In diesem Dokument wird eine Referenzarchitektur beschrieben, mit der Sie eine Hub-and-Spoke-Netzwerktopologie für ein Cloud-übergreifendes Netzwerk in Google Cloud bereitstellen können. Dieses Netzwerkdesign ermöglicht die Bereitstellung von Softwarediensten in Google Cloud und externen Netzwerken wie lokalen Rechenzentren oder anderen Cloud-Anbietern.
Dieses Design unterstützt mehrere externe Verbindungen, mehrere VPC-Netzwerke (Virtual Private Cloud) für den Dienstzugriff und mehrere VPC-Netzwerke für Arbeitslasten.
Dieses Dokument richtet sich an Netzwerkadministratoren, die die Netzwerkkonnektivität aufbauen, und an Cloud-Architekten, die die Bereitstellung von Arbeitslasten planen. In diesem Dokument wird davon ausgegangen, dass Sie Grundkenntnisse zu Routing und Internetverbindungen haben.
Architektur
Das folgende Diagramm zeigt eine allgemeine Ansicht der Architektur der Netzwerke und der vier Paketflüsse, die diese Architektur unterstützt.
Die Architektur umfasst die folgenden allgemeinen Elemente:
| Komponente | Zweck | Interaktionen |
|---|---|---|
| Externe Netzwerke (lokale oder andere CSP-Netzwerke) | Hier werden die Clients der Arbeitslasten gehostet, die in den Arbeitslast-VPCs und in den VPCs für den Dienstzugriff ausgeführt werden. Externe Netzwerke können auch Dienste hosten. | Er tauscht Daten über das Transitnetzwerk mit den Virtual Private Cloud-Netzwerken von Google Cloud aus. Stellt über Cloud Interconnect oder HA VPN eine Verbindung zum Transitnetzwerk her. Beendet ein Ende der folgenden Verbindungen:
|
| VPC-Netzwerk | Dient als Hub für das externe Netzwerk, das VPC-Netzwerk für den Dienstzugriff und die VPC-Netzwerke für die Arbeitslast. | Verbindet das externe Netzwerk, das VPC-Netzwerk für den Dienstezugriff und die VPC-Netzwerke für Arbeitslasten über eine Kombination aus Cloud Interconnect, HA VPN und VPC-Netzwerk-Peering. |
| VPC-Netzwerk für den Zugriff auf Dienste | Bietet Zugriff auf Dienste, die von Arbeitslasten benötigt werden, die in den VPC-Netzwerken der Arbeitslast oder in externen Netzwerken ausgeführt werden. Bietet auch Zugangspunkte zu verwalteten Diensten, die in anderen Netzwerken gehostet werden. | Er tauscht Daten über das Transitnetzwerk mit den externen und Arbeitslastnetzwerken aus. Stellt über HA VPN eine Verbindung zum Transit-VPC her. Durch das transitive Routing von HA VPN kann externer Traffic über das VPC-Netzwerk für den Dienstzugriff VPCs für verwaltete Dienste erreichen. Beendet ein Ende der folgenden Verbindungen:
|
| VPC-Netzwerk für verwaltete Dienste | Hostet verwaltete Dienste, die von Clients in anderen Netzwerken benötigt werden. | Er tauscht Daten mit den externen, den Dienstzugriffs- und den Arbeitsnetzwerkern aus. Stellt über den Zugriff auf private Dienste, der VPC-Netzwerk-Peering verwendet, oder über Private Service Connect eine Verbindung zum VPC-Netzwerk mit Dienstzugriff her. Beendet ein Ende von Verbindungen aus allen anderen Netzwerken. |
| VPC-Netzwerke für Arbeitslasten | Hostet Arbeitslasten, die von Clients in anderen Netzwerken benötigt werden. | Er tauscht Daten über das Transit-VPC-Netzwerk mit den externen VPC-Netzwerken und den VPC-Netzwerken für den Dienstzugriff aus. Verbindet sich über VPC-Netzwerk-Peering mit dem Transitnetzwerk. Verbindet sich über VPC-Spokes im Network Connectivity Center mit anderen VPC-Netzwerken für Arbeitslasten. Beendet ein Ende der folgenden Verbindungen:
|
Das folgende Diagramm zeigt eine detaillierte Ansicht der Architektur mit den vier Verbindungen zwischen den Netzwerken:
Beschreibungen von Verbindungen
In diesem Abschnitt werden die vier Verbindungen beschrieben, die im vorherigen Diagramm dargestellt sind.
Verbindung 1: Zwischen externen Netzwerken und dem Transit-VPC-Netzwerk
Diese Verbindung zwischen externen Netzwerken und Transit-VPC-Netzwerken erfolgt über Cloud Interconnect oder HA VPN. Routen werden mit BGP zwischen den Cloud Routern im Transit-VPC-Netzwerk und den externen Routern im externen Netzwerk ausgetauscht.
- Router in externen Netzwerken geben die Routen für externe Subnetze an die Transit-VPC-Cloud Router weiter. Externe Router an einem bestimmten Standort geben Routen von demselben externen Standort in der Regel als bevorzugter an als Routen für andere externe Standorte. Die Präferenz der Routen kann mithilfe von BGP-Messwerten und ‑Attributen ausgedrückt werden.
- Cloud Router im Transit-VPC-Netzwerk geben Routen für Präfixe in den VPCs von Google Cloud an die externen Netzwerke weiter. Diese Routen müssen mithilfe von benutzerdefinierten Route Announcements von Cloud Router angekündigt werden.
Verbindung 2: Zwischen VPC-Netzwerken für den Durchlauf und VPC-Netzwerken für den Dienstzugriff
Diese Verbindung zwischen Transit-VPC-Netzwerken und VPC-Netzwerken für den Dienstzugriff erfolgt über HA VPN mit separaten Tunneln für jede Region. Routen werden mit BGP zwischen den regionalen Cloud-Routern in den Transit-VPC-Netzwerken und den VPC-Netzwerken für den Dienstzugriff ausgetauscht.
- HA VPN-Cloud Router für Transit-VPCs geben Routen für externe Netzwerkpräfixe, Arbeitslast-VPCs und andere VPCs mit Dienstzugriff an den Cloud Router der VPC mit Dienstzugriff weiter. Diese Routen müssen mithilfe von benutzerdefinierten Cloud Router-Routen angekündigt werden.
- Das VPC-Netzwerk für den Zugriff auf Dienste kündigt seine Subnetze und die Subnetze aller angehängten VPC-Netzwerke für verwaltete Dienste an das Transit-VPC-Netzwerk an. VPC-Routen für verwaltete Dienste und VPC-Subnetzrouten für den Dienstzugriff müssen mithilfe von benutzerdefinierten Cloud Router-Routen-Anzeigen angekündigt werden.
Verbindung 3: Zwischen Transit-VPC-Netzwerken und Arbeitslast-VPC-Netzwerken
Diese Verbindung zwischen Transit-VPC-Netzwerken und Arbeitslast-VPC-Netzwerken wird über VPC-Peering implementiert. Subnetze und Präfixrouten werden mithilfe von VPC-Peering-Mechanismen ausgetauscht. Diese Verbindung ermöglicht die Kommunikation zwischen den VPC-Netzwerken der Arbeitslast und den anderen Netzwerken, die mit dem Transit-VPC-Netzwerk verbunden sind, einschließlich der externen Netzwerke und der VPC-Netzwerke für den Dienstzugriff.
- Das Transit-VPC-Netzwerk verwendet VPC-Netzwerk-Peering, um benutzerdefinierte Routen zu exportieren. Diese benutzerdefinierten Routen umfassen alle dynamischen Routen, die vom Transit-VPC-Netzwerk gelernt wurden. Diese benutzerdefinierten Routen werden in die VPC-Netzwerke der Arbeitslast importiert.
- Das VPC-Netzwerk der Arbeitslast exportiert Subnetze automatisch in das Transit-VPC-Netzwerk. Es werden keine benutzerdefinierten Routen aus den Arbeitslast-VPCs in die Transit-VPC exportiert.
Verbindung 4: Zwischen Arbeitslast-VPC-Netzwerken
- Workload-VPC-Netzwerke können über VPC-Spokes in Network Connectivity Center miteinander verbunden werden. Diese Konfiguration ist optional. Sie können sie weglassen, wenn VPC-Netzwerke für Arbeitslasten nicht miteinander kommunizieren sollen.
Trafficabläufe
Das folgende Diagramm zeigt die vier Abläufe, die durch diese Referenzarchitektur aktiviert werden.
In der folgenden Tabelle werden die Abläufe im Diagramm beschrieben:
| Quelle | Ziel | Beschreibung |
|---|---|---|
| Externes Netzwerk | VPC-Netzwerk für den Zugriff auf Dienste |
|
| VPC-Netzwerk für den Zugriff auf Dienste | Externes Netzwerk |
|
| Externes Netzwerk | VPC-Netzwerk der Arbeitslast |
|
| VPC-Netzwerk der Arbeitslast | Externes Netzwerk |
|
| VPC-Netzwerk der Arbeitslast | VPC-Netzwerk für den Zugriff auf Dienste |
|
| VPC-Netzwerk für den Zugriff auf Dienste | VPC-Netzwerk der Arbeitslast |
|
| VPC-Netzwerk der Arbeitslast | VPC-Netzwerk der Arbeitslast | Traffic, der eine Arbeitslast-VPC verlässt, folgt der spezifischeren Route über Network Connectivity Center zur anderen Arbeitslast-VPC. Bei Rücktraffic wird dieser Pfad umgekehrt. |
Verwendete Produkte
In dieser Referenzarchitektur werden die folgenden Google Cloud-Produkte verwendet:
- Virtual Private Cloud (VPC): Ein virtuelles System, das globale, skalierbare Netzwerkfunktionen für Ihre Google Cloud-Arbeitslasten bietet. VPC umfasst VPC-Netzwerk-Peering, Private Service Connect, Zugriff auf private Dienste und freigegebene VPC.
- Network Connectivity Center: Ein Orchestrierungs-Framework, das Netzwerkverbindungen zwischen Spoke-Ressourcen vereinfacht, die mit einer zentralen Verwaltungsressource verbunden sind, die als hub bezeichnet wird.
- Cloud Interconnect: Ein Dienst, mit dem Ihr externes Netzwerk über eine hochverfügbare Verbindung mit niedriger Latenz auf das Google-Netzwerk erweitert wird.
- Cloud VPN: Ein Dienst, mit dem Sie Ihr Peer-Netzwerk über einen IPsec-VPN-Tunnel sicher auf das Google-Netzwerk ausdehnen können.
- Cloud Router: Ein verteiltes und vollständig verwaltetes Angebot mit BGP-Speaker- und ‑Responder-Funktionen (Border Gateway Protocol). Cloud Router arbeitet mit Cloud Interconnect, Cloud VPN und Router-Appliances zusammen, um dynamische Routen in VPC-Netzwerken anhand von BGP-empfangenen und benutzerdefinierten ermittelten Routen zu erstellen.
Designaspekte
In diesem Abschnitt werden Designfaktoren, Best Practices und Designempfehlungen beschrieben, die Sie berücksichtigen sollten, wenn Sie diese Referenzarchitektur verwenden, um eine Topologie zu entwickeln, die Ihre spezifischen Anforderungen an Sicherheit, Zuverlässigkeit und Leistung erfüllt.
Sicherheit und Compliance
In der folgenden Liste werden die Sicherheits- und Compliance-Aspekte für diese Referenzarchitektur beschrieben:
- Aus Compliance-Gründen möchten Sie Arbeitslasten möglicherweise nur in einer einzigen Region bereitstellen. Wenn Sie den gesamten Traffic in einer einzelnen Region halten möchten, können Sie eine Topologie mit 99,9% verwenden. Weitere Informationen finden Sie unter 99,9% Verfügbarkeit für Dedicated Interconnect einrichten und 99,9% Verfügbarkeit für Partner Interconnect einrichten.
- Verwenden Sie die Cloud Next Generation Firewall, um den Traffic zu sichern, der in die VPC-Netzwerke für den Dienstzugriff und die Arbeitslast eintritt und diese verlässt. Um den Traffic zu schützen, der zwischen externen Netzwerken und dem Transitnetzwerk fließt, müssen Sie externe Firewalls oder NVA-Firewalls verwenden.
- Aktivieren Sie Logging und Monitoring entsprechend Ihren Anforderungen an Traffic und Compliance. Mit VPC-Flusslogs können Sie Einblicke in Ihre Traffic-Muster gewinnen.
- Mit Cloud IDS erhalten Sie zusätzliche Informationen zu Ihrem Traffic.
Zuverlässigkeit
In der folgenden Liste werden die Zuverlässigkeitsaspekte für diese Referenzarchitektur beschrieben:
- Wenn Sie eine Verfügbarkeit von 99,99% für Cloud Interconnect erreichen möchten, müssen Sie eine Verbindung zu zwei verschiedenen Google Cloud-Regionen herstellen.
- Sie können Arbeitslasten und andere Cloud-Ressourcen auf Regionen verteilen, um die Zuverlässigkeit zu verbessern und das Risiko regionaler Ausfälle zu minimieren.
- Erstellen Sie eine ausreichende Anzahl von VPN-Tunneln, um den erwarteten Traffic zu verarbeiten. Für einzelne VPN-Tunnel gelten Bandbreitenlimits.
Leistungsoptimierung
In der folgenden Liste werden die Leistungsaspekte für diese Referenzarchitektur beschrieben:
- Möglicherweise lässt sich die Netzwerkleistung verbessern, indem Sie die maximale Übertragungseinheit (MTU) Ihrer Netzwerke und Verbindungen erhöhen. Weitere Informationen finden Sie unter Maximale Übertragungseinheit.
- Die Kommunikation zwischen der Transit-VPC und den Arbeitslastressourcen erfolgt über VPC-Netzwerk-Peering, das ohne zusätzliche Kosten einen Durchsatz in voller Leitungsrate für alle VMs im Netzwerk bietet. Berücksichtigen Sie bei der Planung Ihrer Bereitstellung die Kontingente und Limits für das VPC-Netzwerk-Peering. Es gibt mehrere Möglichkeiten, Ihr externes Netzwerk mit dem Transitnetzwerk zu verbinden. Weitere Informationen zum Ausgleich von Kosten- und Leistungsaspekten finden Sie unter Network Connectivity-Produkt auswählen.
Bereitstellung
Mit der Architektur in diesem Dokument werden drei Verbindungen zu einem zentralen Transit-VPC-Netzwerk sowie eine andere Verbindung zwischen den VPC-Netzwerken der Arbeitslast erstellt. Nachdem alle Verbindungen vollständig konfiguriert sind, können alle Netzwerke in der Bereitstellung mit allen anderen Netzwerken kommunizieren.
Bei dieser Bereitstellung wird davon ausgegangen, dass Sie Verbindungen zwischen dem externen und dem Transitnetzwerk in zwei Regionen herstellen. Arbeitslast-Subnetze können sich jedoch in jeder Region befinden. Wenn Sie Arbeitslasten nur in einer Region platzieren, müssen Sie nur Subnetze in dieser Region erstellen.
Führen Sie die folgenden Aufgaben aus, um diese Referenzarchitektur bereitzustellen:
- Regionen für die Bereitstellung von Konnektivität und Arbeitslasten identifizieren
- VPC-Netzwerke und Subnetze erstellen
- Verbindungen zwischen externen Netzwerken und Ihrem Transit-VPC-Netzwerk erstellen
- Verbindungen zwischen Ihrem Transit-VPC-Netzwerk und VPC-Netzwerken für den Dienstzugriff erstellen
- Verbindungen zwischen Ihrem Transit-VPC-Netzwerk und Ihren Arbeitslast-VPC-Netzwerken erstellen
- VPC-Netzwerke für Arbeitslasten verbinden
- Konnektivität zu Arbeitslasten testen
Regionen für Konnektivität und Arbeitslasten identifizieren
Im Allgemeinen sollten Sie die Konnektivität und die Google Cloud-Arbeitslasten in unmittelbarer Nähe Ihrer lokalen Netzwerke oder anderer Cloud-Clients platzieren. Weitere Informationen zum Platzieren von Arbeitslasten finden Sie unter Google Cloud-Regionenauswahl und Best Practices für die Auswahl der Compute Engine-Regionen.
VPC-Netzwerke und Subnetze erstellen
Führen Sie die folgenden Schritte aus, um Ihre VPC-Netzwerke und Subnetze zu erstellen:
- Erstellen oder identifizieren Sie die Projekte, in denen Sie Ihre VPC-Netzwerke erstellen möchten. Weitere Informationen finden Sie unter Netzwerksegmentierung und Projektstruktur. Wenn Sie freigegebene VPC-Netzwerke verwenden möchten, bereiten Sie Ihre Projekte als Hostprojekte für freigegebene VPCs vor.
- Planen Sie die IP‑Adresszuweisungen für Ihre Netzwerke. Sie können Ihre Bereiche vorab zuweisen und reservieren, indem Sie interne Bereiche erstellen. Wenn Sie Adressblöcke zuweisen, die aggregiert werden können, sind die spätere Konfiguration und die spätere Nutzung einfacher.
- Erstellen Sie ein VPC-Netzwerk für ein Transitnetzwerk mit aktiviertem globalem Routing.
- Erstellen Sie VPC-Netzwerke für Dienste. Wenn Sie Arbeitslasten in mehreren Regionen haben, aktivieren Sie das globale Routing.
- VPC-Netzwerke für Arbeitslasten erstellen Wenn Sie Arbeitslasten in mehreren Regionen haben, aktivieren Sie das globale Routing.
Verbindungen zwischen externen Netzwerken und Ihrem Transit-VPC-Netzwerk erstellen
In diesem Abschnitt wird davon ausgegangen, dass eine Verbindung in zwei Regionen besteht und dass die externen Standorte miteinander verbunden sind und auf die jeweils andere Region umschalten können. Außerdem wird davon ausgegangen, dass Clients an externen Standort A bevorzugt Dienste in Region A erreichen sollen usw.
- Richten Sie die Verbindung zwischen den externen Netzwerken und Ihrem Transitnetzwerk ein. Weitere Informationen finden Sie unter Externe und hybride Konnektivität. Informationen zur Auswahl eines Netzwerkverbindungsprodukts finden Sie unter Network Connectivity-Produkt auswählen.
- Konfigurieren Sie BGP in jeder verbundenen Region so:
- Konfigurieren Sie den Router am angegebenen externen Standort so:
- Geben Sie alle Subnetze für diesen externen Standort an, indem Sie auf beiden Schnittstellen dieselbe BGP-MED verwenden, z. B. 100. Wenn beide Schnittstellen dieselbe MED angeben, kann Google Cloud mit ECMP den Traffic über beide Verbindungen ausgleichen.
- Geben Sie alle Subnetze vom anderen externen Standort an, indem Sie eine MED mit niedrigerer Priorität als die der ersten Region verwenden, z. B. 200. Dieselben MEDs von beiden Schnittstellen ansagen.
- Konfigurieren Sie den extern ausgerichteten Cloud Router in der Transit-VPC der verbundenen Region so:
- Legen Sie die ASN Ihres Cloud Routers auf 16550 fest.
- Mithilfe von benutzerdefinierten Routen-Anzeigen können Sie alle Subnetzbereiche aus allen Regionen über beide Cloud Router-Schnittstellen ankündigen, die nach außen gerichtet sind. Fassen Sie sie nach Möglichkeit zusammen. Verwenden Sie dieselbe MED auf beiden Schnittstellen, z. B. 100.
- Konfigurieren Sie den Router am angegebenen externen Standort so:
Verbindungen zwischen Ihrem Transit-VPC-Netzwerk und VPC-Netzwerken für den Dienstzugriff erstellen
Um ein transitives Routing zwischen externen Netzwerken und der VPC für den Dienstzugriff sowie zwischen Arbeitslast-VPCs und der VPC für den Dienstzugriff bereitzustellen, verwendet die VPC für den Dienstzugriff HA VPN für die Konnektivität.
- Schätzen Sie ab, wie viel Traffic zwischen den Transit- und Servicezugriffs-VPCs in jeder Region übertragen werden muss. Skalieren Sie die erwartete Anzahl der Tunnel entsprechend.
- Konfigurieren Sie HA VPN zwischen der Transit-VPC und der VPC für den Dienstzugriff in Region A. Folgen Sie dazu der Anleitung unter HA VPN-Gateways zum Verbinden von VPC-Netzwerken erstellen. Erstellen Sie einen dedizierten HA VPN-Cloud Router im Transitnetzwerk. Lassen Sie den Router, der zum externen Netzwerk ausgerichtet ist, für externe Netzwerkverbindungen.
- Cloud Router-Konfiguration für Transit-VPC:
- Verwenden Sie benutzerdefinierte Route Advertisements auf dem Cloud Router in der Transit-VPC, um VPC-Subnetze für externes Netzwerk und Arbeitslast für die VPC mit Dienstzugriff anzukündigen.
- VPC-Cloud Router-Konfiguration für den Dienstzugriff:
- Verwenden Sie benutzerdefinierte Route Advertisements auf dem Cloud Router des VPC mit Services-Zugriff, um VPC-Subnetze mit Services-Zugriff für das Transit-VPC anzukündigen.
- Wenn Sie den Zugriff auf private Dienste verwenden, um eine VPC für verwaltete Dienste mit der VPC für den Dienstezugriff zu verbinden, sollten Sie auch diese Subnetze über benutzerdefinierte Routen ankündigen.
- Cloud Router-Konfiguration für Transit-VPC:
- Wenn Sie eine VPC für verwaltete Dienste über den Zugriff auf private Dienste mit der VPC für den Dienstezugriff verbinden, aktualisieren Sie nach der Einrichtung der VPC-Netzwerk-Peering-Verbindung die VPC-Seite für den Dienstezugriff der VPC-Netzwerk-Peering-Verbindung, um benutzerdefinierte Routen zu exportieren.
Verbindungen zwischen Ihrem Transit-VPC-Netzwerk und Arbeitslast-VPC-Netzwerken erstellen
Erstellen Sie VPC-Netzwerk-Peering-Verbindungen zwischen Ihrem Transit-VPC und jedem Ihrer Arbeitslast-VPCs:
- Aktivieren Sie Benutzerdefinierte Routen exportieren für die Transit-VPC-Seite jeder Verbindung.
- Aktivieren Sie Benutzerdefinierte Routen importieren für die VPC-Seite der Arbeitslast jeder Verbindung.
- Im Standardszenario werden nur die Subnetzrouten des Arbeitslast-VPC in die Transit-VPC exportiert. Sie müssen keine benutzerdefinierten Routen aus den VPCs der Arbeitslast exportieren.
VPC-Netzwerke für Arbeitslasten verbinden
Verbinden Sie die VPC-Netzwerke der Arbeitslast mithilfe von Network Connectivity Center-VPC-Spokes. Alle Spokes müssen derselben Network Connectivity Center-Spoke-Peergruppe angehören. Verwenden Sie eine Kern-Peer-Gruppe, um eine vollständige Mesh-Kommunikation zwischen den VPCs zu ermöglichen.
Die Network Connectivity Center-Verbindung kündigt bestimmte Routen zwischen den VPC-Netzwerken der Arbeitslast an. Der Traffic zwischen diesen Netzwerken folgt diesen Routen.
Verbindung zu Arbeitslasten testen
Wenn Sie bereits Arbeitslasten in Ihren VPC-Netzwerken bereitgestellt haben, testen Sie jetzt den Zugriff darauf. Wenn Sie die Netzwerke vor der Bereitstellung von Arbeitslasten verbunden haben, können Sie sie jetzt bereitstellen und testen.
Nächste Schritte
- Weitere Informationen zu den in dieser Designanleitung verwendeten Google Cloud-Produkten:
- Weitere Referenzarchitekturen, Diagramme und Best Practices finden Sie im Cloud-Architekturcenter.
Beitragende
Autoren:
- Deepak Michael | Networking Specialist Customer Engineer
- Victor Moreno | Product Manager, Cloud Networking
- Osvaldo Costa | Networking Specialist Customer Engineer
Weitere Beitragende:
- Mark Schlagenhauf | Technical Writer, Netzwerk
- Ammett Williams | Developer Relations Engineer
- Ghaleb Al-habian | Network Specialist