Dokumen ini memberikan arsitektur referensi yang dapat Anda gunakan untuk men-deploy topologi jaringan hub-and-spoke Cross-Cloud Network yang menggunakan peralatan virtual jaringan (NVA) untuk meneruskan traffic.
Audiens yang dituju untuk dokumen ini adalah administrator jaringan yang membangun konektivitas jaringan dan arsitek cloud yang merencanakan cara men-deploy workload. Dokumen ini mengasumsikan bahwa Anda memiliki pemahaman dasar tentang routing, konektivitas internet, dan software NVA yang ingin Anda deploy. Untuk menggunakan arsitektur referensi ini, Anda harus memahami panduan desain Cross-Cloud Network.
Desain ini mendukung beberapa koneksi eksternal ke lokasi lokal atau Penyedia Layanan Cloud (CSP) dan beberapa jaringan VPC workload.
Desain ini mengasumsikan deployment satu region. Layanan ini menyediakan afinitas regional, tetapi bukan failover regional. Jika ingin men-deploy di lebih dari satu region, Anda dapat menggunakan arketipe deployment multi-regionalGoogle Cloud .
Desain ini menempatkan NVA di semua alur, kecuali alur di dalam dan di antara jaringan VPC workload. Anda dapat menyebabkan alur melewati NVA dengan menambahkan rute berbasis kebijakan yang sesuai. Hanya alur antara jaringan eksternal dan jaringan VPC akses layanan yang memerlukan NVA karena semua alur lainnya dapat diperiksa oleh Cloud Next Generation Firewall.
Arsitektur
Diagram berikut menunjukkan tampilan tingkat tinggi arsitektur jaringan dan alur yang didukung oleh arsitektur ini.
Arsitektur ini berisi elemen tingkat tinggi berikut:
| Komponen | Tujuan | Interaksi |
|---|---|---|
| Jaringan eksternal (jaringan CSP lokal atau lainnya) | Menampung klien workload yang berjalan di VPC workload dan di VPC akses-layanan. Jaringan eksternal juga dapat menghosting layanan. | Bertukar data dengan jaringan VPC Google Cloudmelalui NVA yang dihosting di jaringan VPC perutean. Terhubung ke jaringan VPC perutean menggunakan Cloud Interconnect atau VPN dengan ketersediaan tinggi (HA). Mengakhiri salah satu ujung alur berikut:
|
| Merutekan jaringan VPC (juga dikenal sebagai jaringan VPC transit) | Berfungsi sebagai hub untuk jaringan eksternal, jaringan VPC akses layanan, dan jaringan VPC beban kerja. Menghosting NVA yang digunakan untuk memproses traffic antarjaringan. | Menghubungkan jaringan eksternal, jaringan VPC akses layanan, dan jaringan VPC beban kerja melalui kombinasi Cloud Interconnect, VPN HA, dan Peering Jaringan VPC. Saat traffic dari jaringan eksternal, akses layanan, dan workload melewati jaringan perutean, rute berbasis kebijakan akan mengirimkan traffic ke NVA. |
| Jaringan VPC akses layanan | Menyediakan titik akses ke layanan terkelola yang dihosting di jaringan lain. Jaringan akses layanan juga dapat menghosting layanan secara langsung jika diperlukan. | Mempertukarkan data dengan jaringan eksternal dan workload melalui jaringan perutean. Terhubung ke VPC perutean menggunakan VPN dengan ketersediaan tinggi (HA). Perutean transitif, yang disediakan oleh VPN HA, memungkinkan traffic eksternal mencapai VPC layanan terkelola melalui jaringan VPC akses layanan. Jika jaringan VPC akses layanan menghosting layanan secara langsung, maka akan menghentikan salah satu ujung alur dari semua jaringan lain. |
| Jaringan VPC layanan terkelola | Menghosting layanan terkelola yang diperlukan oleh klien di jaringan lain. | Mempertukarkan data dengan jaringan eksternal, akses layanan, dan beban kerja. Terhubung ke jaringan VPC services-access menggunakan akses layanan pribadi, yang menggunakan Peering Jaringan VPC, atau menggunakan Private Service Connect. Menghentikan salah satu ujung alur dari semua jaringan lain. |
| Jaringan VPC workload | Menampung workload yang diperlukan oleh klien di jaringan lain. | Bertukar data dengan jaringan VPC akses layanan dan eksternal melalui jaringan VPC perutean. Terhubung ke jaringan perutean menggunakan Peering Jaringan VPC. Terhubung ke jaringan VPC workload lain menggunakan Network Connectivity Center. Mengakhiri salah satu ujung alur berikut:
|
| Jaringan VPC akses internet | Memberikan akses ke internet untuk workload yang membutuhkannya. | Menyediakan akses keluar ke internet untuk workload yang perlu mendownload update atau data lain dari internet. Data berjalan melalui NVA dan keluar melalui Cloud NAT. Mengakhiri salah satu ujung alur berikut:
|
Deskripsi koneksi
Diagram berikut menunjukkan tampilan mendetail arsitektur yang menyoroti empat koneksi di antara jaringan:
Bagian ini menjelaskan empat koneksi yang ditampilkan dalam diagram sebelumnya.
Koneksi 1: Antara jaringan eksternal dan jaringan VPC perutean
Koneksi antara jaringan eksternal dan jaringan VPC perutean ini terjadi melalui Cloud Interconnect atau VPN dengan ketersediaan tinggi (HA). Cloud Router di jaringan VPC perutean dan router eksternal di jaringan eksternal bertukar rute menggunakan BGP.
- Router di jaringan eksternal mengumumkan rute untuk subnet eksternal ke Cloud Router VPC perutean. Preferensi rute dapat dinyatakan menggunakan metrik dan atribut BGP.
- Cloud Router di jaringan VPC perutean mengiklankan rute untuk awalan di VPC Google Cloudke jaringan eksternal. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
Koneksi 2: Antara jaringan VPC perutean dan jaringan VPC akses layanan
Koneksi antara jaringan VPC perutean dan jaringan VPC akses layanan ini terjadi melalui VPN dengan ketersediaan tinggi (HA). Rute dipertukarkan menggunakan BGP antara Cloud Router regional di jaringan VPC perutean dan jaringan VPC akses layanan.
- Merutekan VPN dengan ketersediaan tinggi (HA) VPC Cloud Router mengumumkan rute untuk awalan jaringan eksternal, VPC workload, dan VPC akses layanan lainnya ke Cloud Router VPC akses layanan. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
- Jaringan VPC akses layanan mengumumkan subnetnya dan subnet jaringan VPC layanan terkelola yang terlampir ke jaringan VPC perutean. Rute VPC layanan terkelola harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
Koneksi 3: Antara jaringan VPC perutean dan jaringan VPC workload
Koneksi antara jaringan VPC perutean dan jaringan VPC beban kerja ini diimplementasikan menggunakan Peering Jaringan VPC. Koneksi ini memungkinkan komunikasi antara jaringan VPC workload dan jaringan lain yang terhubung ke jaringan VPC perutean. Jaringan lain ini mencakup jaringan eksternal dan jaringan VPC akses layanan.
- Jaringan VPC beban kerja secara otomatis mengekspor subnet ke jaringan VPC perutean.
Koneksi 4: Antara jaringan VPC workload
Jaringan VPC beban kerja terhubung menggunakan spoke VPC Network Connectivity Center dari hub yang sama. Oleh karena itu, traffic dari satu jaringan VPC workload ke jaringan VPC workload lainnya berpindah secara langsung di antara jaringan. Traffic tidak melewati jaringan VPC perutean.
Arus lalu lintas
Diagram berikut menunjukkan empat alur yang diaktifkan oleh arsitektur referensi ini.
Tabel berikut menjelaskan alur dalam diagram:
| Sumber | Tujuan | Deskripsi |
|---|---|---|
| Jaringan eksternal | Jaringan VPC akses layanan |
|
| Jaringan VPC akses layanan | Jaringan eksternal |
|
| Jaringan eksternal | Jaringan VPC beban kerja |
|
| Jaringan VPC beban kerja | Jaringan eksternal |
|
| Jaringan VPC beban kerja | Jaringan VPC akses layanan |
|
| Jaringan VPC akses layanan | Jaringan VPC beban kerja |
|
| Jaringan VPC beban kerja | Jaringan VPC beban kerja | Traffic yang keluar dari jaringan VPC workload mengikuti rute yang lebih spesifik ke jaringan VPC workload lain melalui Network Connectivity Center. Traffic kembali membalikkan jalur ini. Traffic ini tidak melewati NVA. |
Produk yang digunakan
Arsitektur referensi ini menggunakan produk Google Cloud berikut:
- Virtual Private Cloud (VPC): Sistem virtual yang menyediakan fungsionalitas jaringan global yang skalabel untuk workload Google Cloud Anda. VPC mencakup Peering Jaringan VPC, Private Service Connect, akses layanan pribadi, dan Shared VPC.
- Network Connectivity Center: Framework orkestrasi yang menyederhanakan konektivitas jaringan di antara resource spoke yang terhubung ke resource pengelolaan terpusat yang disebut hub.
- Cloud Interconnect: Layanan yang memperluas jaringan eksternal Anda ke jaringan Google melalui koneksi latensi rendah yang memiliki ketersediaan tinggi.
- Cloud VPN: Layanan yang memperluas jaringan peer Anda dengan aman ke jaringan Google melalui tunnel VPN IPsec.
- Cloud Router: Penawaran terdistribusi dan terkelola sepenuhnya yang menyediakan kemampuan speaker dan responder Border Gateway Protocol (BGP). Cloud Router berfungsi dengan Cloud Interconnect, Cloud VPN, dan appliance Router untuk membuat rute dinamis di jaringan VPC berdasarkan rute yang diterima BGP dan rute kustom yang dipelajari.
- Compute Engine: Layanan komputasi yang aman dan dapat disesuaikan yang memungkinkan Anda membuat dan menjalankan VM di infrastruktur Google.
- Cloud Load Balancing: Portofolio load balancer global dan regional yang berperforma tinggi dan skalabel.
- Cloud Next Generation Firewall: Layanan firewall yang terdistribusi sepenuhnya dengan kemampuan perlindungan tingkat lanjut, mikro-segmentasi, dan pengelolaan yang disederhanakan untuk membantu melindungi workload Anda dari serangan internal dan eksternal. Google Cloud
Pertimbangan Desain
Bagian ini menjelaskan faktor desain, praktik terbaik, dan rekomendasi desain yang harus Anda pertimbangkan saat menggunakan arsitektur referensi ini untuk mengembangkan topologi yang memenuhi persyaratan spesifik Anda terkait keamanan, keandalan, dan performa.
Keamanan dan kepatuhan
Daftar berikut menjelaskan pertimbangan keamanan dan kepatuhan untuk arsitektur referensi ini:
- Untuk alasan kepatuhan, Anda mungkin ingin men-deploy Cloud Interconnect hanya di satu region. Jika ingin mempertahankan semua traffic dalam satu region, Anda dapat menggunakan topologi 99,9%. Untuk mengetahui informasi selengkapnya, lihat Menetapkan ketersediaan 99,9% untuk Dedicated Interconnect dan Menetapkan ketersediaan 99,9% untuk Partner Interconnect.
- Gunakan Cloud Next Generation Firewall untuk mengamankan traffic yang berjalan di antara jaringan VPC workload.
- Jika Anda memerlukan pemeriksaan traffic L7, aktifkan layanan deteksi dan pencegahan intrusi (opsional dengan dukungan pemeriksaan TLS) untuk memblokir aktivitas berbahaya dan melindungi beban kerja Anda dari ancaman. Layanan ini membantu mendukung perlindungan terhadap kerentanan, anti-spyware, dan antivirus. Layanan ini berfungsi dengan membuat endpoint firewall zonal yang dikelola Google yang menggunakan teknologi pencegatan paket untuk memeriksa workload secara transparan tanpa memerlukan arsitektur ulang rute. Cloud Next Generation Firewall Enterprise menimbulkan biaya pemrosesan data dan endpoint firewall zonal.
- Aktifkan Google Threat Intelligence untuk aturan kebijakan firewall guna mengizinkan atau memblokir koneksi berdasarkan data Google Threat Intelligence.
- Gunakan objek Geolocation untuk aturan kebijakan firewall guna mengizinkan traffic hanya dari negara yang diizinkan dan memblokir negara yang terkena embargo.
- Aktifkan logging dan pemantauan yang sesuai untuk traffic dan kebutuhan kepatuhan Anda. Anda dapat menggunakan Log Aliran VPC untuk mendapatkan insight tentang pola traffic Anda.
- Gunakan Cloud IDS untuk mengumpulkan insight tambahan tentang traffic Anda.
- Jika NVA harus terhubung ke lokasi internet untuk mendownload update, konfigurasi Cloud NAT di jaringan VPC akses internet.
- Jika Anda ingin klien di jaringan eksternal Anda menjangkau Google API secara langsung,
buat rute berbasis kebijakan di jaringan VPC perutean sebagai berikut:
- Rentang sumber: Rentang gabungan untuk jaringan eksternal Anda.
- Rentang tujuan:
199.36.153.4/30 - Next hop:
default-internet-gateway
Jika Anda ingin VM Anda mengakses Google API melalui koneksi pribadi, lakukan hal berikut: Google Cloud
- Di setiap jaringan VPC, aktifkan Akses Google Pribadi.
- Di setiap jaringan workload, buat rute berbasis kebijakan untuk mengakses Google API:
- Rentang sumber: Rentang alamat untuk subnet VPC workload.
- Rentang tujuan:
199.36.153.4/30 - Next hop:
default-internet-gateway
- Buat kebijakan respons DNS untuk Akses Google Pribadi yang berlaku untuk jaringan VPC perutean dan semua jaringan VPC workload.
Dalam kebijakan respons DNS, buat aturan sebagai berikut:
- Nama DNS:
*.googleapis.com. Data lokal:
name="*.googleapis.com.",type="A",ttl=3600,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
- Nama DNS:
Keandalan
Daftar berikut menjelaskan pertimbangan keandalan untuk arsitektur referensi ini:
- Untuk mendapatkan ketersediaan 99,99% untuk Cloud Interconnect, Anda harus terhubung ke dua region yang berbeda Google Cloud , meskipun Anda hanya memiliki VM di satu region.
- Untuk meningkatkan keandalan dan meminimalkan risiko kegagalan regional, Anda dapat menduplikasi deployment di beberapa region menggunakan arketipe deployment multi-regional.Google Cloud
- Untuk menangani traffic yang diharapkan antara VPC akses layanan dan jaringan lain, buat sejumlah tunnel VPN yang memadai. Setiap tunnel VPN memiliki batas bandwidth. Panduan yang sama berlaku jika Anda menggunakan VPN dengan ketersediaan tinggi (HA) antara jaringan eksternal dan jaringan VPC perutean.
Pengoptimalan performa
Daftar berikut menjelaskan pertimbangan performa untuk arsitektur referensi ini:
- Anda mungkin dapat meningkatkan performa jaringan dengan meningkatkan unit transmisi maksimum (MTU) jaringan dan koneksi Anda. Untuk mengetahui informasi selengkapnya, lihat Unit transmisi maksimum.
- Komunikasi antara VPC perutean dan resource workload dilakukan melalui Peering Jaringan VPC, yang memberikan throughput kecepatan penuh untuk semua VM dalam jaringan tanpa biaya tambahan. Pertimbangkan kuota dan batas Peering Jaringan VPC saat Anda merencanakan deployment.
- Anda dapat menghubungkan jaringan eksternal ke jaringan VPC perutean menggunakan VPN dengan ketersediaan tinggi (HA) atau Cloud Interconnect. Untuk mengetahui informasi selengkapnya tentang menyeimbangkan pertimbangan biaya dan performa, lihat Memilih produk Network Connectivity.
Deployment
Arsitektur dalam dokumen ini membuat tiga set koneksi ke jaringan VPC perutean pusat serta koneksi yang berbeda di antara jaringan VPC workload. Setelah semua koneksi dikonfigurasi sepenuhnya, semua jaringan dalam deployment dapat berkomunikasi dengan semua jaringan lainnya.
Deployment ini mengasumsikan bahwa Anda membuat koneksi antara jaringan eksternal dan jaringan VPC perutean di satu region. Namun, subnet workload dapat berada di wilayah mana pun. Jika Anda hanya menempatkan workload di satu region, Anda hanya perlu membuat subnet di region tersebut.
Untuk men-deploy arsitektur referensi ini, selesaikan tugas berikut:
- Mengidentifikasi region untuk menempatkan konektivitas dan beban kerja
- Buat jaringan dan subnet VPC Anda
- Membuat tag resource untuk mengatur aturan firewall
- Membuat dan mengaitkan kebijakan firewall jaringan
- Membuat koneksi antara jaringan eksternal dan jaringan VPC perutean Anda
- Membuat koneksi antara jaringan VPC perutean dan jaringan VPC akses layanan
- Buat koneksi antara jaringan VPC perutean dan jaringan VPC workload
- Hubungkan jaringan VPC workload Anda
- Menginstal NVA
- Membuat perutean layanan
- Menyiapkan akses internet di jaringan akses internet
- Menguji konektivitas ke beban kerja
Mengidentifikasi region untuk menempatkan konektivitas dan workload
Secara umum, Anda ingin menempatkan konektivitas, subnet VPC, dan Google Cloud workload di dekat dengan jaringan lokal atau klien cloud lainnya. Untuk mengetahui informasi selengkapnya tentang penempatan beban kerja, lihat Google Cloud Pemilih Region dan Praktik terbaik untuk pemilihan region Compute Engine.
Buat jaringan dan subnet VPC Anda
Untuk membuat jaringan dan subnet VPC, selesaikan tugas berikut:
- Buat atau identifikasi project tempat Anda akan membuat jaringan VPC. Anda memerlukan project perutean tempat Anda mendaratkan konektivitas yang menghadap eksternal dan project lain untuk menghosting jaringan VPC akses layanan dan workload. Untuk mendapatkan panduan, lihat Segmentasi jaringan dan struktur project. Jika Anda ingin menggunakan jaringan VPC Bersama, sediakan project Anda sebagai project host VPC Bersama.
- Rencanakan alokasi alamat IP untuk jaringan Anda. Anda dapat melakukan pra-alokasi dan mencadangkan rentang dengan membuat rentang internal. Mengalokasikan blok alamat yang dapat digabungkan akan mempermudah konfigurasi dan operasi selanjutnya.
- Buat VPC dan subnet jaringan VPC perutean di project perutean. Jika Anda merasa akan memiliki lebih dari satu region, aktifkan perutean global.
- Buat jaringan VPC dan subnet akses internet di project perutean.
- Buat jaringan dan subnet VPC akses layanan di project host. Jika Anda berpikir akan memiliki lebih dari satu region, aktifkan perutean global.
- Buat jaringan dan subnet VPC beban kerja di project host. Jika Anda berpikir akan memiliki lebih dari satu region, aktifkan perutean global.
Membuat tag resource untuk mengatur aturan Cloud Next Generation Firewall
Buat Tag berikut. Anda dapat memberi nama sesuai keinginan. Nama yang tercantum hanya sebagai contoh.
- Untuk jaringan VPC perutean:
- Kunci:
routing-vpc-tags - Nilai:
routing-vpc-multinic - Tujuan:
GCE_FIREWALL - Purpose-data: Nama jaringan VPC perutean.
- Kunci:
Untuk setiap jaringan VPC workload:
Kunci:
WORKLOAD_NAME-tagsGanti
WORKLOAD_NAMEdengan nama jaringan VPC beban kerja.Nilai:
WORKLOAD_NAME-clients,WORKLOAD_NAME-wwwGanti
WORKLOAD_NAMEdengan nama jaringan VPC beban kerja.Tujuan:
GCE_FIREWALLPurpose-data: Nama jaringan VPC workload.
Untuk jaringan akses internet:
- Kunci:
internet-tag - Nilai:
internet-vpc - Tujuan:
GCE_FIREWALL - Purpose-data: Nama jaringan akses internet.
- Kunci:
Membuat dan mengaitkan kebijakan firewall jaringan
Bagian ini menunjukkan aturan Cloud NGFW yang perlu dibuat dan dikaitkan untuk deployment Anda.
- Buat kebijakan firewall jaringan global di project perutean.
- Buat aturan firewall berikut dalam kebijakan:
- Aturan untuk mengizinkan traffic masuk dari rentang IP health check untuk port yang digunakan, seperti
tcp:80,443. - Aturan untuk mengizinkan traffic Identity-Aware Proxy.
- Aturan untuk mengizinkan traffic masuk dari rentang internal seperti jaringan akses layanan, workload, dan eksternal.
- Aturan untuk mengizinkan traffic masuk dari rentang IP health check untuk port yang digunakan, seperti
- Kaitkan kebijakan dengan jaringan VPC perutean.
- Berdasarkan beban kerja di VPC beban kerja dan akses layanan, buat kebijakan dan aturan firewall di project hosting beban kerja untuk mengatur traffic tersebut.
Membuat koneksi antara jaringan eksternal dan jaringan VPC perutean Anda
Bagian ini mengasumsikan konektivitas di satu region.
- Siapkan konektivitas antara jaringan eksternal dan jaringan perutean Anda. Untuk memahami cara memikirkannya, lihat Konektivitas eksternal dan hybrid. Untuk mendapatkan panduan tentang cara memilih produk konektivitas, lihat Memilih produk Network Connectivity.
- Konfigurasi BGP sebagai berikut:
- Konfigurasi router di lokasi eksternal yang ditentukan sebagai berikut:
- Umumkan semua subnet untuk lokasi eksternal tersebut dengan menggunakan MED BGP yang sama di kedua antarmuka, seperti 100. Jika kedua antarmuka mengumumkan MED yang sama, maka Google Cloud dapat menggunakan ECMP untuk menyeimbangkan beban traffic di kedua koneksi.
- Konfigurasi Cloud Router yang menghadap eksternal di VPC perutean region yang terhubung sebagai berikut:
- Dengan menggunakan pemberitahuan rute kustom, umumkan semua rentang subnet dari semua region melalui kedua antarmuka Cloud Router yang menghadap eksternal. Gabungkan jika memungkinkan. Gunakan MED yang sama di kedua antarmuka, seperti 100.
- Konfigurasi router di lokasi eksternal yang ditentukan sebagai berikut:
Membuat koneksi antara jaringan VPC perutean dan jaringan VPC akses layanan
VPC akses layanan menggunakan VPN dengan ketersediaan tinggi (HA) untuk terhubung ke VPC perutean. VPN memungkinkan perutean transitif antara VPC akses layanan dan jaringan eksternal serta jaringan beban kerja.
- Perkirakan jumlah traffic yang perlu berpindah antara VPC perutean dan akses layanan. Sesuaikan skala perkiraan jumlah tunnel Anda.
- Konfigurasi VPN dengan ketersediaan tinggi (HA) antara VPC perutean dan VPC akses layanan menggunakan petunjuk di Membuat gateway VPN dengan ketersediaan tinggi (HA) untuk menghubungkan jaringan VPC. Buat Cloud Router VPN dengan ketersediaan tinggi (HA) khusus di jaringan perutean. Biarkan router yang terhubung ke jaringan eksternal untuk koneksi jaringan eksternal.
- Konfigurasi Cloud Router VPC perutean:
- Untuk mengumumkan subnet VPC workload dan jaringan eksternal ke VPC akses layanan, gunakan pemberitahuan rute kustom di Cloud Router di VPC perutean.
- Konfigurasi Cloud Router VPC akses layanan:
- Untuk mengumumkan subnet VPC akses layanan ke VPC perutean, gunakan pemberitahuan rute kustom di Cloud Router VPC akses layanan.
- Jika Anda menggunakan akses layanan pribadi untuk menghubungkan VPC layanan terkelola ke VPC akses layanan, gunakan rute kustom untuk mengumumkan subnet tersebut juga.
- Konfigurasi Cloud Router VPC perutean:
- Jika Anda menghubungkan VPC layanan terkelola ke VPC akses layanan menggunakan akses layanan pribadi, setelah koneksi Peering Jaringan VPC dibuat, perbarui sisi koneksi Peering Jaringan VPC akses layanan untuk mengekspor rute kustom.
Membuat koneksi antara jaringan VPC perutean dan jaringan VPC workload
Buat koneksi Peering Jaringan VPC antara VPC perutean dan setiap VPC workload Anda:
- Aktifkan Ekspor rute kustom untuk sisi VPC perutean dari setiap koneksi.
- Aktifkan Impor rute kustom untuk sisi VPC workload dari setiap koneksi.
- Dalam skenario default, hanya rute subnet VPC workload yang diekspor ke VPC perutean. Anda tidak perlu mengekspor rute kustom dari VPC workload.
Menghubungkan jaringan VPC workload Anda
Hubungkan jaringan VPC workload menggunakan spoke VPC Network Connectivity Center. Jadikan semua spoke bagian dari grup peer spoke Network Connectivity Center yang sama. Gunakan grup peer inti untuk mengizinkan komunikasi mesh penuh antar-VPC.
Gunakan Cloud Next Generation Firewall untuk mengatur traffic di dalam dan di antara jaringan VPC workload.
Koneksi Network Connectivity Center mengumumkan rute tertentu di antara jaringan VPC workload. Traffic di antara jaringan ini mengikuti rute tersebut.
Menginstal NVA
Petunjuk ini mengasumsikan bahwa Anda memiliki image VM yang ingin digunakan untuk NVA.
Buat grup NVA dengan load balancing. Lihat Menyiapkan Load Balancer Jaringan passthrough internal untuk peralatan pihak ketiga untuk mengetahui detail selengkapnya.
Buat template instance berdasarkan image NVA Anda dengan parameter berikut:
Tag jaringan:
nva-REGIONGanti
REGIONdengan nama region.Tag Resource Manager:
routing-vpc-tags=routing-vpc-multinic.Antarmuka jaringan untuk jaringan VPC perutean tanpa alamat IP eksternal.
Antarmuka jaringan untuk jaringan VPC akses internet tanpa alamat IP eksternal.
Tetapkan
can IP forwarduntuk VM dan sistem operasi.Buat rute
ip routedan aturaniptablesuntuk mengirim traffic antara jaringan akses internet dan perutean.
Buat grup instance terkelola (MIG) regional dengan VM yang cukup untuk menangani traffic yang Anda harapkan.
Membuat perutean layanan
Bagian ini menjelaskan cara mengirim traffic melalui NVA atau melewati NVA sebagaimana mestinya.
- Di jaringan VPC perutean, buat
rute berbasis kebijakan dengan
parameter berikut:
- Rentang sumber:
0.0.0.0/0 - Rentang tujuan:
0.0.0.0/0 - Next hop: alamat IP aturan penerusan Load Balancer Jaringan passthrough internal
- Tag jaringan: Jangan tentukan tag jaringan apa pun. Parameter ini membuat aturan yang berlaku untuk semua traffic yang berasal dari lampiran VLAN, tunnel VPN, atau VM lain di jaringan.
- Rentang sumber:
Di jaringan perutean, buat rute berbasis kebijakan lewati dengan parameter berikut:
- Rentang sumber:
0.0.0.0/0 - Rentang tujuan:
0.0.0.0/0 - Next hop: Tetapkan next hop untuk melewati rute berbasis kebijakan lainnya dan menggunakan perutean default.
Tag jaringan:
nva-REGIONGanti
REGIONdengan nama region.
Parameter ini membuat aturan yang hanya berlaku untuk traffic yang keluar dari VM NVA. Hal ini menyebabkan traffic tersebut melewati rute berbasis kebijakan pertama yang Anda buat dan mengikuti tabel perutean VPC.
- Rentang sumber:
Di setiap jaringan workload, buat rute berbasis kebijakan untuk setiap subnet dengan konfigurasi berikut:
- Rentang sumber: Rentang alamat untuk subnet VPC workload.
- Rentang tujuan:
0.0.0.0/0 - Next hop: alamat IP aturan penerusan Load Balancer Jaringan passthrough internal di jaringan perutean
Di setiap jaringan workload, buat rute berbasis kebijakan lewati untuk traffic intra-subnet:
- Rentang sumber: Rentang alamat untuk subnet VPC workload.
- Rentang tujuan: Rentang alamat untuk subnet VPC beban kerja.
- Next hop: Tetapkan next hop untuk melewati rute berbasis kebijakan lainnya dan menggunakan perutean default.
Di setiap jaringan beban kerja, buat rute berbasis kebijakan lewati untuk traffic antar-subnet. Rute perlu dibuat untuk setiap subnet workload lainnya, kecuali jika rute dapat digabungkan:
- Rentang sumber: Rentang alamat untuk subnet VPC workload.
- Rentang tujuan: Rentang subnet workload lainnya.
- Next hop: Tetapkan next hop untuk melewati rute berbasis kebijakan lainnya dan menggunakan perutean default.
Petunjuk ini mengasumsikan bahwa semua traffic selain traffic dalam subnet VPC dan antara subnet VPC workload dirutekan melalui NVA. Jika Anda ingin traffic antara VPC workload dan VPC akses layanan melewati NVA, instal rute melewati perutean berbasis kebijakan tambahan dan konfigurasi aturan Cloud NGFW tambahan untuk traffic ini.
Menyiapkan akses internet di jaringan akses internet
Untuk mengonfigurasi akses keluar ke internet, siapkan Cloud NAT di jaringan akses internet.
Menguji konektivitas ke workload
Jika Anda telah men-deploy beban kerja di jaringan VPC, uji akses ke beban kerja tersebut sekarang. Jika Anda menghubungkan jaringan sebelum men-deploy workload, Anda dapat men-deploy-nya sekarang dan mengujinya.
Langkah berikutnya
- Pelajari lebih lanjut produk Google Cloud yang digunakan dalam panduan desain ini:
- Untuk mengetahui lebih banyak tentang arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.
Kontributor
Penulis:
- Osvaldo Costa | Networking Specialist Customer Engineer
- Deepak Michael | Networking Specialist Customer Engineer
- Victor Moreno | Product Manager, Cloud Networking
- Mark Schlagenhauf | Technical Writer, Networking
Kontributor lainnya: Ammett Williams | Developer Relations Engineer