Connettività tra VPC di reti cross-cloud utilizzando Network Connectivity Center

Questo documento fornisce un'architettura di riferimento che puoi utilizzare per eseguire il deployment di una rete cross-cloud con topologia di rete inter-VPC in Google Cloud. Questa progettazione della rete consente il deployment di servizi software su reti Google Cloud e Google Cloud esterne, come data center on-premise o altri fornitori di servizi cloud (CSP).

Il pubblico di destinazione di questo documento include amministratori di rete, architetti cloud e architetti aziendali che svilupperanno la connettività di rete. Sono inclusi anche gli architetti cloud che pianificano il modo in cui vengono eseguiti i deployment dei carichi di lavoro. Il documento presuppone una conoscenza di base del routing e della connettività internet.

Questo design supporta più connessioni esterne, più reti VPC (Virtual Private Cloud) di accesso ai servizi contenenti servizi e punti di accesso ai servizi e più reti VPC per i carichi di lavoro.

In questo documento, il termine punti di accesso ai servizi si riferisce ai punti di accesso ai servizi resi disponibili utilizzando Google Cloud l'accesso privato ai servizi e Private Service Connect. Network Connectivity Center è un modello di control plane hub and spoke per la gestione della connettività di rete inGoogle Cloud. La risorsa hub fornisce la gestione centralizzata della connettività per gli spoke VPC di Network Connectivity Center.

L'hub di Network Connectivity Center è un piano di controllo globale che apprende e distribuisce i percorsi tra i vari tipi di spoke collegati. In genere, gli spoke VPC inseriscono le route delle subnet nella tabella delle route dell'hub centralizzato. In genere, gli spoke ibridi inseriscono route dinamici nella tabella dei route dell'hub centralizzato. Utilizzando le informazioni del piano di controllo dell'hub Network Connectivity Center, Google Cloud viene stabilita automaticamente la connettività del piano dati tra gli spoke di Network Connectivity Center.

Network Connectivity Center è l'approccio consigliato per interconnettere le VPC per una crescita scalabile su Google Cloud. Quando le appliance virtuali di rete devono essere inserite nel percorso del traffico, utilizza route statiche o basate su criteri insieme al peering di rete VPC per interconnettere i VPC. Per ulteriori informazioni, consulta Connettività inter-VPC di reti cross-cloud con il peering di rete VPC.

Architettura

Il seguente diagramma mostra una visione di alto livello dell'architettura delle reti e dei diversi flussi di pacchetti supportati da questa architettura.

L'architettura contiene i seguenti elementi di alto livello:

Componente	Finalità	Interazioni
Reti esterne (in sede o di altri fornitori di servizi cloud)	Ospita i client dei carichi di lavoro in esecuzione nelle VPC dei carichi di lavoro e nelle VPC di accesso ai servizi. Anche le reti esterne possono ospitare servizi.	Scambia dati con le reti VPC di Google Cloudtramite la rete di trasporto pubblico. Si connette alla rete di transito utilizzando Cloud Interconnect o VPN ad alta disponibilità. Termina un'estremità dei seguenti flussi: Esterno-esterno Accesso ai servizi esterni Consumer-esterno-a-Private-Service-Connect Esterno al workload
Rete VPC di transito (nota anche come Rete VPC di routing in Network Connectivity Center)	Agisce da hub per la rete esterna, la rete VPC di accesso ai servizi e le reti VPC dei carichi di lavoro.	Connette la rete esterna, la rete VPC di accesso ai servizi, la rete consumer Private Service Connect e le reti VPC del carico di lavoro tramite una combinazione di Cloud Interconnect, VPN ad alta disponibilità e Network Connectivity Center.
Rete VPC di accesso ai servizi	Fornisce l'accesso ai servizi necessari per i carichi di lavoro in esecuzione nelle reti VPC o esterne del carico di lavoro. Fornisce inoltre punti di accesso ai servizi gestiti ospitati in altre reti.	Scambia dati con le reti di consumer esterni, dei carichi di lavoro e di Private Service Connect tramite la rete di transito. Si connette alla VPC di transito utilizzando la VPN ad alta disponibilità. Il routing transitivo fornito dalla VPN HA consente al traffico esterno di raggiungere i VPC dei servizi gestiti tramite la rete VPC di accesso ai servizi. Termina un'estremità dei seguenti flussi: Accesso ai servizi esterni Accesso ai servizi per i carichi di lavoro Accesso ai servizi per i consumer di Private Service Connect
Rete VPC dei servizi gestiti	Ospita i servizi gestiti necessari ai clienti in altre reti.	Scambia dati con le reti esterne, di accesso ai servizi, consumer di Private Service Connect e di carico di lavoro. Si connette alla rete VPC di accesso ai servizi utilizzando l'accesso privato ai servizi, che utilizza il peering di reti VPC. Il VPC dei servizi gestiti può anche collegarsi al VPC consumer Private Service Connect utilizzando Private Service Connect o l'accesso ai servizi privati. Termina un'estremità dei flussi provenienti da tutte le altre reti.
VPC consumer Private Service Connect	Ospita gli endpoint di Private Service Connect accessibili da altre reti. Questa VPC potrebbe anche essere una VPC per i carichi di lavoro.	Scambia dati con le reti VPC esterne e di accesso ai servizi tramite la rete VPC di transito. Si connette alla rete di transito e ad altre reti VPC per i carichi di lavoro utilizzando gli spoke VPC di Network Connectivity Center.
Reti VPC del workload	Ospita i carichi di lavoro necessari ai clienti in altre reti. Questa architettura consente più reti VPC per i carichi di lavoro.	Scambia dati con le reti VPC esterne e di accesso ai servizi tramite la rete VPC di transito. Si connette alla rete di transito, alle reti consumer Private Service Connect e ad altre reti VPC di carico di lavoro utilizzando gli spoke VPC di Network Connectivity Center. Termina un'estremità dei seguenti flussi: Esterno al workload Accesso ai servizi per i carichi di lavoro Workload-to-Private-Service-Connect-consumer Da un carico di lavoro all'altro
Network Connectivity Center	L'hub di Network Connectivity Center incorpora un database di routing globale che funge da piano di controllo della rete per route delle subnet VPC e delle connessioni ibride in qualsiasi Google Cloud regione.	Interconnette più reti VPC e ibride in una topologia any-to-any creando un percorso dati che utilizza la tabella di routing del piano di controllo.

Il seguente diagramma mostra una visualizzazione dettagliata dell'architettura che mette in evidenza le quattro connessioni tra i componenti:

Descrizioni delle connessioni

Questa sezione descrive le quattro connessioni mostrate nel diagramma precedente. La documentazione di Network Connectivity Center fa riferimento alla rete VPC di transito come VPC di routing. Anche se hanno nomi diversi, queste reti hanno lo stesso scopo.

Connessione 1: tra le reti esterne e le reti VPC di transito

Questa connessione tra le reti esterne e le reti VPC di transito avviene tramite Cloud Interconnect o VPN ad alta disponibilità. Le route vengono scambiate utilizzando BGP tra i router Cloud nella rete VPC di transito e tra i router esterni nella rete esterna.

• I router nelle reti esterne annunciano le route per le subnet esterne ai router cloud VPC di transito. In generale, i router esterni in una determinata località annunciano le route dalla stessa località esterna come preferite rispetto alle route per altre località esterne. La preferenza dei percorsi può essere espressa utilizzando le metriche e gli attributi BGP.
• I router cloud nella rete VPC di transito annuncino le route per i prefissi nelle VPC di Google Cloudalle reti esterne. Queste route devono essere annunciate utilizzando annunci di route personalizzate di Cloud Router.
• Network Connectivity Center ti consente di trasferire dati tra reti on-premise diverse utilizzando la rete di backbone di Google. Quando configurerai i collegamenti VLAN di interconnessione come spoke ibridi di Network Connectivity Center, devi attivare il trasferimento di dati tra siti.
• I collegamenti VLAN Cloud Interconnect che hanno come origine gli stessi prefissi di rete esterni sono configurati come un singolo spoke di Network Connectivity Center.

Connessione 2: tra reti VPC di transito e reti VPC di accesso ai servizi

Questa connessione tra le reti VPC di transito e le reti VPC di accesso ai servizi avviene tramite VPN ad alta disponibilità con tunnel separati per ogni regione. Le route vengono scambiate utilizzando BGP tra i router Cloud regionali nelle reti VPC di transito e nelle reti VPC di accesso ai servizi.

• I router Cloud VPN ad alta disponibilità per i VPC di transito annunciano le route per i prefissi di rete esterni, i VPC per i carichi di lavoro e altri VPC di accesso ai servizi al router Cloud VPC di accesso ai servizi. Queste route devono essere annunciate utilizzando gli annunci di route personalizzate del router Cloud.
• La rete VPC di accesso ai servizi annuncia le sue subnet e le subnet di eventuali reti VPC di servizi gestiti collegate alla rete VPC di transito. Le route VPC per i servizi gestiti e le route di subnet VPC per l'accesso ai servizi devono essere annunciate utilizzando gli annunci di route personalizzate del router Cloud.

Connessione 3: tra la rete VPC di transito, le reti VPC dei carichi di lavoro e le reti VPC di accesso ai servizi Private Service Connect

La connessione tra la rete VPC di transito, le reti VPC dei carichi di lavoro e le reti VPC consumer di Private Service Connect avviene quando le route di subnet e dei prefissi vengono scambiate utilizzando Network Connectivity Center. Questa connessione consente la comunicazione tra le reti VPC del carico di lavoro, le reti VPC di accesso ai servizi connesse come spoke VPC di Network Connectivity Center e altre reti connesse come spoke ibride di Network Connectivity Center. Queste altre reti includono le reti esterne e le reti VPC di accesso ai servizi che utilizzano rispettivamente la connessione 1 e la connessione 2.

• Gli attacchi Cloud Interconnect o VPN ad alta disponibilità nella rete VPC di transito utilizzano Network Connectivity Center per esportare le route dinamiche nelle reti VPC del carico di lavoro.
• Quando configuri la rete VPC del workload come spoke dell'hub di Network Connectivity Center, la rete VPC del workload esporta automaticamente le sue subnet nella rete VPC di transito. Se vuoi, puoi configurare la rete VPC di transito come spoke VPC. Nessuna route statica viene esportata dalla rete VPC del carico di lavoro alla rete VPC di transito. Nessuna route statica viene esportata dalla rete VPC di transito alla rete VPC del workload.

Connessione 4: VPC consumer Private Service Connect con propagazione di Network Connectivity Center

• Gli endpoint Private Service Connect sono organizzati in un VPC comune che consente ai consumer di accedere ai servizi gestiti proprietari e di terze parti.
• La rete VPC consumer Private Service Connect è configurata come spoke VPC di Network Connectivity Center. Questo spoke consente la propagazione di Private Service Connect sull'hub Network Connectivity Center. La propagazione di Private Service Connect annuncia il prefisso dell'host dell'endpoint Private Service Connect come route nella tabella di routing dell'hub Network Connectivity Center.
• Le reti VPC consumer di accesso ai servizi Private Service Connect si connettono alle reti VPC dei carichi di lavoro e alle reti VPC di transito. Queste connessioni consentono la connettività transitiva agli endpoint di Private Service Connect. Nell'hub Network Connectivity Center deve essere attivata la propagazione della connessione Private Service Connect.
• Network Connectivity Center crea automaticamente un percorso dati da tutti gli spoke all'endpoint Private Service Connect.

Flussi di traffico

Il seguente diagramma mostra i flussi abilitati da questa architettura di riferimento.

La tabella seguente descrive i flussi nel diagramma:

Origine	Destinazione	Descrizione
Rete esterna	Rete VPC di accesso ai servizi	Il traffico segue le route sulle connessioni esterne alla rete di trasporto pubblico. Le route vengono annunciate dal router Cloud rivolto all'esterno. Il traffico segue la route personalizzata fino alla rete VPC di accesso ai servizi. La route viene annunciata tramite la connessione VPN ad alta disponibilità. Se la destinazione si trova in una rete VPC di servizi gestiti connessa alla rete VPC di accesso ai servizi tramite l'accesso privato ai servizi, il traffico segue le route personalizzate di Network Connectivity Center fino alla rete di servizi gestiti.
Rete VPC di accesso ai servizi	Rete esterna	Il traffico segue una route personalizzata attraverso i tunnel VPN ad alta disponibilità fino alla rete di transito. Il traffico segue le route attraverso le connessioni esterne fino alla rete esterna. Le route vengono apprese dai router esterni tramite BGP.
Rete esterna	Rete VPC del workload o rete VPC consumer Private Service Connect	Il traffico segue le route sulle connessioni esterne alla rete di trasporto pubblico. Le route vengono annunciate dal router Cloud rivolto all'esterno. Il traffico segue la route della subnet fino alla rete VPC del carico di lavoro pertinente. Il percorso viene appreso tramite Network Connectivity Center.
Rete VPC del workload o rete VPC consumer Private Service Connect	Rete esterna	Il traffico segue un percorso dinamico per tornare alla rete di trasporto pubblico. La route viene acquisita tramite un'esportazione di route personalizzate di Network Connectivity Center. Il traffico segue le route attraverso le connessioni esterne fino alla rete esterna. Le route vengono apprese dai router esterni tramite BGP.
Rete VPC del carico di lavoro	Rete VPC di accesso ai servizi	Il traffico segue le route fino alla rete VPC di transito. Le route vengono apprese tramite un'esportazione di route personalizzate di Network Connectivity Center. Il traffico segue una route attraverso uno dei tunnel VPN ad alta disponibilità fino alla rete VPC di accesso ai servizi. Le route vengono apprese dagli annunci di route personalizzate BGP.
Rete VPC di accesso ai servizi	Rete VPC del carico di lavoro	Il traffico segue una route personalizzata fino alla rete di trasporto pubblico. La route viene annunciata nei tunnel VPN ad alta disponibilità. Il traffico segue la route della subnet fino alla rete VPC del carico di lavoro pertinente. Il percorso viene appreso tramite Network Connectivity Center.
Rete VPC del carico di lavoro	Rete VPC del carico di lavoro	Il traffico che esce da un VPC del carico di lavoro segue la route più specifica per l'altro VPC del carico di lavoro tramite Network Connectivity Center. Il traffico di ritorno inverte questo percorso.

Prodotti utilizzati

• Virtual Private Cloud (VPC): un sistema virtuale che fornisce funzionalità di networking scalabili e globali per i tuoi Google Cloud carichi di lavoro. VPC include il peering di rete VPC, Private Service Connect, l'accesso privato ai servizi e VPC condiviso.
• Network Connectivity Center: un framework di orchestrazione che semplifica la connettività di rete tra le risorse spoke collegate a una risorsa di gestione centrale chiamata hub.
• Cloud Interconnect: un servizio che estende la tua rete esterna alla rete Google tramite una connessione a bassa latenza e alta disponibilità.
• Cloud VPN: un servizio che estende in modo sicuro la tua rete peer alla rete di Google tramite un tunnel VPN IPsec.
• Cloud Router: un'offerta distribuita e completamente gestita che fornisce funzionalità di speaker e responder per il protocollo BGP (Border Gateway Protocol). Cloud Router funziona con Cloud Interconnect, Cloud VPN e appliance router per creare route dinamiche nelle reti VPC in base alle route apprese personalizzate e ricevute tramite BGP.

Note sul layout

Questa sezione descrive fattori di progettazione, best practice e consigli di progettazione che devi prendere in considerazione quando utilizzi questa architettura di riferimento per sviluppare una topologia che soddisfi i tuoi requisiti specifici per sicurezza, affidabilità e prestazioni.

Sicurezza e conformità

L'elenco seguente descrive i fattori di sicurezza e conformità per questa architettura di riferimento:

• Per motivi di conformità, ti consigliamo di eseguire il deployment dei workload solo in una singola regione. Se vuoi mantenere tutto il traffico in una singola regione, puoi utilizzare una topologia del 99,9%.
• Utilizza Cloud Next Generation Firewall (Cloud NGFW) per proteggere il traffico in entrata e in uscita dalle reti VPC di accesso ai servizi e dei carichi di lavoro. Per ispezionare il traffico che passa tra le reti ibride tramite la rete di transito, devi utilizzare firewall esterni o firewall NVA.
• Attiva Connectivity Tests per assicurarti che il traffico si comporti come previsto.
• Attiva il logging e il monitoraggio in base alle tue esigenze di traffico e conformità. Per ottenere informazioni sui pattern di traffico, utilizza i log di flusso VPC insieme a Flow Analyzer.
• Utilizza Cloud IDS per ottenere ulteriori informazioni sul tuo traffico.

Affidabilità

L'elenco seguente descrive le considerazioni sull'affidabilità di questa architettura di riferimento:

• Per ottenere una disponibilità del 99,99% per Cloud Interconnect, devi collegarti a due regioni Google Cloud diverse da aree metropolitane diverse in due zone distinte.
• Per migliorare l'affidabilità e ridurre al minimo l'esposizione ai guasti a livello di regione, puoi distribuire i workload e altre risorse cloud nelle varie regioni.
• Per gestire il traffico previsto, crea un numero sufficiente di tunnel VPN. I singoli tunnel VPN hanno limiti di larghezza di banda.

Ottimizzazione delle prestazioni

Il seguente elenco descrive le considerazioni sul rendimento per questa architettura di riferimento:

• Potresti riuscire a migliorare le prestazioni della rete aumentando l'unità di trasmissione massima (MTU) delle reti e delle connessioni. Per ulteriori informazioni, consulta la sezione Unità massima di trasmissione.
• La comunicazione tra il VPC di transito e le risorse del carico di lavoro avviene tramite una connessione di Network Connectivity Center. Questa connessione fornisce un throughput a velocità massima per tutte le VM della rete senza costi aggiuntivi. Hai a disposizione diverse opzioni per collegare la tua rete esterna alla rete di transito. Per ulteriori informazioni su come bilanciare i costi e le considerazioni sul rendimento, consulta Scegliere un prodotto per la connettività di rete.

Deployment

Questa sezione illustra come implementare la connettività inter-VPC della rete cross-cloud utilizzando l'architettura di Network Connectivity Center descritta in questo documento.

L'architettura in questo documento crea tre tipi di connessioni a un VPC di transito centrale, oltre a una connessione tra le reti VPC dei carichi di lavoro. Una volta completamente configurato, Network Connectivity Center stabilisce la comunicazione tra tutte le reti.

Questo deployment presuppone che tu stia creando connessioni tra le reti esterne e di transito in due regioni, anche se le subnet del carico di lavoro possono trovarsi in altre regioni. Se i carichi di lavoro sono posizionati in una sola regione, le subnet devono essere create solo in quella regione.

Per eseguire il deployment di questa architettura di riferimento, completa le seguenti attività:

1. Creare la segmentazione della rete con Network Connectivity Center
2. Identificare le regioni in cui posizionare la connettività e i carichi di lavoro
3. Creare le reti e le subnet VPC
4. Creare connessioni tra reti esterne e la rete VPC di transito
5. Crea connessioni tra la rete VPC di transito e le reti VPC di accesso ai servizi
6. Stabilisci la connettività tra la rete VPC di transito e le reti VPC del tuo workload
7. Testare la connettività ai carichi di lavoro

Creare la segmentazione della rete con Network Connectivity Center

Prima di creare un hub di Network Connectivity Center per la prima volta, devi decidere se utilizzare una topologia full mesh o una topologia a stella. La decisione di impegnarsi in una topologia full-mesh di VPC interconnessi o una topologia a stella di VPC è irreversibile. Per prendere questa decisione irreversibile, segui le linee guida generali riportate di seguito:

• Se l'architettura aziendale della tua organizzazione consente il traffico tra qualsiasi rete VPC, utilizza il mesh di Network Connectivity Center.
• Se i flussi di traffico tra determinati spoke VPC diversi non sono consentiti, ma questi spoke VPC possono connettersi a un gruppo di core di spoke VPC, utilizza una topologia a stella di Network Connectivity Center.

Identifica le regioni in cui posizionare la connettività e i carichi di lavoro

In generale, è consigliabile posizionare la connettività e i Google Cloud carichi di lavoro in prossimità delle reti on-premise o di altri client cloud. Per saperne di più sul posizionamento dei carichi di lavoro, consulta Google Cloud Selettore di regioni e Best practice per la scelta delle regioni Compute Engine.

Crea le reti e le subnet VPC

Per creare le reti e le subnet VPC, completa le seguenti attività:

1. Crea o identifica i progetti in cui creerai le reti VPC. Per indicazioni, consulta Segmentazione della rete e struttura del progetto. Se intendi utilizzare reti VPC condivisa, esegui il provisioning dei progetti come progetti host VPC condivisa.

2. Pianifica le allocazioni degli indirizzi IP per le tue reti. Puoi preallocare e prenotare gli intervalli creando intervalli interni. In questo modo, la configurazione e le operazioni successive saranno più semplici.

3. Crea una rete VPC di transito con il routing globale abilitato.

4. Crea reti VPC per l'accesso ai servizi. Se prevedi di avere carichi di lavoro in più regioni, abilita l'instradamento globale.

5. Crea reti VPC per i carichi di lavoro. Se avrai carichi di lavoro in più regioni, abilita l'instradamento globale.

Creare connessioni tra reti esterne e la rete VPC di transito

Questa sezione presuppone la connettività in due regioni e che le sedi esterne siano collegate e possano eseguire il failover l'una sull'altra. Inoltre, presuppone che i clienti in una località esterna preferiscano raggiungere i servizi nella regione in cui si trova la località esterna.

1. Configura la connettività tra le reti esterne e la rete di transito. Per capire come procedere, consulta Connettività esterna e ibrida. Per indicazioni sulla scelta di un prodotto per la connettività, consulta Scegliere un prodotto per la connettività di rete.

2. Configura BGP in ogni regione collegata come segue:

   • Configura il router nella posizione esterna specificata come segue:
     • Annuncia tutte le subnet per la località esterna utilizzando lo stesso MED BGP su entrambe le interfacce, ad esempio 100. Se entrambe le interfacce annunciano lo stesso MED, puoi utilizzare ECMP per bilanciare il carico del traffico su entrambe le connessioni. Google Cloud
     • Annuncia tutte le subnet dall'altra posizione esterna utilizzando un valore MED di priorità inferiore rispetto a quello della prima regione, ad esempio 200. Annunciare lo stesso MED da entrambe le interfacce.
   • Configura il router Cloud rivolto all'esterno nel VPC di transito della regione collegata come segue:
     • Configura il router Cloud con un ASN privato.
     • Utilizza annunci di route personalizzati, per annunciare tutti gli intervalli di subnet di tutte le regioni su entrambe le interfacce del router Cloud rivolte all'esterno. Se possibile, aggregali. Utilizza lo stesso MED su entrambe le interfacce, ad esempio 100.

3. Lavora con l'hub e gli spoke ibride di Network Connectivity Center, utilizza i parametri predefiniti.

   • Crea un hub di Network Connectivity Center. Se la tua organizzazione consente il traffico tra tutte le tue reti VPC, utilizza la configurazione full mesh predefinita.
   • Se utilizzi Partner Interconnect, Dedicated Interconnect, HA-VPN o un'appliance router per raggiungere i prefissi on-premise, configura questi componenti come diversi spoke ibride di Network Connectivity Center.
     • Per annunciare le subnet della tabella di route dell'hub di Network Connectivity Center ai BGP neighbor remoti, imposta un filtro per includere tutti gli intervalli di indirizzi IPv4.
     • Se la connettività ibrida termina su un Cloud Router in una regione che supporta il trasferimento di dati, configura lo spoke ibrido con il trasferimento di dati site-to-site attivato. In questo modo, viene supportato il trasferimento dati site-to-site che utilizza la rete di backbone di Google.

Creare connessioni tra la rete VPC di transito e le reti VPC di accesso ai servizi

Per fornire il routing transitivo tra le reti esterne e la VPC di accesso ai servizi e tra le VPC dei carichi di lavoro e la VPC di accesso ai servizi, la VPC di accesso ai servizi utilizza la VPN HA per la connettività.

1. Stima la quantità di traffico che deve passare tra i VPC di transito e di accesso ai servizi in ogni regione. Adatta di conseguenza il numero previsto di tunnel.

2. Configura la VPN ad alta disponibilità tra la rete VPC di transito e la rete VPC di accesso ai servizi nella regione A seguendo le istruzioni riportate in Creare gateway VPN ad alta disponibilità per connettere le reti VPC. Crea un router Cloud VPN ad alta disponibilità dedicato nella rete VPC di transito. Lascia il router rivolto verso la rete esterna per le connessioni alla rete esterna.

   • Configurazione del router Cloud VPC di transito:
     • Per annunciare le subnet VPC della rete esterna e del carico di lavoro alla VPC di accesso ai servizi, utilizza gli annunci di route personalizzati sul router Cloud nella VPC di transito.
   • Configurazione del router Cloud VPC per l'accesso ai servizi:
     • Per annunciare le subnet della rete VPC di accesso ai servizi alla VPC di transito, utilizza annunci di route personalizzate sul router Cloud della rete VPC di accesso ai servizi.
     • Se utilizzi private services-access per connettere una rete VPC di servizi gestiti al VPC services-access, utilizza route personalizzate per annunciare anche queste sottoreti.
   • Sul lato VPC di transito del tunnel VPN ad alta disponibilità, configura la coppia di tunnel come spoke ibrido di Network Connectivity Center:
     • Per supportare il trasferimento di dati tra regioni, configura lo spoke ibrido con il trasferimento di dati site-to-site abilitato.
     • Per annunciare le subnet della tabella di routing dell'hub di Network Connectivity Center ai BGP neighbor remoti, imposta un filtro per includere tutti gli intervalli di indirizzi IPv4. Questa azione annuncia tutti i percorsi IPv4 delle subnet al vicino.
       • Per installare route dinamiche quando la capacità è limitata sul router esterno, configura il router Cloud in modo che annunci una route di riepilogo con un annuncio di route personalizzato. Utilizza questo approccio anziché annunciare la tabella di routing completa dell'hub di Network Connectivity Center.

3. Se colleghi un VPC di servizi gestiti al VPC con accesso ai servizi utilizzando l'accesso privato ai servizi dopo aver stabilito la connessione di peering di rete VPC, devi anche actualizare il lato VPC con accesso ai servizi della connessione di peering di rete VPC per esportare le route personalizzate.

Stabilisci la connettività tra la rete VPC di transito e le reti VPC del tuo workload

Per stabilire la connettività tra VPC su larga scala, utilizza Network Connectivity Center con gli spoke VPC. Network Connectivity Center supporta due diversi tipi di modelli di piano dati: il modello di piano dati full-mesh o il modello di piano dati con topologia a stella.

• Se è possibile consentire l'interconnessione di tutte le reti, stabilisci la connettività full-mesh.
• Se l'architettura della tua attività richiede una topologia point-to-multipoint, crea la connettività con topologia a stella.

Stabilire una connettività full-mesh

Gli spoke VPC di Network Connectivity Center includono le VPC di transito, le VPC consumer Private Service Connect e tutte le VPC dei carichi di lavoro.

• Sebbene Network Connectivity Center crei una rete completamente mesh di spoke VPC, gli operatori di rete devono consentire i flussi di traffico tra le reti di origine e quelle di destinazione utilizzando regole o criteri del firewall.
• Configura tutte le VPC consumer di workload, di transito e Private Service Connect come spoke VPC di Network Connectivity Center. Non possono esserci sovrapposizioni di subnet tra gli spoke VPC.
  • Quando configuri lo spoke VPC, annuncia intervalli di subnet di indirizzi IP non sovrapposti alla tabella route dell'hub di Network Connectivity Center:
    • Includi gli intervalli di subnet per l'esportazione.
    • Escludi gli intervalli di subnet per l'esportazione.
• Se gli spoke VPC si trovano in progetti diversi e sono gestiti da amministratori diversi da quelli dell'hub Network Connectivity Center, gli amministratori degli spoke VPC devono avviare una richiesta di adesione all'hub Network Connectivity Center negli altri progetti.
  • Utilizza le autorizzazioni Identity and Access Management (IAM) nel progetto hub Network Connectivity Center per concedere il ruolo roles/networkconnectivity.groupUser all'utente.
• Per consentire alle connessioni dei servizi privati di essere accessibili in modo transitivo e globale da altri spoke di Network Connectivity Center, abilita la propagazione delle connessioni Private Service Connect sull'hub Network Connectivity Center.

Se la comunicazione inter-VPC completamente mesh tra le VPC del carico di lavoro non è consentita, valuta la possibilità di utilizzare una topologia a stella di Network Connectivity Center.

Stabilire la connettività con topologia a stella

Le architetture aziendali centralizzate che richiedono una topologia punto-multipunto possono utilizzare una topologia a stella di Network Intelligence Center.

Per utilizzare una topologia a stella di Network Connectivity Center, completa le seguenti attività:

1. In Network Connectivity Center, crea un hub Network Connectivity Center e specifica una topologia a stella.
2. Per consentire alle connessioni dei servizi privati di essere accessibili in modo transitivo e globale da altri spoke di Network Connectivity Center, attiva la propagazione delle connessioni Private Service Connect sull'hub Network Connectivity Center.
3. Quando configuri l'hub di Network Connectivity Center per una topologia a stella, puoi raggruppare le VPC in uno di due gruppi predeterminati: gruppi di hub o gruppi perimetrali.

4. Per raggruppare le VPC nel gruppo centrale, configura la VPC di transito e le VPC consumer Private Service Connect come spoke VPC di Network Connectivity Center all'interno del gruppo centrale.

   Network Connectivity Center crea una rete completamente mesh tra gli spoke VPC posizionati nel gruppo centrale.

5. Per raggruppare le VPC del workload nel gruppo perimetrale, configura ciascuna di queste reti come spoke VPC di Network Connectivity Center all'interno del gruppo.

   Network Connectivity Center crea un percorso di dati point-to-point da ogni spoke VPC di Network Connectivity Center a tutte le VPC nel gruppo del centro.

Testa la connettività ai carichi di lavoro

Se hai carichi di lavoro già di cui è stato eseguito il deployment nelle reti VPC, testa subito l'accesso. Se hai collegato le reti prima di eseguire il deployment dei carichi di lavoro, puoi eseguirne il deployment ora e testare.

Passaggi successivi

• Scopri di più sui Google Cloud prodotti utilizzati in questa guida di progettazione:
  • Reti VPC
  • Network Connectivity Center
  • Cloud Interconnect
  • VPN ad alta disponibilità
• Per altre architetture di riferimento, diagrammi e best practice, visita il Cloud Architecture Center.

Collaboratori

Autori:

• Eric Yu | Networking Specialist Customer Engineer
• Deepak Michael | Customer Engineer esperto di networking
• Victor Moreno | Product Manager, Cloud Networking
• Osvaldo Costa | Networking Specialist Customer Engineer

Altri collaboratori:

• Mark Schlagenhauf | Technical Writer, Networking
• Ammett Williams | Developer Relations Engineer
• Ghaleb Al-habian | Specialista della rete
• Tony Sarathchandra | Senior Product Manager