VPC-Netzwerk-Peering – Cloud-übergreifendes Netzwerk mit NVAs und regionaler Affinität

In diesem Dokument wird eine Referenzarchitektur beschrieben, mit der Sie eine Cross-Cloud Network-Hub-and-Spoke-Netzwerktopologie bereitstellen können, in der Netzwerk-Appliances (Network Virtual Appliances, NVAs) zum Weiterleiten von Traffic verwendet werden.

Dieses Dokument richtet sich an Netzwerkadministratoren, die Netzwerkkonnektivität aufbauen, und an Cloud-Architekten, die planen, wie Arbeitslasten bereitgestellt werden. In diesem Dokument wird davon ausgegangen, dass Sie über grundlegende Kenntnisse in den Bereichen Routing, Internetverbindung und NVA-Software verfügen, die Sie bereitstellen möchten. Wenn Sie diese Referenzarchitektur verwenden möchten, sollten Sie mit dem Designleitfaden für cloudübergreifende Netzwerke vertraut sein.

Dieses Design unterstützt mehrere externe Verbindungen zu lokalen oder CSP-Standorten (Cloud Service Provider) und mehrere VPC-Netzwerke für Arbeitslasten.

Bei diesem Design wird von einer Bereitstellung in einer einzelnen Region ausgegangen. Es bietet regionale Affinität, aber kein regionales Failover. Wenn Sie die Bereitstellung in mehreren Regionen vornehmen möchten, können Sie den Google Cloud Archetyp für multiregionale Bereitstellungen verwenden.

Bei diesem Design werden NVAs in allen Flows platziert, mit Ausnahme der Flows innerhalb und zwischen VPC-Netzwerken für Arbeitslasten. Sie können dafür sorgen, dass Flows die NVAs überspringen, indem Sie die entsprechenden richtlinienbasierten Routen zum Überspringen hinzufügen. Nur die Datenflüsse zwischen dem externen Netzwerk und dem VPC-Netzwerk für den Dienstzugriff benötigen NVAs, da alle anderen Datenflüsse von der Cloud Next Generation Firewall geprüft werden können.

Architektur

Das folgende Diagramm zeigt einen allgemeinen Überblick über die Architektur der Netzwerke und die von dieser Architektur unterstützten Abläufe.

Die Architektur umfasst die folgenden allgemeinen Elemente:

Komponente	Zweck	Interaktionen
Externe Netzwerke (lokal oder anderes CSP-Netzwerk)	Hier werden die Clients von Arbeitslasten gehostet, die in den Arbeitslast-VPCs und in den VPCs für den Dienstzugriff ausgeführt werden. Dienste können auch in externen Netzwerken gehostet werden.	Tauscht Daten mit den VPC-Netzwerken von Google Cloudüber die NVAs aus, die im Routing-VPC-Netzwerk gehostet werden. Stellt eine Verbindung zum Routing-VPC-Netzwerk über Cloud Interconnect oder HA VPN her. Beendet ein Ende der folgenden Flows: External-to-services-access Extern zu Arbeitslast
Routing-VPC-Netzwerk (auch als Transit-VPC-Netzwerk bezeichnet)	Fungiert als Hub für das externe Netzwerk, das VPC-Netzwerk für den Dienstzugriff und die VPC-Netzwerke für Arbeitslasten. Hier werden die NVAs gehostet, die zum Verarbeiten des netzwerkübergreifenden Traffics verwendet werden.	Verbindet das externe Netzwerk, das VPC-Netzwerk für den Dienstzugriff und die VPC-Netzwerke für Arbeitslasten über eine Kombination aus Cloud Interconnect, HA VPN und VPC-Netzwerk-Peering. Wenn Traffic aus den externen, Dienstzugriffs- und Arbeitslastnetzwerken das Routing-Netzwerk durchläuft, wird er durch richtlinienbasierte Routen an die NVAs gesendet.
VPC-Netzwerk für den Dienstzugriff	Bietet Zugriffspunkte für verwaltete Dienste, die in anderen Netzwerken gehostet werden. Im Netzwerk für den Dienstzugriff können bei Bedarf auch Dienste direkt gehostet werden.	Tauscht Daten mit dem externen Netzwerk und dem Arbeitslastnetzwerk über das Routing-Netzwerk aus. Verbindung zur Routing-VPC über HA VPN. Das transitive Routing, das von HA VPN bereitgestellt wird, ermöglicht es, dass externer Traffic die VPCs für verwaltete Dienste über das VPC-Netzwerk für den Dienstzugriff erreicht. Wenn im VPC-Netzwerk für den Dienstzugriff Dienste direkt gehostet werden, wird ein Ende der Flows aus allen anderen Netzwerken beendet.
VPC-Netzwerk für verwaltete Dienste	Hostet verwaltete Dienste, die von Clients in anderen Netzwerken benötigt werden.	Tauscht Daten mit dem externen Netzwerk, dem Netzwerk für den Dienstzugriff und dem Arbeitslastnetzwerk aus. Stellt eine Verbindung zum VPC-Netzwerk für den Zugriff auf Dienste über den Zugriff auf private Dienste her, der VPC-Netzwerk-Peering verwendet, oder über Private Service Connect. Beendet einen Endpunkt von Flows aus allen anderen Netzwerken.
Arbeitslast-VPC-Netzwerke	Hostet Arbeitslasten, die von Clients in anderen Netzwerken benötigt werden.	Tauscht Daten mit den externen und dienstzugriffsberechtigten VPC-Netzwerken über das Routing-VPC-Netzwerk aus. Stellt über VPC-Netzwerk-Peering eine Verbindung zum Routing-Netzwerk her. Verbindung zu anderen VPC-Netzwerken für Arbeitslasten über Network Connectivity Center. Beendet ein Ende der folgenden Flows: Extern zu Arbeitslast Workload-to-services-access Arbeitslast zu Arbeitslast
VPC-Netzwerk für Internetzugriff	Ermöglicht den Internetzugriff für Arbeitslasten, die ihn benötigen.	Bietet ausgehenden Zugriff auf das Internet für Arbeitslasten, die Updates oder andere Daten aus dem Internet herunterladen müssen. Daten werden über die NVAs und über Cloud NAT gesendet. Beendet ein Ende der folgenden Flows: Arbeitslast – Internet Services-access-to-internet

Beschreibungen von Verbindungen

Das folgende Diagramm zeigt eine detaillierte Ansicht der Architektur, in der die vier Verbindungen zwischen den Netzwerken hervorgehoben sind:

In diesem Abschnitt werden die vier Verbindungen beschrieben, die im vorherigen Diagramm dargestellt sind.

Verbindung 1: Zwischen externen Netzwerken und dem Routing-VPC-Netzwerk

Diese Verbindung zwischen externen Netzwerken und Routing-VPC-Netzwerken erfolgt über Cloud Interconnect oder HA VPN. Cloud Router im Routing-VPC-Netzwerk und die externen Router im externen Netzwerk tauschen Routen über BGP aus.

• Router in externen Netzwerken geben die Routen für externe Subnetze an die Routing-VPC-Cloud-Router weiter. Die Präferenz der Routen kann mithilfe von BGP-Messwerten und ‑Attributen ausgedrückt werden.
• Cloud Router im Routing-VPC-Netzwerk bewerben Routen für Präfixe in den VPCs von Google Cloudfür die externen Netzwerke. Diese Routen müssen mit benutzerdefinierten Route Advertisements von Cloud Router angekündigt werden.

Verbindung 2: Zwischen Routing-VPC-Netzwerken und VPC-Netzwerken für den Dienstzugriff

Diese Verbindung zwischen Routing-VPC-Netzwerken und VPC-Netzwerken für den Dienstzugriff erfolgt über HA VPN. Routen werden über BGP zwischen den regionalen Cloud-Routern in den Routing-VPC-Netzwerken und den VPC-Netzwerken für den Dienstzugriff ausgetauscht.

• Routing von VPC HA VPN: Cloud Router kündigen Routen für externe Netzwerkpräfixe, Arbeitslast-VPCs und andere VPCs für den Dienstzugriff beim Cloud Router der VPC für den Dienstzugriff an. Diese Routen müssen mit benutzerdefinierten Route Advertisements von Cloud Router angekündigt werden.
• Das VPC-Netzwerk für den Zugriff auf Dienste kündigt seine Subnetze und die Subnetze aller angehängten VPC-Netzwerke für verwaltete Dienste im Routing-VPC-Netzwerk an. VPC-Routen für verwaltete Dienste müssen mit benutzerdefinierten Cloud Router-Route-Advertisements angekündigt werden.

Verbindung 3: Zwischen Routing-VPC-Netzwerken und Arbeitslast-VPC-Netzwerken

Diese Verbindung zwischen Routing-VPC-Netzwerken und Arbeitslast-VPC-Netzwerken wird über VPC-Netzwerk-Peering implementiert. Diese Verbindung ermöglicht die Kommunikation zwischen den VPC-Netzwerken der Arbeitslast und den anderen Netzwerken, die mit dem Routing-VPC-Netzwerk verbunden sind. Zu diesen anderen Netzwerken gehören die externen Netzwerke und die VPC-Netzwerke für den Dienstzugriff.

• Das VPC-Netzwerk der Arbeitslast exportiert Subnetze automatisch in das Routing-VPC-Netzwerk.

Verbindung 4: Zwischen Arbeitslast-VPC-Netzwerken

Die VPC-Netzwerke für Arbeitslasten sind über Network Connectivity Center-VPC-Spokes desselben Hubs verbunden. Daher wird der Traffic von einem Arbeitslast-VPC-Netzwerk zu einem anderen direkt zwischen den Netzwerken übertragen. Der Traffic wird nicht über das Routing-VPC-Netzwerk übertragen.

Trafficabläufe

Das folgende Diagramm zeigt die vier Abläufe, die durch diese Referenzarchitektur ermöglicht werden.

In der folgenden Tabelle werden die Abläufe im Diagramm beschrieben:

Quelle	Ziel	Beschreibung
Externes Netzwerk	VPC-Netzwerk für den Dienstzugriff	Der Traffic folgt Routen über die Cloud Interconnect-Verbindungen zum Routing-VPC-Netzwerk. Die Routen werden vom externen Cloud Router angekündigt. Im Routing-VPC-Netzwerk folgt der Traffic einer nicht getaggten richtlinienbasierten Route zum internen Passthrough-Network-Load-Balancer vor den NVAs. Den NVA-VMs ist eine richtlinienbasierte Skip-Route zugewiesen. Die Route bewirkt, dass Traffic, der eine NVA verlässt, die nicht getaggte richtlinienbasierte Route überspringt und stattdessen dem VPC-Routing folgt. Der Traffic folgt einer benutzerdefinierten Route zum VPC-Netzwerk für den Dienstzugriff. Die Route wird über die HA VPN-Verbindung angekündigt. Traffic, der für ein angehängtes VPC-Netzwerk für verwaltete Dienste bestimmt ist, folgt benutzerdefinierten Routen für VPC-Netzwerk-Peering zum Netzwerk für verwaltete Dienste.
VPC-Netzwerk für den Dienstzugriff	Externes Netzwerk	Der Traffic folgt einer benutzerdefinierten Route über die HA VPN-Tunnel zum Routing-VPC-Netzwerk. Im Routing-VPC-Netzwerk folgt der Traffic einer nicht getaggten richtlinienbasierten Route zum internen Passthrough-Network-Load-Balancer, der sich vor den NVAs befindet. Eine richtlinienbasierte Skip-Route, die den NVA-VMs zugewiesen ist, bewirkt, dass Traffic, der eine NVA verlässt, die nicht getaggte richtlinienbasierte Route überspringt und stattdessen dem VPC-Routing folgt. Der Traffic folgt Routen über die externen Verbindungen zurück zum externen Netzwerk. Die Routen wurden von den externen Routern über BGP erkannt.
Externes Netzwerk	VPC-Netzwerk der Arbeitslast	Der Traffic folgt Routen über die externen Verbindungen zum Routing-Netzwerk. Die Routen wurden vom externen Cloud Router angekündigt. Im Routing-VPC-Netzwerk folgt der Traffic einer nicht getaggten richtlinienbasierten Route zum internen Passthrough-Network-Load-Balancer vor den NVAs. Eine richtlinienbasierte Skip-Route, die den NVA-VMs zugewiesen ist, bewirkt, dass Traffic, der eine NVA verlässt, die nicht getaggte richtlinienbasierte Route überspringt und stattdessen dem VPC-Routing folgt. Der Traffic folgt der Subnetzroute zum entsprechenden VPC-Netzwerk der Arbeitslast. Die Route wurde über VPC-Netzwerk-Peering ermittelt.
VPC-Netzwerk der Arbeitslast	Externes Netzwerk	Der Traffic folgt einer richtlinienbasierten Route, die in der VPC der Arbeitslast zum internen Passthrough-Network Load Balancer vor den NVAs im Routing-VPC-Netzwerk programmiert ist. Eine richtlinienbasierte Skip-Route, die den NVA-VMs zugewiesen ist, bewirkt, dass Traffic, der eine NVA verlässt, die nicht getaggte richtlinienbasierte Route überspringt und stattdessen dem VPC-Routing folgt. Der Traffic folgt dynamischen Routen über die externen Verbindungen zurück zum externen Netzwerk. Die Routen werden von den externen Routern über BGP erkannt.
VPC-Netzwerk der Arbeitslast	VPC-Netzwerk für den Dienstzugriff	Der Traffic folgt einer richtlinienbasierten Route, die in der VPC der Arbeitslast zum internen Passthrough-Network Load Balancer vor den NVAs im Routing-VPC-Netzwerk programmiert ist. Eine richtlinienbasierte Skip-Route, die den NVA-VMs zugewiesen ist, bewirkt, dass Traffic, der eine NVA verlässt, die nicht getaggte richtlinienbasierte Route überspringt und stattdessen dem VPC-Routing folgt. Der Traffic folgt einer dynamischen Route durch einen der HA VPN-Tunnel zum VPC-Netzwerk für den Dienstzugriff. Die Route wurde durch benutzerdefinierte BGP-Routenankündigungen erkannt.
VPC-Netzwerk für den Dienstzugriff	VPC-Netzwerk der Arbeitslast	Der Traffic folgt einer benutzerdefinierten Route zum Routing-VPC-Netzwerk. Die Route wurde über die HA VPN-Tunnel angekündigt. Im Routing-VPC-Netzwerk folgt der Traffic einer nicht getaggten richtlinienbasierten Route zum internen Passthrough-Network-Load-Balancer vor den NVAs. Eine richtlinienbasierte Skip-Route, die den NVA-VMs zugewiesen ist, bewirkt, dass Traffic, der eine NVA verlässt, die nicht getaggte richtlinienbasierte Route überspringt und stattdessen dem VPC-Routing folgt. Der Traffic folgt der Subnetzroute zum entsprechenden VPC-Netzwerk der Arbeitslast. Die Route wurde über VPC-Netzwerk-Peering ermittelt.
VPC-Netzwerk der Arbeitslast	VPC-Netzwerk der Arbeitslast	Traffic, der ein VPC-Netzwerk einer Arbeitslast verlässt, folgt über Network Connectivity Center der spezifischeren Route zum VPC-Netzwerk der anderen Arbeitslast. Beim Rücktraffic wird dieser Pfad umgekehrt. Dieser Traffic wird nicht über die NVAs geleitet.

Verwendete Produkte

In dieser Referenzarchitektur werden die folgenden Google Cloud Produkte verwendet:

• Virtual Private Cloud (VPC): Ein virtuelles System, das globale, skalierbare Netzwerkfunktionen für Ihre Google Cloud Arbeitslasten bietet. VPC umfasst VPC-Netzwerk-Peering, Private Service Connect, Zugriff auf private Dienste und freigegebene VPC.
• Network Connectivity Center: Ein Orchestrierungs-Framework, das Netzwerkverbindungen zwischen Spoke-Ressourcen vereinfacht, die mit einer zentralen Verwaltungsressource verbunden sind, die als Hub bezeichnet wird.
• Cloud Interconnect: Ein Dienst, mit dem Ihr externes Netzwerk über eine hochverfügbare Verbindung mit niedriger Latenz auf das Google-Netzwerk erweitert wird.
• Cloud VPN: Ein Dienst, mit dem Sie Ihr Peer-Netzwerk über einen IPsec-VPN-Tunnel sicher auf das Google-Netzwerk ausdehnen können.
• Cloud Router: Ein verteiltes und vollständig verwaltetes Angebot, das BGP-Speaker- und Responder-Funktionen (Border Gateway Protocol) bietet. Cloud Router arbeitet mit Cloud Interconnect, Cloud VPN und Router-Appliances zusammen, um dynamische Routen in VPC-Netzwerken basierend auf empfangenen BGP-Routen und benutzerdefinierten erlernten Routen zu erstellen.
• Compute Engine: Ein sicherer und anpassbarer Computing-Dienst, mit dem Sie virtuelle Maschinen in der Infrastruktur von Google erstellen und ausführen können.
• Cloud Load Balancing: Ein Portfolio von leistungsstarken, skalierbaren, globalen und regionalen Load-Balancern
• Cloud Next Generation Firewall: Ein vollständig verteilter Firewalldienst mit erweiterten Schutzfunktionen, Mikrosegmentierung und vereinfachter Verwaltung, um Ihre Google Cloud Arbeitslasten vor internen und externen Angriffen zu schützen.

Designaspekte

In diesem Abschnitt werden Designfaktoren, Best Practices und Designempfehlungen beschrieben, die Sie berücksichtigen sollten, wenn Sie diese Referenzarchitektur verwenden, um eine Topologie zu entwickeln, die Ihren spezifischen Anforderungen an Sicherheit, Zuverlässigkeit und Leistung entspricht.

Sicherheit und Compliance

In der folgenden Liste werden die Sicherheits- und Compliance-Aspekte für diese Referenzarchitektur beschrieben:

• Aus Compliance-Gründen möchten Sie Cloud Interconnect möglicherweise nur in einer einzigen Region bereitstellen. Wenn Sie den gesamten Traffic in einer einzelnen Region halten möchten, können Sie eine Topologie mit 99,9% verwenden. Weitere Informationen finden Sie unter 99,9% Verfügbarkeit für Dedicated Interconnect einrichten und 99,9% Verfügbarkeit für Partner Interconnect einrichten.
• Mit Cloud Next Generation Firewall können Sie Traffic schützen, der zwischen VPC-Netzwerken von Arbeitslasten übertragen wird.
• Wenn Sie eine L7-Traffic-Prüfung benötigen, aktivieren Sie den Dienst zur Angriffs- und Einbruchserkennung und ‑prävention (optional mit Unterstützung für die TLS-Prüfung), um schädliche Aktivitäten zu blockieren und Ihre Arbeitslasten vor Bedrohungen zu schützen. Der Dienst unterstützt Schutz vor Sicherheitslücken, Anti-Spyware und Antivirus. Der Dienst erstellt von Google verwaltete zonale Firewall-Endpunkte, die Technologie zum Abfangen von Paketen verwenden, um die Arbeitslasten transparent zu prüfen, ohne dass eine Umstrukturierung der Routen erforderlich ist. Für Cloud Next Generation Firewall Enterprise fallen Gebühren für zonale Firewall-Endpunkte und Datenverarbeitung an.
• Aktivieren Sie Google Threat Intelligence für Firewallrichtlinien-Regeln, um Verbindungen basierend auf Google Threat Intelligence-Daten zuzulassen oder zu blockieren.
• Verwenden Sie Standortobjekte für Firewallrichtlinien-Regeln, um Traffic nur aus zulässigen Ländern zuzulassen und Länder mit Embargo zu blockieren.
• Aktivieren Sie Logging und Monitoring entsprechend Ihrem Traffic und Ihren Compliance-Anforderungen. Mit VPC-Flusslogs können Sie Einblicke in Ihre Trafficmuster gewinnen.
• Verwenden Sie Cloud IDS, um zusätzliche Informationen zu Ihrem Traffic zu erhalten.
• Wenn die NVAs eine Verbindung zu Internetadressen herstellen müssen, um Updates herunterzuladen, konfigurieren Sie Cloud NAT im VPC-Netzwerk für den Internetzugriff.
• Wenn Clients in Ihrem externen Netzwerk direkt auf Google APIs zugreifen sollen, erstellen Sie im Routing-VPC-Netzwerk eine richtlinienbasierte Route:
  • Quellbereich: Ein aggregierter Bereich für Ihr externes Netzwerk.
  • Zielbereich: 199.36.153.4/30
  • Next Hop: default-internet-gateway

• Wenn Ihre Google Cloud VMs über private Verbindungen auf Google APIs zugreifen sollen, gehen Sie so vor:

  1. Aktivieren Sie in jedem VPC-Netzwerk den privater Google-Zugriff.
  2. Erstellen Sie in jedem Arbeitslastnetzwerk eine richtlinienbasierte Route für den Zugriff auf Google APIs:
     • Quellbereich: Der Adressbereich für das VPC-Subnetz der Arbeitslast.
     • Zielbereich: 199.36.153.4/30
     • Next Hop: default-internet-gateway
  3. Erstellen Sie eine DNS-Antwortrichtlinie für den privater Google-Zugriff, die für das Routing-VPC-Netzwerk und alle VPC-Netzwerke für Arbeitslasten gilt.

  4. Erstellen Sie in der DNS-Antwortrichtlinie eine Regel wie folgt:

     • DNS-Name: *.googleapis.com.

     • Lokale Daten:

       name="*.googleapis.com.",type="A",ttl=3600,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
       

Zuverlässigkeit

In der folgenden Liste werden die Aspekte der Zuverlässigkeit für diese Referenzarchitektur beschrieben:

• Um eine Verfügbarkeit von 99,99% für Cloud Interconnect zu erreichen, müssen Sie eine Verbindung zu zwei verschiedenen Google Cloud Regionen herstellen, auch wenn Sie VMs nur in einer Region haben.
• Um die Zuverlässigkeit zu verbessern und das Risiko regionaler Fehler zu minimieren, können Sie Ihre Bereitstellung mit dem Google Cloud Archetyp für multiregionale Bereitstellungen in mehreren Regionen duplizieren.
• Erstellen Sie eine ausreichende Anzahl von VPN-Tunneln, um den erwarteten Traffic zwischen der VPC für den Dienstzugriff und anderen Netzwerken zu verarbeiten. Für einzelne VPN-Tunnel gelten Bandbreitenlimits. Dieselben Richtlinien gelten, wenn Sie HA VPN zwischen Ihren externen Netzwerken und dem Routing-VPC-Netzwerk verwenden.

Leistungsoptimierung

In der folgenden Liste werden die Leistungsaspekte für diese Referenzarchitektur beschrieben:

• Sie können die Netzwerkleistung möglicherweise verbessern, indem Sie die maximale Übertragungseinheit (Maximum Transmission Unit, MTU) Ihrer Netzwerke und Verbindungen erhöhen. Weitere Informationen finden Sie unter Maximale Übertragungseinheit.
• Die Kommunikation zwischen der Routing-VPC und den Arbeitslastressourcen erfolgt über VPC-Netzwerk-Peering, das für alle VMs im Netzwerk einen Durchsatz mit voller Leitungsrate ohne zusätzliche Kosten bietet. Berücksichtigen Sie bei der Planung Ihrer Bereitstellung die Kontingente und Limits für VPC-Netzwerk-Peering.
• Sie können Ihr externes Netzwerk über HA VPN oder Cloud Interconnect mit dem Routing-VPC-Netzwerk verbinden. Weitere Informationen zum Abwägen von Kosten- und Leistungsaspekten finden Sie unter Network Connectivity-Produkt auswählen.

Bereitstellung

In der Architektur in diesem Dokument werden drei Arten von Verbindungen zu einem zentralen Routing-VPC-Netzwerk sowie eine weitere Verbindung zwischen VPC-Netzwerken für Arbeitslasten erstellt. Nachdem alle Verbindungen vollständig konfiguriert sind, können alle Netzwerke in der Bereitstellung mit allen anderen Netzwerken kommunizieren.

Bei dieser Bereitstellung wird davon ausgegangen, dass Sie Verbindungen zwischen dem externen Netzwerk und den Routing-VPC-Netzwerken in einer Region erstellen. Arbeitslast-Subnetze können sich jedoch in jeder Region befinden. Wenn Sie Arbeitslasten nur in einer Region platzieren, müssen Sie Subnetze nur in dieser Region erstellen.

Führen Sie die folgenden Aufgaben aus, um diese Referenzarchitektur bereitzustellen:

1. Regionen für Konnektivität und Arbeitslasten identifizieren
2. VPC-Netzwerke und ‑Subnetze erstellen
3. Ressourcentags zum Steuern von Firewallregeln erstellen
4. Netzwerk-Firewallrichtlinien erstellen und zuordnen
5. Verbindungen zwischen externen Netzwerken und Ihrem Routing-VPC-Netzwerk erstellen
6. Verbindungen zwischen Ihrem Routing-VPC-Netzwerk und VPC-Netzwerken für den Dienstzugriff erstellen
7. Verbindungen zwischen Ihrem Routing-VPC-Netzwerk und den Arbeitslast-VPC-Netzwerken erstellen
8. Arbeitslast-VPC-Netzwerke verbinden
9. NVAs installieren
10. Dienstrouting erstellen
11. Internetzugriff im Internetzugriffsnetzwerk einrichten
12. Konnektivität zu Arbeitslasten testen

Regionen für Konnektivität und Arbeitslasten identifizieren

Im Allgemeinen sollten Sie Konnektivität, VPC-Subnetze und Google Cloud Arbeitslasten in der Nähe Ihrer lokalen Netzwerke oder anderer Cloud-Clients platzieren. Weitere Informationen zum Platzieren von Arbeitslasten finden Sie unter Google Cloud Region Picker und Best Practices für die Auswahl der Compute Engine-Regionen.

VPC-Netzwerke und ‑Subnetze erstellen

Führen Sie die folgenden Aufgaben aus, um Ihre VPC-Netzwerke und Subnetze zu erstellen:

1. Erstellen oder identifizieren Sie die Projekte, in denen Sie Ihre VPC-Netzwerke erstellen möchten. Sie benötigen ein Routing-Projekt für Ihre externen Verbindungen und ein weiteres Projekt zum Hosten Ihrer VPC-Netzwerke für Dienstzugriff und Arbeitslasten. Weitere Informationen finden Sie unter Netzwerksegmentierung und Projektstruktur. Wenn Sie freigegebene VPC-Netzwerke verwenden möchten, stellen Sie Ihre Projekte als freigegebene VPC-Hostprojekte bereit.
2. Planen Sie die Zuweisung von IP-Adressen für Ihre Netzwerke. Sie können Ihre Bereiche vorab zuweisen und reservieren, indem Sie interne Bereiche erstellen. Durch die Zuweisung von aggregierbaren Adressblöcken werden spätere Konfigurationen und Vorgänge vereinfacht.
3. Erstellen Sie ein VPC-Netzwerk und ein Subnetz für das Routing im Routing-Projekt. Wenn Sie mehr als eine Region haben, aktivieren Sie das globale Routing.
4. Erstellen Sie im Routing-Projekt ein VPC-Netzwerk und ein Subnetz für den Internetzugriff.
5. Erstellen Sie im Hostprojekt ein VPC-Netzwerk und ein Subnetz für den Dienstzugriff. Wenn Sie mehr als eine Region benötigen, aktivieren Sie das globale Routing.
6. Erstellen Sie VPC-Netzwerke und Subnetze für Arbeitslasten in den Hostprojekten. Wenn Sie mehr als eine Region benötigen, aktivieren Sie das globale Routing.

Ressourcentags zum Steuern von Cloud Next Generation Firewall-Regeln erstellen

Erstellen Sie die folgenden Tags. Sie können sie beliebig benennen. Die aufgeführten Namen sind nur Beispiele.

1. Für das Routing-VPC-Netzwerk:
   • Key: routing-vpc-tags
   • Wert: routing-vpc-multinic
   • Zweck: GCE_FIREWALL
   • Purpose-data: Der Name des Routing-VPC-Netzwerk.

2. Für jedes VPC-Netzwerk für Arbeitslasten:

   • Key: WORKLOAD_NAME-tags

     Ersetzen Sie WORKLOAD_NAME durch den Namen des VPC-Netzwerk für die Arbeitslast.

   • Werte: WORKLOAD_NAME-clients, WORKLOAD_NAME-www

     Ersetzen Sie WORKLOAD_NAME durch den Namen des VPC-Netzwerk für die Arbeitslast.

   • Zweck: GCE_FIREWALL

   • Purpose-data: Der Name des VPC-Netzwerk der Arbeitslast.

3. Für das Netzwerk für den Internetzugriff:

   • Key: internet-tag
   • Wert: internet-vpc
   • Zweck: GCE_FIREWALL
   • Zweckdaten: Der Name des Internetzugangsnetzwerks.

Netzwerk-Firewallrichtlinien erstellen und verknüpfen

In diesem Abschnitt werden die Cloud NGFW-Regeln beschrieben, die Sie für Ihre Bereitstellung erstellen und zuordnen müssen.

1. Erstellen Sie eine globale Netzwerk-Firewallrichtlinie im Routing-Projekt.
2. Erstellen Sie die folgenden Firewallregeln in der Richtlinie:
   • Regel zum Zulassen von eingehendem Traffic aus IP-Bereichen für Systemdiagnosen für die verwendeten Ports, z. B. tcp:80,443.
   • Regel zum Zulassen von Identity-Aware Proxy-Traffic.
   • Regel zum Zulassen von eingehendem Traffic aus internen Bereichen wie den Dienstzugriffs-, Arbeitslast- und externen Netzwerken.
3. Verknüpfen Sie die Richtlinie mit dem Routing-VPC-Netzwerk.
4. Erstellen Sie anhand der Arbeitslasten in Ihren Arbeitslast- und Dienstzugriffs-VPCs Firewallrichtlinien und ‑regeln im Projekt für das Arbeitslast-Hosting, um diesen Traffic zu steuern.

Verbindungen zwischen externen Netzwerken und Ihrem Routing-VPC-Netzwerk erstellen

In diesem Abschnitt wird davon ausgegangen, dass die Verbindung in einer einzelnen Region erfolgt.

1. Richten Sie die Verbindung zwischen den externen Netzwerken und Ihrem Routing-Netzwerk ein. Informationen dazu, wie Sie sich das vorstellen können, finden Sie unter Externe und Hybridkonnektivität. Eine Anleitung zur Auswahl eines Konnektivitätsprodukts finden Sie unter Network Connectivity-Produkt auswählen.
2. Konfigurieren Sie BGP so:
   • Konfigurieren Sie den Router am angegebenen externen Standort so:
     • Kündigen Sie alle Subnetze für diesen externen Standort an, indem Sie auf beiden Schnittstellen denselben BGP-MED verwenden, z. B. 100. Wenn beide Schnittstellen denselben MED-Wert ankündigen, kann Google Cloud ECMP verwenden, um den Traffic auf beide Verbindungen zu verteilen.
   • Konfigurieren Sie den externen Cloud Router in der Routing-VPC der verbundenen Region so:
     • Verwenden Sie benutzerdefiniertes Routen-Advertising, um alle Subnetzbereiche aus allen Regionen über beide externen Cloud Router-Schnittstellen anzukündigen. Fassen Sie sie nach Möglichkeit zusammen. Verwenden Sie auf beiden Schnittstellen denselben MED, z. B. 100.

Verbindungen zwischen Ihrem Routing-VPC-Netzwerk und den VPC-Netzwerken für den Dienstzugriff erstellen

Die Services-Access-VPC verwendet HA VPN, um eine Verbindung zur Routing-VPC herzustellen. Das VPN ermöglicht das transitive Routing zwischen der VPC für den Dienstzugriff und sowohl den externen als auch den Arbeitslastnetzwerken.

1. Schätzen Sie, wie viel Traffic zwischen den VPCs für Routing und Dienstzugriff übertragen werden muss. Passen Sie die erwartete Anzahl von Tunneln entsprechend an.
2. Konfigurieren Sie HA VPN zwischen der Routing-VPC und der VPC für den Dienstzugriff anhand der Anleitung unter HA VPN-Gateways zum Verbinden von VPC-Netzwerken erstellen. Erstellen Sie einen dedizierten HA VPN-Cloud Router im Routingnetzwerk. Lassen Sie den Router, der mit dem externen Netzwerk verbunden ist, für Verbindungen mit dem externen Netzwerk.
   • Cloud Router-Konfiguration für das Routing von VPCs:
     • Wenn Sie Subnetze für externe Netzwerke und Arbeitslast-VPCs für die VPC für den Dienstzugriff freigeben möchten, verwenden Sie benutzerdefinierte Route Advertisements für den Cloud Router in der Routing-VPC.
   • Cloud Router-Konfiguration für den Dienstzugriff über VPC:
     • Verwenden Sie benutzerdefinierte Route Advertisements für den Cloud Router der VPC für den Dienstzugriff, um VPC-Subnetze für den Dienstzugriff für die Routing-VPC anzukündigen.
     • Wenn Sie Zugriff auf private Dienste verwenden, um eine VPC für verwaltete Dienste mit der VPC für den Dienstzugriff zu verbinden, verwenden Sie benutzerdefinierte Routen, um diese Subnetze ebenfalls anzukündigen.
3. Wenn Sie eine VPC für verwaltete Dienste über Zugriff auf private Dienste mit der VPC für den Dienstzugriff verbinden, aktualisieren Sie nach dem Herstellen der VPC-Netzwerk-Peering-Verbindung die VPC für den Dienstzugriff auf der Seite der VPC-Netzwerk-Peering-Verbindung, um benutzerdefinierte Routen zu exportieren.

Verbindungen zwischen Ihrem Routing-VPC-Netzwerk und den Arbeitslast-VPC-Netzwerken erstellen

VPC-Netzwerk-Peering-Verbindungen zwischen Ihrer Routing-VPC und jeder Ihrer Arbeitslast-VPCs erstellen:

• Aktivieren Sie Benutzerdefinierte Routen exportieren für die Routing-VPC-Seite jeder Verbindung.
• Aktivieren Sie Benutzerdefinierte Routen importieren für die Arbeitslast-VPC-Seite jeder Verbindung.
• Im Standardszenario werden nur die Subnetzrouten der Arbeitslast-VPC in die Routing-VPC exportiert. Sie müssen keine benutzerdefinierten Routen aus den VPCs für Arbeitslasten exportieren.

Arbeitslast-VPC-Netzwerke verbinden

Verbinden Sie die Arbeitslast-VPC-Netzwerke mithilfe von Network Connectivity Center-VPC-Spokes. Alle Spokes müssen Teil derselben Network Connectivity Center-Spoke-Peergruppe sein. Verwenden Sie eine Core-Peering-Gruppe, um die vollständige Mesh-Kommunikation zwischen den VPCs zu ermöglichen.

Mit Cloud Next Generation Firewall können Sie den Traffic innerhalb und zwischen VPC-Netzwerken für Arbeitslasten steuern.

Über die Network Connectivity Center-Verbindung werden bestimmte Routen zwischen den VPC-Netzwerken der Arbeitslast angekündigt. Der Traffic zwischen diesen Netzwerken folgt diesen Routen.

NVAs installieren

In dieser Anleitung wird davon ausgegangen, dass Sie ein VM-Image haben, das Sie für Ihre NVAs verwenden möchten.

Erstellen Sie eine Gruppe von NVAs mit Lastenausgleich. Weitere Informationen finden Sie unter Internen Passthrough-Network-Load-Balancer für Drittanbieter-Appliances einrichten.

• Erstellen Sie eine Instanzvorlage auf Grundlage Ihres NVA-Images mit dem folgenden Parameter:

  • Network tag: nva-REGION

    Ersetzen Sie REGION durch den Namen der Region.

  • Resource Manager-Tag: routing-vpc-tags=routing-vpc-multinic.

  • Eine Netzwerkschnittstelle für das Routing-VPC-Netzwerk ohne externe IP-Adresse.

  • Eine Netzwerkschnittstelle für das VPC-Netzwerk für den Internetzugriff ohne externe IP-Adresse.

  • Legen Sie can IP forward für die VM und das Betriebssystem fest.

  • Erstellen Sie ip route-Routen und iptables-Regeln, um Traffic zwischen den Routing- und Internetzugriffsnetzwerken zu senden.

• Erstellen Sie eine regionale verwaltete Instanzgruppe (MIG) mit genügend VMs, um den erwarteten Traffic zu verarbeiten.

Dienstrouting erstellen

In diesem Abschnitt wird beschrieben, wie Sie Traffic über die NVAs senden oder die NVAs umgehen.

1. Erstellen Sie im Routing-VPC-Netzwerk eine richtlinienbasierte Route mit den folgenden Parametern:
   • Quellbereich: 0.0.0.0/0
   • Zielbereich: 0.0.0.0/0
   • Nächster Hop: die IP-Adresse der Weiterleitungsregel des internen Passthrough-Network Load Balancers
   • Netzwerk-Tags: Geben Sie keine Netzwerk-Tags an. Mit diesen Parametern wird eine Regel erstellt, die für den gesamten Traffic gilt, der von einem VLAN-Anhang, einem VPN-Tunnel oder einer anderen VM im Netzwerk stammt.

2. Erstellen Sie im Routingnetzwerk eine richtlinienbasierte Route vom Typ „Überspringen“ mit den folgenden Parametern:

   • Quellbereich: 0.0.0.0/0
   • Zielbereich: 0.0.0.0/0
   • Nächster Hop: Legen Sie den nächsten Hop so fest, dass andere richtlinienbasierte Routen übersprungen und das Standardrouting verwendet wird.

   • Netzwerk-Tags: nva-REGION

     Ersetzen Sie REGION durch den Namen der Region.

   Mit diesen Parametern wird eine Regel erstellt, die nur für Traffic gilt, der die NVA-VMs verlässt. Dadurch wird der Traffic nicht über die erste von Ihnen erstellte richtlinienbasierte Route, sondern über die VPC-Routingtabelle weitergeleitet.

3. Erstellen Sie in jedem Arbeitslastnetzwerk richtlinienbasierte Routen für jedes Subnetz mit der folgenden Konfiguration:

   • Quellbereich: Der Adressbereich für das VPC-Subnetz der Arbeitslast.
   • Zielbereich: 0.0.0.0/0
   • Nächster Hop: die IP-Adresse der Weiterleitungsregel des internen Passthrough-Network Load Balancers im Routingnetzwerk

4. Erstellen Sie in jedem Arbeitslastnetzwerk eine richtlinienbasierte Skip-Route für Intra-Subnetz-Traffic:

   • Quellbereich: Der Adressbereich für das VPC-Subnetz der Arbeitslast.
   • Zielbereich: Der Adressbereich für das VPC-Subnetz der Arbeitslast.
   • Nächster Hop: Legen Sie den nächsten Hop so fest, dass andere richtlinienbasierte Routen übersprungen und das Standardrouting verwendet wird.

5. Erstellen Sie in jedem Arbeitslastnetzwerk eine richtlinienbasierte Skip-Route für Traffic zwischen Subnetzen. Für jedes andere Arbeitslast-Subnetz muss eine Route erstellt werden, sofern die Routen nicht zusammengefasst werden können:

   • Quellbereich: Der Adressbereich für das VPC-Subnetz der Arbeitslast.
   • Zielbereich: Der Bereich der anderen Arbeitslast-Subnetze.
   • Nächster Hop: Legen Sie den nächsten Hop so fest, dass andere richtlinienbasierte Routen übersprungen und das Standardrouting verwendet wird.

Bei dieser Anleitung wird davon ausgegangen, dass der gesamte Traffic mit Ausnahme des Traffics innerhalb eines VPC-Subnetzes und zwischen VPC-Subnetzen für Arbeitslasten über die NVAs weitergeleitet wird. Wenn Sie möchten, dass der Traffic zwischen Arbeitslast-VPCs und der VPC für den Dienstzugriff die NVAs umgeht, installieren Sie zusätzliche Skip-Routen für richtlinienbasiertes Routing und konfigurieren Sie zusätzliche Cloud NGFW-Regeln für diesen Traffic.

Internetzugriff im Internetzugriffsnetzwerk einrichten

Wenn Sie ausgehenden Zugriff auf das Internet konfigurieren möchten, richten Sie Cloud NAT im Netzwerk für den Internetzugriff ein.

Verbindung zu Arbeitslasten testen

Wenn Sie bereits Arbeitslasten in Ihren VPC-Netzwerken bereitgestellt haben, testen Sie jetzt den Zugriff darauf. Wenn Sie die Netzwerke vor der Bereitstellung von Arbeitslasten verbunden haben, können Sie sie jetzt bereitstellen und testen.

Nächste Schritte

• Weitere Informationen zu den in dieser Designanleitung verwendeten Google Cloud -Produkten:
  • VPC-Netzwerke
  • VPC-Netzwerk-Peering
  • Cloud Interconnect
  • HA VPN
• Weitere Referenzarchitekturen, Diagramme und Best Practices finden Sie im Cloud-Architekturcenter.

Beitragende

Autoren:

• Osvaldo Costa | Networking Specialist Customer Engineer
• Deepak Michael | Networking Specialist Customer Engineer
• Victor Moreno | Product Manager, Cloud Networking
• Mark Schlagenhauf | Technical Writer, Netzwerk

Weiterer Mitwirkender: Ammett Williams | Developer Relations Engineer