组件进行通信。您与 Google 的连接是安全可靠的,甚至比使用合作伙伴互连的连接还要快。
暂时断开连接的影响
如需了解断开连接时会发生什么情况,请参阅与 Google Cloud 的临时断开连接的影响。
选择连接类型
如需查看有关如何选择连接类型的更多指导信息,请参阅:
网络监控
无论您如何建立与 Google 的基础连接,您都可以从网络日志记录和监控提供的数据分析中受益。如需了解详情,请参阅 Google Distributed Cloud 的日志记录和监控。
增强基础连接
完成基础连接后,您可以添加能够提高访问权限、安全性和可视性的功能。例如,您可以启用专用 Google 访问通道或 Connect。
本主题中的其余指导信息假定您使用以下某个选项与 Google 建立基础连接:
专用 Google 访问通道
专用 Google 访问通道支持仅具有专用 IP 地址的虚拟机访问 Google API 和服务的 IP 地址。此场景包括 Google Distributed Cloud 集群节点仅具有专用 IP 地址的情况。您可以在子网级层启用专用 Google 访问通道。
借助专用 Google 访问通道,从本地数据中心到 Google 服务的请求将遍历您的 Cloud Interconnect 或 Cloud VPN 连接,而不是遍历公共互联网。
在以下情况下使用专用 Google 访问通道:
没有公共 IP 地址的本地虚拟机必须连接到 BigQuery、Pub/Sub 或 Container Registry 等 Google 服务。
您希望在不遍历公共互联网的情况下连接到 Google 服务。
如需查看通过本地虚拟机支持 Google 专用访问通道的服务列表,请参阅支持的服务。如需了解如何通过本地虚拟机使用专用 Google 访问通道,请参阅为本地主机配置专用 Google 访问通道。
不需要 Google 专用访问通道的服务
有时,您无需专用 Google 访问通道即可通过仅具有专用 IP 地址的虚拟机访问服务。例如:
您创建了一个同时具有公共 IP 地址和专用 IP 地址的 Cloud SQL 实例。然后,您的本地组件可以使用其专用 IP 地址访问该 Cloud SQL 实例。在这种情况下,您不需要专用 Google 访问通道,因为您不需要访问 Google 服务的公共 IP 地址。只有在 Cloud Router 路由器将 Cloud SQL 实例的专用 IP 地址通告到本地网络时,此方法才有效。
您在 Google Cloud 中有一个 Google Distributed Cloud 集群,并且集群节点具有专用 IP 地址。您的本地组件可以访问 Google Distributed Cloud 云集群中的 NodePort Service 或内部负载均衡器 Service。
VPC Service Controls
如果您希望增加防护以防止数据渗漏,则可以使用 VPC Service Controls。借助 VPC Service Controls,您可以为 Google 代管式服务的资源配置安全边界,并控制跨边界的数据移动。
如果您使用了 VPC Service Controls,则在运行某些 gkectl
命令(如 "Validation Category: GCP - [UNKNOWN] GCP
service: [Stackdriver] could not get GCP services"
)时可能会看到错误。为避免这些错误,请在命令中添加 --skip-validation-gcp
参数。
交流合作
利用 Connect,您可通过 Google Cloud 控制台查看和管理本地用户集群。