使用虛擬私有雲網路對等互連建立跨雲端網路虛擬私有雲間連線

Last reviewed 2024-11-18 UTC

本文提供參考架構,您可以在 Google Cloud中使用該架構部署 Cross-Cloud Network 輪輻式網路拓撲。這個網路設計可讓您在 Google Cloud 和外部網路 (例如地端資料中心或其他雲端服務供應商 (CSP)) 部署軟體服務。

這項設計支援多個外部連線、多個服務存取虛擬私有雲 (VPC) 網路,以及多個工作負載 VPC 網路。

本文適用對象為建構網路連線的網路管理員,以及規劃工作負載部署方式的雲端架構師。本文假設您對路由和網際網路連線有基本瞭解。

架構

下圖顯示網路架構的概略視圖,以及此架構支援的四個封包流程。

文件中說明的四種連線類型。

此架構包含下列高階元素:

元件 目的 互動
外部網路 (地端或其他 CSP 網路) 主機代管在工作負載虛擬私有雲和服務存取虛擬私有雲中執行的工作負載用戶端。外部網路也可以代管服務。 透過中繼網路與 Google Cloud的虛擬私有雲網路交換資料。使用 Cloud Interconnect 或高可用性 VPN 連線至 Transit 網路。

終止下列其中一個流程的其中一端:

  • External-to-shared-services
  • 外部至工作負載
傳輸虛擬私有雲網路 做為外部網路、服務存取權虛擬私有雲網路和工作負載虛擬私有雲網路的中心。 透過 Cloud Interconnect、高可用性 VPN 和虛擬私有雲網路對等互連的組合,將外部網路、服務存取虛擬私有雲網路和工作負載虛擬私有雲網路連結在一起。
可存取服務的虛擬私有雲網路 為在工作負載虛擬私有雲網路或外部網路中執行的工作負載,提供所需服務的存取權。此外,也提供其他網路中代管服務的存取點。 透過中繼網路與外部和工作負載網路交換資料。使用高可用性 VPN 連線至傳輸虛擬私有雲。高可用性 VPN 提供的遞移路由功能,可讓外部流量透過服務存取虛擬私有雲網路,連上代管服務虛擬私有雲。

終止下列其中一個流程的其中一端:

  • External-to-shared-services
  • Workload-to-shared-services
代管服務 VPC 網路 代管其他網路中用戶端所需的服務。 與外部、服務存取和工作負載網路交換資料。使用 私人服務存取權 (使用虛擬私有雲網路對等互連) 或 Private Service Connect 連線至服務存取虛擬私有雲網路。

終止來自所有其他網路的流程一端。
工作負載虛擬私有雲網路 主機工作負載,供其他網路的用戶端使用。 透過中轉虛擬私有雲網路,與外部和服務存取虛擬私有雲網路交換資料。透過 VPC 網路對等互連連線至傳輸網路。使用 Network Connectivity Center 虛擬私有雲輪輻連線至其他工作負載虛擬私有雲網路。

終止下列其中一個流程的其中一端:

  • 外部至工作負載
  • Workload-to-shared-services
  • 工作負載對工作負載

下圖詳細說明架構,並標示網路之間的四個連線:

文件中說明的四種連線類型。

連線說明

本節說明上圖所示的四個連線。

連線 1:外部網路與中繼虛擬私有雲網路之間的連線

外部網路與傳輸 VPC 網路之間的連線,是透過 Cloud Interconnect 或高可用性 VPN 建立。透過 BGP,在轉移 VPC 網路中的 Cloud Router 與外部網路中的外部路由器之間交換路徑。

  • 外部網路中的路由器會將外部子網路的路徑通告至 Transit VPC Cloud Router。一般來說,特定位置的外部路由器會宣告來自相同外部位置的路徑,優先於其他外部位置的路徑。您可以使用 BGP 指標和屬性表示路徑偏好設定。
  • Transit VPC 網路中的 Cloud Router 會將 Google Cloud的 VPC 中前置字元的路徑通告至外部網路。這些路徑必須透過 Cloud Router 自訂路徑通告來通告。

連線 2:在 Transit VPC 網路和服務存取 VPC 網路之間

中繼虛擬私有雲網路與服務存取虛擬私有雲網路之間的連線,是透過高可用性 VPN 建立,每個區域都有各自的通道。系統會透過 BGP,在轉移 VPC 網路和服務存取 VPC 網路的區域 Cloud Router 之間交換路徑。

  • Transit VPC HA VPN Cloud Router 會向服務存取 VPC Cloud Router 通告外部網路前置字元、工作負載 VPC 和其他服務存取 VPC 的路徑。這些路徑必須使用 Cloud Router 自訂路徑通告來通告。
  • 服務存取權虛擬私有雲網路會將其子網路和任何已連結代管服務虛擬私有雲網路的子網路,公告給 Transit 虛擬私有雲網路。管理服務虛擬私有雲端路徑和服務存取虛擬私有雲端子網路路徑,都必須使用 Cloud Router 自訂路徑通告來通告。

連線 3:在 Transit VPC 網路和工作負載 VPC 網路之間

傳輸虛擬私有雲網路與工作負載虛擬私有雲網路之間的連線,是透過虛擬私有雲對等互連實作。子網路和前置碼路徑會透過虛擬私有雲對等互連機制交換。透過這項連線,工作負載虛擬私有雲網路和連線至中繼虛擬私有雲網路的其他網路 (包括外部網路和服務存取虛擬私有雲網路) 之間,就能進行通訊。

  • 中繼虛擬私有雲網路會使用虛擬私有雲網路對等互連匯出自訂路徑。這些自訂路徑包括 transit 虛擬私有雲網路取得的所有動態路徑。工作負載虛擬私有雲網路會匯入這些自訂路徑。
  • 工作負載虛擬私有雲網路會自動將子網路匯出至 Transit 虛擬私有雲網路。工作負載 VPC 不會將任何自訂路徑匯出至 Transit VPC。

連線 4:工作負載虛擬私有雲網路之間

  • 您可以透過 Network Connectivity Center 虛擬私有雲輪輻,將工作負載虛擬私有雲網路互相連線。這項設定為選用。如果不想讓工作負載虛擬私有雲網路彼此通訊,可以省略這項設定。

流量

下圖顯示這個參考架構啟用的四個流程。

本文將詳細說明這四種流程的背景資訊。

下表說明圖表中的流程:

來源 目的地 說明
外部網路 可存取服務的虛擬私有雲網路
  1. 流量會透過 Cloud Interconnect 連線的路徑傳輸至中繼網路。這些路徑是由面向外部的 Cloud Router 公告。
  2. 流量會依循自訂路徑前往服務存取權虛擬私有雲網路。系統會透過高可用性 VPN 連線公告路徑。如果目的地位於透過私人服務存取權連線至服務存取權虛擬私有雲網路的代管服務虛擬私有雲網路,則流量會沿著虛擬私有雲網路對等互連自訂路徑,前往代管服務網路。
可存取服務的虛擬私有雲網路 外部網路
  1. 流量會透過高可用性 VPN 通道,沿著自訂路徑前往傳輸網路。
  2. 流量會沿著外部連線的路徑回到外部網路。這些路徑是透過 BGP 從外部路由器取得。
外部網路 工作負載虛擬私有雲網路
  1. 流量會透過外部連線,沿著路徑傳輸到中繼網路。這些路徑是由面向外部的 Cloud Router 公告。
  2. 流量會沿著子網路路徑前往相關的工作負載 VPC 網路。路徑是透過虛擬私有雲網路對等互連取得。
工作負載虛擬私有雲網路 外部網路
  1. 流量會沿著路徑返回傳輸網路。路徑是透過虛擬私有雲網路對等互連自訂路徑匯出功能取得。
  2. 流量會沿著外部連線的路徑回到外部網路。這些路徑是透過 BGP 從外部路由器取得。
工作負載虛擬私有雲網路 可存取服務的虛擬私有雲網路
  1. 流量會依循路徑前往 Transit VPC。這些路徑是透過虛擬私有雲網路對等互連自訂路徑匯出功能取得。
  2. 流量會透過其中一個高可用性 VPN 通道,按照路徑前往服務存取權虛擬私有雲網路。路徑是從 BGP 自訂路徑通告取得。
可存取服務的虛擬私有雲網路 工作負載虛擬私有雲網路
  1. 流量會透過自訂路徑前往傳輸網路。系統會透過高可用性 VPN 通道發布路徑。
  2. 流量會沿著子網路路徑前往相關的工作負載 VPC 網路。路徑是透過虛擬私有雲網路對等互連取得。
工作負載虛擬私有雲網路 工作負載虛擬私有雲網路 離開某個工作負載虛擬私有雲的流量,會透過 Network Connectivity Center 遵循更明確的路徑前往另一個工作負載虛擬私有雲。回程流量會反向傳輸。

使用的產品

這項參考架構使用下列 Google Cloud 產品:

  • 虛擬私有雲 (VPC):虛擬系統,可為 Google Cloud 工作負載提供全球性、可擴充的網路功能。虛擬私有雲包括虛擬私有雲網路對等互連、Private Service Connect、私人服務存取權和共用虛擬私有雲。
  • Network Connectivity Center:一種協調架構,可簡化連線至中樞 (中央管理資源) 的輪輻資源之間的網路連線。
  • Cloud Interconnect:這項服務可透過高可用性且低延遲的連線,將外部網路延伸至 Google 網路。
  • Cloud VPN:這項服務可透過 IPsec VPN 通道,將對等網路安全地延伸至 Google 的網路。
  • Cloud Router:全代管的分散式服務,提供邊界閘道通訊協定 (BGP) 發言者和回應者功能。Cloud Router 可搭配 Cloud Interconnect、Cloud VPN 和 Router 設備,根據 BGP 接收和自訂學習的路徑,在虛擬私有雲網路中建立動態路徑。

設計注意事項

本節說明設計因素、最佳做法和設計建議,供您參考這些資訊,使用這個參考架構開發拓撲,滿足安全性、可靠性和效能方面的特定需求。

安全性與法規遵循

以下列出此參考架構的安全性與法規遵循注意事項:

  • 基於法規遵循考量,您可能只想在單一區域部署工作負載。如要將所有流量保留在單一區域,可以使用 99.9% 拓撲。詳情請參閱「為專屬互連網路建立 99.9% 的可用性」和「為合作夥伴互連網路建立 99.9% 的可用性」。
  • 使用 Cloud Next Generation Firewall,保護進出服務存取和工作負載 VPC 網路的流量。如要保護外部網路與中繼網路之間傳遞的流量,您必須使用外部防火牆或 NVA 防火牆。
  • 視流量和法規遵循需求啟用記錄和監控功能。您可以使用虛擬私有雲流量記錄,深入瞭解流量模式。
  • 使用 Cloud IDS 深入瞭解流量。

可靠性

以下清單說明這個參考架構的可靠性考量事項:

  • 如要達到 99.99% 的 Cloud Interconnect 可用性,必須連線至兩個不同的 Google Cloud 區域。
  • 為提高可靠性並盡量避免區域性故障,您可以將工作負載和其他雲端資源分散到不同區域。
  • 如要處理預期流量,請建立足夠數量的 VPN 通道。個別 VPN 通道有頻寬限制

效能最佳化

以下列出這個參考架構的效能考量事項:

  • 您或許可以增加網路和連線的最大傳輸單元 (MTU),藉此提升網路效能。詳情請參閱「最大傳輸單位」。
  • 中繼虛擬私有雲和工作負載資源之間的通訊是透過虛擬私有雲網路對等互連進行,可為網路中的所有 VM 提供全線速率處理量,且不需額外付費。規劃部署作業時,請考量虛擬私有雲網路對等互連配額和限制。您可以透過多種方式將外部網路連線至 Transit 網路。如要進一步瞭解如何兼顧成本和效能,請參閱「選擇網路連線產品」。

部署作業

本文中的架構會建立三組連線至中央轉運虛擬私有雲網路,以及工作負載虛擬私有雲網路之間的連線。所有連線都完成設定後,部署中的所有網路就能與其他網路通訊。

這項部署作業假設您要在兩個區域中,建立外部網路與中繼網路之間的連線。不過,工作負載子網路可位於任何區域。如果您只在一個區域中放置工作負載,則只需要在該區域中建立子網路。

如要部署這項參考架構,請完成下列工作:

  1. 找出要放置連線和工作負載的區域
  2. 建立虛擬私有雲網路和子網路
  3. 建立外部網路與 Transit 虛擬私有雲網路之間的連線
  4. 在轉移 VPC 網路與服務存取 VPC 網路之間建立連線
  5. 在傳輸虛擬私有雲網路和工作負載虛擬私有雲網路之間建立連線
  6. 連線至工作負載虛擬私有雲網路
  7. 測試與工作負載的連線

找出要放置連線和工作負載的區域

一般來說,您會希望連線和工作負載盡量靠近地端部署網路或其他雲端用戶端。 Google Cloud 如要進一步瞭解如何放置工作負載,請參閱Google Cloud 區域選擇器選擇 Compute Engine 地區的最佳做法

建立虛擬私有雲網路和子網路

如要建立虛擬私有雲網路和子網路,請完成下列工作:

  1. 建立或找出要建立虛擬私有雲網路的專案。如需相關指引,請參閱「網路區隔和專案結構」。如要使用共用虛擬私有雲網路,請將專案佈建為共用虛擬私有雲主專案
  2. 規劃網路的 IP 位址分配。您可以「建立內部範圍」,預先配置及保留範圍。分配可聚合的位址區塊,可讓日後的設定和作業更加簡單。
  3. 建立已啟用全域轉送的傳輸網路 VPC。
  4. 建立服務虛擬私有雲網路。如果工作負載位於多個區域,請啟用全域轉送。
  5. 建立工作負載虛擬私有雲網路。如果工作負載位於多個區域,請啟用全域轉送。

建立外部網路與中轉虛擬私有雲網路之間的連線

本節假設兩個區域都有連線,且外部位置已連線,可以彼此容錯移轉。此外,這項功能也會假設外部位置 A 的用戶端偏好連線至區域 A 的服務,依此類推。

  1. 設定外部網路與中繼網路之間的連線。如要瞭解如何思考這個問題,請參閱「外部和混合連線」。如需選擇連線產品的指引,請參閱「選擇網路連線產品」。
  2. 在每個連線區域中設定 BGP,步驟如下:
    • 請在指定外部位置設定路由器,方法如下:
      • 在兩個介面上使用相同的 BGP MED (例如 100),通告該外部位置的所有子網路。如果兩個介面都公告相同的 MED,則 Google Cloud 可以使用 ECMP,在兩個連線之間平衡流量負載。
      • 使用優先順序低於第一個區域的 MED (例如 200),通告其他外部位置的所有子網路。從兩個介面發布相同的 MED。
    • 在已連線區域的 Transit VPC 中,設定面向外部的 Cloud Router,方法如下:
      • 將 Cloud Router ASN 設為 16550。
      • 使用自訂路徑通告,透過兩個對外的 Cloud Router 介面,公告所有地區的所有子網路範圍。盡可能匯總這些資料。在兩個介面上使用相同的 MED,例如 100。

在 Transit VPC 網路與服務存取權 VPC 網路之間建立連線

如要在外部網路與服務存取虛擬私有雲之間,以及工作負載虛擬私有雲與服務存取虛擬私有雲之間提供遞移轉送,服務存取虛擬私有雲會使用高可用性 VPN 進行連線。

  1. 預估每個區域中,要在轉運和服務存取虛擬私有雲之間傳輸多少流量。請據此調整預期的通道數量。
  2. 按照「建立高可用性 VPN 閘道來連結虛擬私有雲網路」一文中的操作說明,在 A 區域的 Transit VPC 和服務存取 VPC 之間設定高可用性 VPN。在 Transit 網路中建立專屬的高可用性 VPN Cloud Router。保留面向外部網路的路由器,供外部網路連線使用。
    • Transit VPC Cloud Router 設定:
      • 如要向服務存取 VPC 通告外部網路和工作負載 VPC 子網路,請在 Transit VPC 的 Cloud Router 上使用自訂路徑通告
    • 服務存取虛擬私有雲 Cloud Router 設定:
      • 如要向中繼虛擬私有雲通告服務存取虛擬私有雲子網路,請在服務存取虛擬私有雲 Cloud Router 上使用自訂路徑通告。
      • 如果您使用私人服務存取權,將代管服務虛擬私有雲連線至服務存取虛擬私有雲,請使用自訂路徑一併宣告這些子網路。
  3. 如果使用私人服務存取權將代管服務虛擬私有雲連線至服務存取虛擬私有雲,建立虛擬私有雲網路對等互連連線後,請更新服務存取虛擬私有雲端的虛擬私有雲網路對等互連連線,匯出自訂路徑。

在 Transit VPC 網路和工作負載 VPC 網路之間建立連線

在傳輸虛擬私有雲和每個工作負載虛擬私有雲之間建立虛擬私有雲網路對等互連連線

  • 為每條連線的傳輸虛擬私有雲端啟用「匯出自訂路徑」
  • 為每個連線的工作負載 VPC 端啟用「匯入自訂路徑」
  • 在預設情境中,只有工作負載 VPC 子網路路徑會匯出至 Transit VPC。您不需要從工作負載 VPC 匯出自訂路徑。

連結工作負載虛擬私有雲網路

使用 Network Connectivity Center 虛擬私有雲 Spoke,將工作負載虛擬私有雲網路連線在一起。讓所有輪輻都屬於同一個 Network Connectivity Center 輪輻對等互連群組。使用核心對等互連群組,在虛擬私有雲之間啟用全網格通訊。

Network Connectivity Center 連線會在工作負載虛擬私有雲網路之間發布特定路徑。這些網路之間的流量會遵循這些路徑。

測試與工作負載的連線

如果您已在虛擬私有雲網路中部署工作負載,請立即測試存取權。如果您在部署工作負載前已連結網路,現在即可部署並測試。

後續步驟

貢獻者

作者:

其他貢獻者: