Konektivitas antar-VPC Jaringan Lintas Cloud menggunakan Network Connectivity Center

Dokumen ini memberikan arsitektur referensi yang dapat Anda gunakan untuk men-deploy topologi jaringan antar-VPC Jaringan Lintas Cloud di Google Cloud. Desain jaringan ini memungkinkan deployment layanan software di seluruh Google Cloud dan jaringan eksternal, seperti pusat data lokal atau Penyedia Layanan Cloud (CSP) lainnya.

Audiens yang dituju untuk dokumen ini mencakup administrator jaringan, arsitek cloud, dan arsitek perusahaan yang akan membangun konektivitas jaringan. Hal ini juga mencakup arsitek cloud yang merencanakan cara deployment workload. Dokumen ini mengasumsikan pemahaman dasar tentang perutean dan koneksi internet.

Desain ini mendukung beberapa koneksi eksternal, beberapa jaringan Virtual Private Cloud (VPC) akses layanan yang berisi layanan dan titik akses layanan, serta beberapa jaringan VPC beban kerja.

Dalam dokumen ini, istilah titik akses layanan mengacu pada titik akses ke layanan yang disediakan menggunakan Google Cloud akses layanan pribadi dan Private Service Connect. Network Connectivity Center adalah model bidang kontrol hub-and-spoke untuk pengelolaan konektivitas jaringan di Google Cloud. Resource hub menyediakan pengelolaan konektivitas terpusat untuk spoke VPC Network Connectivity Center.

Hub Network Connectivity Center adalah bidang kontrol global yang mempelajari dan mendistribusikan rute di antara berbagai jenis spoke yang terhubung ke hub tersebut. Spoke VPC biasanya memasukkan rute subnet ke dalam tabel rute hub terpusat. Spoke campuran biasanya memasukkan rute dinamis ke dalam tabel rute hub terpusat. Dengan menggunakan informasi bidang kontrol hub Network Connectivity Center, Google Cloud akan otomatis membuat konektivitas bidang data di antara spoke Network Connectivity Center.

Network Connectivity Center adalah pendekatan yang direkomendasikan untuk menghubungkan VPC guna mendapatkan pertumbuhan yang skalabel di Google Cloud. Jika peralatan virtual jaringan harus disisipkan di jalur traffic, gunakan rute statis atau berbasis kebijakan bersama dengan peering jaringan VPC untuk menghubungkan VPC. Untuk mengetahui informasi selengkapnya, lihat Konektivitas antar-VPC Jaringan Lintas Cloud dengan Peering Jaringan VPC.

Arsitektur

Diagram berikut menunjukkan tampilan tingkat tinggi arsitektur jaringan dan berbagai alur paket yang didukung arsitektur ini.

Arsitektur ini berisi elemen tingkat tinggi berikut:

Komponen	Tujuan	Interaksi
Jaringan eksternal (Jaringan lokal atau jaringan CSP lainnya)	Menghosting klien workload yang berjalan di VPC workload dan di VPC akses layanan. Jaringan eksternal juga dapat menghosting layanan.	Bertukar data dengan jaringan VPC Google Cloud melalui jaringan transit. Terhubung ke jaringan transit menggunakan Cloud Interconnect atau VPN HA. Mengakhiri salah satu ujung alur berikut: Eksternal ke eksternal Akses eksternal ke layanan External-to-Private-Service-Connect-consumer Eksternal ke beban kerja
Jaringan VPC transit (juga dikenal sebagai Jaringan VPC Perutean di Network Connectivity Center)	Berfungsi sebagai hub untuk jaringan eksternal, jaringan VPC akses layanan, dan jaringan VPC beban kerja.	Menghubungkan jaringan eksternal, jaringan VPC akses layanan, jaringan konsumen Private Service Connect, dan jaringan VPC beban kerja secara bersamaan melalui kombinasi Cloud Interconnect, HA VPN, dan Network Connectivity Center.
Jaringan VPC akses layanan	Memberikan akses ke layanan yang diperlukan oleh beban kerja yang berjalan di jaringan VPC beban kerja atau jaringan eksternal. Juga menyediakan titik akses ke layanan terkelola yang dihosting di jaringan lain.	Bertukar data dengan jaringan konsumen eksternal, beban kerja, dan Private Service Connect melalui jaringan transit. Terhubung ke VPC transit menggunakan VPN dengan ketersediaan tinggi (HA). Pemilihan rute transitif yang disediakan oleh VPN HA memungkinkan traffic eksternal menjangkau VPC layanan terkelola melalui jaringan VPC akses layanan. Mengakhiri salah satu ujung alur berikut: Akses eksternal ke layanan Akses workload ke layanan Services-access-to-Private-Service-Connect-consumer
Jaringan VPC layanan terkelola	Menghosting layanan terkelola yang diperlukan oleh klien di jaringan lain.	Bertukar data dengan jaringan eksternal, akses layanan, konsumen Private Service Connect, dan beban kerja. Terhubung ke jaringan VPC akses layanan menggunakan akses layanan pribadi, yang menggunakan Peering Jaringan VPC. VPC layanan terkelola juga dapat terhubung ke VPC konsumen Private Service Connect menggunakan Private Service Connect atau akses layanan pribadi. Menghentikan satu ujung alur dari semua jaringan lain.
VPC konsumen Private Service Connect	Menghosting endpoint Private Service Connect yang dapat diakses dari jaringan lain. VPC ini mungkin juga merupakan VPC beban kerja.	Bertukar data dengan jaringan VPC eksternal dan akses layanan melalui jaringan VPC transit. Terhubung ke jaringan transit dan jaringan VPC beban kerja lain menggunakan spoke VPC Network Connectivity Center.
Jaringan VPC beban kerja	Menghosting workload yang diperlukan oleh klien di jaringan lain. Arsitektur ini memungkinkan beberapa jaringan VPC workload.	Bertukar data dengan jaringan VPC eksternal dan akses layanan melalui jaringan VPC transit. Terhubung ke jaringan transit, jaringan konsumen Private Service Connect, dan jaringan VPC beban kerja lainnya menggunakan spoke VPC Network Connectivity Center. Mengakhiri salah satu ujung alur berikut: Eksternal ke beban kerja Akses workload ke layanan Workload-to-Private-Service-Connect-consumer Workload-ke-workload
Network Connectivity Center	Hub Network Connectivity Center menggabungkan database perutean global yang berfungsi sebagai bidang kontrol jaringan untuk rute koneksi hybrid dan subnet VPC di seluruh region Google Cloud .	Menghubungkan beberapa jaringan VPC dan hybrid dalam topologi apa saja dengan membuat jalur data yang menggunakan tabel rute bidang kontrol.

Diagram berikut menunjukkan tampilan mendetail arsitektur yang menyoroti empat koneksi di antara komponen:

Deskripsi koneksi

Bagian ini menjelaskan empat koneksi yang ditampilkan dalam diagram sebelumnya. Dokumentasi Network Connectivity Center merujuk pada jaringan VPC transit sebagai VPC perutean. Meskipun memiliki nama yang berbeda, jaringan ini memiliki tujuan yang sama.

Koneksi 1: Antara jaringan eksternal dan jaringan VPC transit

Koneksi ini antara jaringan eksternal dan jaringan VPC transit terjadi melalui Cloud Interconnect atau VPN dengan ketersediaan tinggi (HA). Rute dipertukarkan menggunakan BGP antara Cloud Router di jaringan VPC transit dan antara router eksternal di jaringan eksternal.

• Router di jaringan eksternal mengumumkan rute untuk subnet eksternal ke Cloud Router VPC transit. Secara umum, router eksternal di lokasi tertentu mengumumkan rute dari lokasi eksternal yang sama sebagai lebih disukai daripada rute untuk lokasi eksternal lainnya. Preferensi rute dapat dinyatakan dengan menggunakan metrik dan atribut BGP.
• Cloud Router di jaringan VPC transit mengumumkan rute untuk awalan di VPC Google Cloud ke jaringan eksternal. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
• Network Connectivity Center memungkinkan Anda mentransfer data di antara jaringan lokal yang berbeda menggunakan jaringan backbone Google. Saat mengonfigurasi lampiran VLAN interconnect sebagai spoke hibrida Network Connectivity Center, Anda harus mengaktifkan transfer data site-to-site.
• Lampiran VLAN Cloud Interconnect yang menggunakan sumber awalan jaringan eksternal yang sama dikonfigurasi sebagai satu spoke Network Connectivity Center.

Koneksi 2: Antara jaringan VPC transit dan jaringan VPC akses layanan

Koneksi antara jaringan VPC transit dan jaringan VPC akses layanan terjadi melalui VPN dengan ketersediaan tinggi (HA) dengan tunnel terpisah untuk setiap region. Rute dipertukarkan menggunakan BGP antara Cloud Router regional di jaringan VPC transit dan di jaringan VPC akses layanan.

• Cloud Router VPN dengan ketersediaan tinggi (HA) VPC Transit mengumumkan rute untuk awalan jaringan eksternal, VPC workload, dan VPC akses layanan lainnya ke Cloud Router VPC akses layanan. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
• VPC akses layanan mengumumkan subnetnya dan subnet jaringan VPC layanan terkelola yang terpasang ke jaringan VPC transit. Rute VPC layanan terkelola dan rute subnet VPC akses layanan harus diumumkan menggunakan pengumuman rute kustom Cloud Router.

Koneksi 3: Antara jaringan VPC transportasi umum, jaringan VPC beban kerja, dan jaringan VPC akses layanan Private Service Connect

Koneksi antara jaringan VPC transit, jaringan VPC beban kerja, dan jaringan VPC konsumen Private Service Connect terjadi saat subnet dan rute awalan dipertukarkan menggunakan Network Connectivity Center. Koneksi ini memungkinkan komunikasi antara jaringan VPC workload, jaringan VPC akses layanan yang terhubung sebagai spoke VPC Network Connectivity Center, dan jaringan lain yang terhubung sebagai spoke hybrid Network Connectivity Center. Jaringan lain ini mencakup jaringan eksternal dan jaringan VPC akses layanan yang masing-masing menggunakan koneksi 1 dan koneksi 2.

• Lampiran Cloud Interconnect atau VPN dengan ketersediaan tinggi (HA) di jaringan VPC transit menggunakan Network Connectivity Center untuk mengekspor rute dinamis ke jaringan VPC beban kerja.
• Saat Anda mengonfigurasi jaringan VPC workload sebagai spoke hub Network Connectivity Center, jaringan VPC workload akan otomatis mengekspor subnetnya ke jaringan VPC transit. Secara opsional, Anda dapat menyiapkan jaringan VPC transisi sebagai spoke VPC. Tidak ada rute statis yang diekspor dari jaringan VPC beban kerja ke jaringan VPC transit. Tidak ada rute statis yang diekspor dari jaringan VPC transit ke jaringan VPC beban kerja.

Koneksi 4: VPC Konsumen Private Service Connect dengan propagasi Network Connectivity Center

• Endpoint Private Service Connect diatur dalam VPC umum yang memungkinkan konsumen mengakses layanan terkelola pihak pertama dan pihak ketiga.
• Jaringan VPC konsumen Private Service Connect dikonfigurasi sebagai spoke VPC Network Connectivity Center. Spoke ini memungkinkan penyebaran Private Service Connect di hub Network Connectivity Center. Propagasi Private Service Connect mengumumkan awalan host endpoint Private Service Connect sebagai rute ke tabel pemilihan rute hub Network Connectivity Center.
• Jaringan VPC konsumen akses layanan Private Service Connect terhubung ke jaringan VPC beban kerja dan ke jaringan VPC transit. Koneksi ini memungkinkan konektivitas transitif ke endpoint Private Service Connect. Hub Network Connectivity Center harus mengaktifkan propagasi koneksi Private Service Connect.
• Network Connectivity Center otomatis membuat jalur data dari semua spoke ke endpoint Private Service Connect.

Arus traffic

Diagram berikut menunjukkan alur yang diaktifkan oleh arsitektur referensi ini.

Tabel berikut menjelaskan alur dalam diagram:

Sumber	Tujuan	Deskripsi
Jaringan eksternal	Jaringan VPC akses layanan	Traffic mengikuti rute melalui koneksi eksternal ke jaringan transit. Rute diumumkan oleh Cloud Router yang menghadap ke luar. Traffic mengikuti rute kustom ke jaringan VPC akses layanan. Rute diumumkan di seluruh koneksi VPN dengan ketersediaan tinggi (HA). Jika tujuan berada di jaringan VPC layanan terkelola yang terhubung ke jaringan VPC akses layanan melalui akses layanan pribadi, traffic akan mengikuti rute kustom Network Connectivity Center ke jaringan layanan terkelola.
Jaringan VPC akses layanan	Jaringan eksternal	Traffic mengikuti rute kustom di seluruh tunnel VPN HA ke jaringan transit. Traffic mengikuti rute di seluruh koneksi eksternal kembali ke jaringan eksternal. Rute dipelajari dari router eksternal melalui BGP.
Jaringan eksternal	Jaringan VPC beban kerja atau jaringan VPC konsumen Private Service Connect	Traffic mengikuti rute melalui koneksi eksternal ke jaringan transit. Rute diumumkan oleh Cloud Router yang menghadap ke luar. Traffic mengikuti rute subnet ke jaringan VPC beban kerja yang relevan. Rute dipelajari melalui Network Connectivity Center.
Jaringan VPC beban kerja atau jaringan VPC konsumen Private Service Connect	Jaringan eksternal	Traffic mengikuti rute dinamis kembali ke jaringan transportasi umum. Rute dipelajari melalui ekspor rute kustom Network Connectivity Center. Traffic mengikuti rute di seluruh koneksi eksternal kembali ke jaringan eksternal. Rute dipelajari dari router eksternal melalui BGP.
Jaringan VPC beban kerja	Jaringan VPC akses layanan	Traffic mengikuti rute ke jaringan VPC transit. Rute dipelajari melalui ekspor rute kustom Network Connectivity Center. Traffic mengikuti rute melalui salah satu tunnel VPN HA ke jaringan VPC akses layanan. Rute dipelajari dari pengumuman rute kustom BGP.
Jaringan VPC akses layanan	Jaringan VPC beban kerja	Traffic mengikuti rute kustom ke jaringan transit. Rute diumumkan di seluruh tunnel VPN dengan ketersediaan tinggi (HA). Traffic mengikuti rute subnet ke jaringan VPC beban kerja yang relevan. Rute dipelajari melalui Network Connectivity Center.
Jaringan VPC beban kerja	Jaringan VPC beban kerja	Traffic yang keluar dari satu VPC workload mengikuti rute yang lebih spesifik ke VPC workload lainnya melalui Network Connectivity Center. Lalu lintas kembali akan membalikkan jalur ini.

Produk yang digunakan

• Virtual Private Cloud (VPC): Sistem virtual yang menyediakan fungsi jaringan global dan skalabel untuk Google Cloud workload Anda. VPC mencakup Peering Jaringan VPC, Private Service Connect, akses layanan pribadi, dan VPC Bersama.
• Network Connectivity Center: Framework orkestrasi yang menyederhanakan konektivitas jaringan di antara resource spoke yang terhubung ke resource pengelolaan terpusat yang disebut hub.
• Cloud Interconnect: Layanan yang memperluas jaringan eksternal Anda ke jaringan Google melalui koneksi latensi rendah yang sangat tersedia.
• Cloud VPN: Layanan yang memperluas jaringan peer Anda dengan aman ke jaringan Google melalui tunnel VPN IPsec.
• Cloud Router: Penawaran terdistribusi dan terkelola sepenuhnya yang menyediakan kemampuan speaker dan responder Border Gateway Protocol (BGP). Cloud Router berfungsi dengan Cloud Interconnect, Cloud VPN, dan Router untuk membuat rute dinamis di jaringan VPC berdasarkan rute yang dipelajari kustom dan rute yang diterima BGP.

Pertimbangan desain

Bagian ini menjelaskan faktor desain, praktik terbaik, dan rekomendasi desain yang harus Anda pertimbangkan saat menggunakan arsitektur referensi ini untuk mengembangkan topologi yang memenuhi persyaratan khusus Anda untuk keamanan, keandalan, dan performa.

Keamanan dan kepatuhan

Daftar berikut menjelaskan pertimbangan keamanan dan kepatuhan untuk arsitektur referensi ini:

• Karena alasan kepatuhan, Anda mungkin ingin men-deploy workload hanya di satu region. Jika ingin menyimpan semua traffic di satu region, Anda dapat menggunakan topologi 99,9%.
• Gunakan Cloud Next Generation Firewall (Cloud NGFW) untuk mengamankan traffic yang masuk dan keluar dari jaringan VPC akses layanan dan workload. Untuk memeriksa traffic yang melewati jaringan hybrid melalui jaringan transit, Anda perlu menggunakan firewall eksternal atau firewall NVA.
• Aktifkan Uji Konektivitas untuk memastikan traffic berperilaku seperti yang diharapkan.
• Aktifkan logging dan pemantauan sesuai dengan kebutuhan traffic dan kepatuhan Anda. Untuk mendapatkan insight tentang pola traffic Anda, gunakan Log Aliran VPC bersama dengan Flow Analyzer.
• Gunakan Cloud IDS untuk mengumpulkan insight tambahan tentang traffic Anda.

Keandalan

Daftar berikut menjelaskan pertimbangan keandalan untuk arsitektur referensi ini:

• Untuk mendapatkan ketersediaan 99,99% untuk Cloud Interconnect, Anda harus terhubung ke dua region Google Cloud yang berbeda dari metro yang berbeda di dua zona yang berbeda.
• Untuk meningkatkan keandalan dan meminimalkan eksposur terhadap kegagalan regional, Anda dapat mendistribusikan beban kerja dan resource cloud lainnya di seluruh region.
• Untuk menangani traffic yang diharapkan, buat tunnel VPN dalam jumlah yang memadai. Setiap tunnel VPN memiliki batas bandwidth.

Pengoptimalan performa

Daftar berikut menjelaskan pertimbangan performa untuk arsitektur referensi ini:

• Anda mungkin dapat meningkatkan performa jaringan dengan meningkatkan unit transmisi maksimum (MTU) jaringan dan koneksi Anda. Untuk mengetahui informasi selengkapnya, lihat Unit transmisi maksimum.
• Komunikasi antara VPC transit dan resource workload dilakukan melalui koneksi Network Connectivity Center. Koneksi ini menyediakan throughput kecepatan penuh untuk semua VM di jaringan tanpa biaya tambahan. Anda memiliki beberapa pilihan untuk menghubungkan jaringan eksternal ke jaringan transpor. Untuk mengetahui informasi selengkapnya tentang cara menyeimbangkan pertimbangan biaya dan performa, lihat Memilih produk Network Connectivity.

Deployment

Bagian ini membahas cara men-deploy konektivitas antar-VPC Jaringan Lintas Cloud menggunakan arsitektur Network Connectivity Center yang dijelaskan dalam dokumen ini.

Arsitektur dalam dokumen ini membuat tiga jenis koneksi ke VPC transit pusat, ditambah koneksi antara jaringan VPC beban kerja dan jaringan VPC beban kerja. Setelah dikonfigurasi sepenuhnya, Network Connectivity Center akan membuat komunikasi antara semua jaringan.

Deployment ini mengasumsikan bahwa Anda membuat koneksi antara jaringan eksternal dan transit di dua region, meskipun subnet workload dapat berada di region lain. Jika beban kerja hanya ditempatkan di satu region, subnet hanya perlu dibuat di region tersebut.

Untuk men-deploy arsitektur referensi ini, selesaikan tugas berikut:

1. Membuat segmentasi jaringan dengan Network Connectivity Center
2. Mengidentifikasi region untuk menempatkan konektivitas dan workload
3. Membuat jaringan dan subnet VPC
4. Membuat koneksi antara jaringan eksternal dan jaringan VPC transit Anda
5. Membuat koneksi antara jaringan VPC transit dan jaringan VPC akses layanan
6. Membangun konektivitas antara jaringan VPC transit dan jaringan VPC beban kerja
7. Menguji konektivitas ke beban kerja

Membuat segmentasi jaringan dengan Network Connectivity Center

Sebelum membuat hub Network Connectivity Center untuk pertama kalinya, Anda harus memutuskan apakah ingin menggunakan topologi mesh penuh atau topologi bintang. Keputusan untuk berkomitmen pada mesh penuh VPC yang saling terhubung atau topologi bintang VPC tidak dapat dibatalkan. Gunakan panduan umum berikut untuk membuat keputusan yang tidak dapat dibatalkan ini:

• Jika arsitektur bisnis organisasi Anda mengizinkan traffic di antara jaringan VPC, gunakan mesh Network Connectivity Center.
• Jika aliran traffic di antara spoke VPC tertentu tidak diizinkan, tetapi spoke VPC ini dapat terhubung ke grup inti spoke VPC, gunakan topologi bintang Network Connectivity Center.

Mengidentifikasi region untuk menempatkan konektivitas dan workload

Secara umum, Anda ingin menempatkan konektivitas dan Google Cloud workload di dekat jaringan lokal atau klien cloud lainnya. Untuk informasi selengkapnya tentang cara menempatkan beban kerja, lihat Google Cloud Pemilih Region dan Praktik terbaik untuk pemilihan region Compute Engine.

Membuat jaringan dan subnet VPC

Untuk membuat jaringan dan subnet VPC, selesaikan tugas berikut:

1. Buat atau identifikasi project tempat Anda akan membuat jaringan VPC. Untuk panduan, lihat Segmentasi jaringan dan struktur project. Jika Anda ingin menggunakan jaringan VPC Bersama, sediakan project Anda sebagai project host VPC Bersama.

2. Merencanakan alokasi alamat IP untuk jaringan Anda. Anda dapat mengalokasikan dan mencadangkan rentang terlebih dahulu dengan membuat rentang internal. Tindakan ini akan mempermudah konfigurasi dan operasi di masa mendatang.

3. Buat VPC jaringan transit dengan perutean global diaktifkan.

4. Membuat jaringan VPC akses layanan. Jika Anda berencana untuk memiliki workload di beberapa region, aktifkan perutean global.

5. Membuat jaringan VPC beban kerja. Jika Anda akan memiliki workload di beberapa region, aktifkan pemilihan rute global.

Membuat koneksi antara jaringan eksternal dan jaringan VPC transit Anda

Bagian ini mengasumsikan konektivitas di dua region dan mengasumsikan bahwa lokasi eksternal terhubung dan dapat melakukan failover satu sama lain. Hal ini juga mengasumsikan bahwa ada preferensi bagi klien di lokasi eksternal untuk menjangkau layanan di region tempat lokasi eksternal berada.

1. Siapkan konektivitas antara jaringan eksternal dan jaringan transit Anda. Untuk memahami cara memikirkan hal ini, lihat Konektivitas eksternal dan hybrid. Untuk panduan memilih produk konektivitas, lihat Memilih produk Network Connectivity.

2. Konfigurasikan BGP di setiap region yang terhubung sebagai berikut:

   • Konfigurasikan router di lokasi eksternal yang diberikan sebagai berikut:
     • Umumkan semua subnet untuk lokasi eksternal tersebut menggunakan MED BGP yang sama di kedua antarmuka, seperti 100. Jika kedua antarmuka mengumumkan MED yang sama, Google Cloud dapat menggunakan ECMP untuk melakukan load balancing traffic di kedua koneksi.
     • Umumkan semua subnet dari lokasi eksternal lainnya menggunakan MED dengan prioritas lebih rendah daripada region pertama, seperti 200. Umumkan MED yang sama dari kedua antarmuka.
   • Konfigurasikan Cloud Router yang menghadap ke luar di VPC transit region yang terhubung sebagai berikut:
     • Tetapkan Cloud Router dengan ASN pribadi.
     • Gunakan pemberitahuan rute kustom, untuk mengumumkan semua rentang subnet dari semua region melalui antarmuka Cloud Router yang menghadap ke luar. Gabungkan jika memungkinkan. Gunakan MED yang sama di kedua antarmuka, seperti 100.

3. Untuk menggunakan hub dan spoke hybrid Network Connectivity Center, gunakan parameter default.

   • Buat hub Network Connectivity Center. Jika organisasi Anda mengizinkan traffic di antara semua jaringan VPC, gunakan konfigurasi mesh penuh default.
   • Jika Anda menggunakan Partner Interconnect, Dedicated Interconnect, HA-VPN, atau perangkat Router untuk menjangkau awalan lokal, konfigurasikan komponen ini sebagai spoke hybrid Network Connectivity Center yang berbeda.
     • Untuk mengumumkan subnet tabel rute hub Network Connectivity Center ke tetangga BGP jarak jauh, tetapkan filter untuk menyertakan semua rentang alamat IPv4.
     • Jika konektivitas campuran dihentikan di Cloud Router di region yang mendukung transfer data, konfigurasi spoke campuran dengan mengaktifkan transfer data situs ke situs. Tindakan ini mendukung transfer data site-to-site yang menggunakan jaringan backbone Google.

Membuat koneksi antara jaringan VPC transit dan jaringan VPC akses layanan

Untuk menyediakan perutean transitif antara jaringan eksternal dan VPC akses layanan serta antara VPC beban kerja dan VPC akses layanan, VPC akses layanan menggunakan VPN HA untuk konektivitas.

1. Perkiraan jumlah traffic yang perlu ditransmisikan antara VPC transit dan VPC akses layanan di setiap region. Sesuaikan jumlah tunnel yang diharapkan.

2. Konfigurasikan VPN dengan ketersediaan tinggi (HA) antara jaringan VPC transit dan jaringan VPC akses layanan di region A menggunakan petunjuk dalam Membuat gateway VPN dengan ketersediaan tinggi (HA) untuk menghubungkan jaringan VPC. Buat Cloud Router VPN dengan ketersediaan tinggi (HA) khusus di jaringan VPC transit. Biarkan router yang menghadap jaringan eksternal untuk koneksi jaringan eksternal.

   • Konfigurasi Cloud Router VPC Transit:
     • Untuk mengumumkan subnet VPC jaringan eksternal dan workload ke VPC akses layanan, gunakan pemberitahuan rute kustom di Cloud Router di VPC transit.
   • Konfigurasi Cloud Router VPC akses layanan:
     • Untuk mengumumkan subnet jaringan VPC akses layanan ke VPC transit, gunakan iklan rute kustom di Cloud Router jaringan VPC akses layanan.
     • Jika Anda menggunakan akses layanan pribadi untuk menghubungkan jaringan VPC layanan terkelola ke VPC akses layanan, gunakan juga rute kustom untuk mengumumkan subnet tersebut.
   • Di sisi VPC transit dari tunnel VPN dengan ketersediaan tinggi (HA), konfigurasi pasangan tunnel sebagai spoke hybrid Network Connectivity Center:
     • Untuk mendukung transfer data antar-region, konfigurasikan spoke hibrida dengan mengaktifkan transfer data antarsitus.
     • Untuk mengumumkan subnet tabel rute hub Network Connectivity Center ke tetangga BGP jarak jauh, tetapkan filter untuk menyertakan semua rentang alamat IPv4. Tindakan ini mengumumkan semua rute subnet IPv4 ke tetangga.
       • Untuk menginstal rute dinamis saat kapasitas terbatas di router eksternal, konfigurasikan Cloud Router untuk mengumumkan rute ringkasan dengan iklan rute kustom. Gunakan pendekatan ini, bukan mengumumkan tabel rute lengkap hub Network Connectivity Center.

3. Jika Anda menghubungkan VPC layanan terkelola ke VPC akses layanan menggunakan akses layanan pribadi setelah koneksi Peering Jaringan VPC dibuat, Anda juga harus memperbarui sisi VPC akses layanan dari koneksi Peering Jaringan VPC untuk mengekspor rute kustom.

Membangun konektivitas antara jaringan VPC transit dan jaringan VPC beban kerja

Untuk membuat konektivitas antar-VPC dalam skala besar, gunakan Network Connectivity Center dengan spoke VPC. Network Connectivity Center mendukung dua jenis model bidang data yang berbeda— model bidang data mesh penuh atau model bidang data topologi bintang.

• Jika semua jaringan Anda dapat diizinkan untuk saling berkomunikasi, maka Buat konektivitas mesh penuh.
• Jika arsitektur bisnis Anda memerlukan topologi point-to-multipoint, maka Buat konektivitas topologi bintang.

Membuat konektivitas mesh penuh

Spoke VPC Network Connectivity Center mencakup VPC transit, VPC konsumen Private Service Connect, dan semua VPC workload.

• Meskipun Network Connectivity Center membuat jaringan spoke VPC yang sepenuhnya mesh, operator jaringan harus mengizinkan aliran traffic antara jaringan sumber dan jaringan tujuan menggunakan aturan firewall atau kebijakan firewall.
• Konfigurasikan semua VPC konsumen workload, transportasi umum, dan Private Service Connect sebagai spoke VPC Network Connectivity Center. Tidak boleh ada tumpang tindih subnet di seluruh spoke VPC.
  • Saat Anda mengonfigurasi spoke VPC, umumkan rentang subnet alamat IP yang tidak tumpang-tindih ke tabel rute hub Network Connectivity Center:
    • Sertakan rentang subnet ekspor.
    • Mengecualikan rentang subnet ekspor.
• Jika spoke VPC berada di project yang berbeda dan spoke tersebut dikelola oleh administrator selain administrator hub Network Connectivity Center, administrator spoke VPC harus memulai permintaan untuk bergabung dengan hub Network Connectivity Center di project lain.
  • Gunakan izin Identity and Access Management (IAM) di project hub Network Connectivity Center untuk memberikan peran roles/networkconnectivity.groupUser kepada pengguna tersebut.
• Agar koneksi layanan pribadi dapat diakses secara transitif dan global dari spoke Network Connectivity Center lainnya, aktifkan penyebaran koneksi Private Service Connect di hub Network Connectivity Center.

Jika komunikasi antar-VPC mesh sepenuhnya antara VPC beban kerja tidak diizinkan, pertimbangkan untuk menggunakan topologi bintang Network Connectivity Center.

Membangun konektivitas topologi bintang

Arsitektur bisnis terpusat yang memerlukan topologi point-to-multipoint dapat menggunakan topologi bintang Network Connectivity Center.

Untuk menggunakan topologi bintang Network Connectivity Center, selesaikan tugas berikut:

1. Di Network Connectivity Center, buat hub Network Connectivity Center dan tentukan topologi bintang.
2. Agar koneksi layanan pribadi dapat diakses secara transitif dan global dari spoke Network Connectivity Center lainnya, aktifkan penyebaran koneksi Private Service Connect di hub Network Connectivity Center.
3. Saat mengonfigurasi hub Network Connectivity Center untuk topologi bintang, Anda dapat mengelompokkan VPC dalam salah satu dari dua grup yang telah ditentukan: grup pusat atau grup tepi.

4. Untuk mengelompokkan VPC dalam grup pusat, konfigurasikan VPC transit dan VPC konsumen Private Service Connect sebagai spoke VPC Pusat Konektivitas Jaringan sebagai bagian dari grup pusat.

   Network Connectivity Center membuat jaringan mesh penuh di antara spoke VPC yang ditempatkan di grup tengah.

5. Untuk mengelompokkan VPC workload dalam grup edge, konfigurasikan setiap jaringan ini sebagai spoke VPC Network Connectivity Center dalam grup tersebut.

   Network Connectivity Center membuat jalur data point-to-point dari setiap spoke VPC Network Connectivity Center ke semua VPC dalam grup pusat.

Menguji konektivitas ke workload

Jika Anda memiliki beban kerja yang sudah di-deploy di jaringan VPC, uji akses ke beban kerja tersebut sekarang. Jika Anda menghubungkan jaringan sebelum men-deploy workload, Anda dapat men-deploy workload sekarang dan mengujinya.

Langkah berikutnya

• Pelajari lebih lanjut Google Cloud produk yang digunakan dalam panduan desain ini:
  • Jaringan VPC
  • Network Connectivity Center
  • Cloud Interconnect
  • VPN dengan ketersediaan tinggi (HA)
• Untuk mengetahui lebih banyak tentang arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.

Kontributor

Penulis:

• Eric Yu | Networking Specialist Customer Engineer
• Deepak Michael | Networking Specialist Customer Engineer
• Victor Moreno | Product Manager, Cloud Networking
• Osvaldo Costa | Networking Specialist Customer Engineer

Kontributor lainnya:

• Mark Schlagenhauf | Technical Writer, Networking
• Ammett Williams | Developer Relations Engineer
• Ghaleb Al-habian | Network Specialist
• Tony Sarathchandra | Senior Product Manager