本文是 Cross-Cloud Network 設計指南系列的一部分。
本系列文章包含以下部分:
- 分散式應用程式適用的 Cross-Cloud Network
- Cross-Cloud Network 中分散式應用程式的網路分段和連線 (本文件)
- Cross-Cloud Network 中分散式應用程式的服務網路
- Cross-Cloud Network 中分散式應用程式的網路安全性
本節將探討網路區隔結構和連線能力,這是設計的基礎。本文將說明您在下列階段中做出的選擇:
- 整體網路區隔和專案結構。
- 工作負載的放置位置。
- 專案如何連線至外部內部部署網路和其他雲端服務供應商網路,包括連線、轉送和加密的設計。
- 虛擬私有雲網路彼此間的內部連線方式。
- 虛擬私有雲子網路如何彼此連線,以及如何連線至其他網路,包括如何設定服務可存取性和 DNS。 Google Cloud
網路區隔和專案結構
在規劃階段,您必須從下列兩種專案結構中擇一:
- 整合式基礎架構主專案,您可以使用單一基礎架構主專案,管理所有應用程式的所有網路資源
- 分段主專案:您會搭配使用基礎架構主專案,以及每個應用程式的不同主專案
在規劃階段,建議您也為工作負載環境決定管理網域。根據最低權限原則,為基礎架構管理員和開發人員設定權限範圍,並將應用程式資源劃分到不同的應用程式專案。由於基礎架構管理員必須設定連線才能共用資源,因此基礎架構資源可以在基礎架構專案中處理。舉例來說,如要設定共用基礎架構資源的連線,基礎架構管理員可以使用基礎架構專案來處理這些共用資源。同時,開發團隊可能在一個專案中管理工作負載,而生產團隊則在另一個專案中管理工作負載。開發人員接著會使用基礎架構專案中的基礎架構資源,為工作負載建立及管理資源、服務、負載平衡和 DNS 路由政策。
此外,您必須決定一開始要實作多少個虛擬私有雲網路,以及這些網路在資源階層中的組織方式。如要進一步瞭解如何選擇資源階層,請參閱「為登陸區決定資源階層」。 Google Cloud 如要瞭解如何選擇虛擬私有雲網路數量,請參閱「決定是否建立多個虛擬私有雲網路」。
對於 Cross-Cloud Network,建議使用下列 VPC:
- 一或多個應用程式虛擬私有雲,用於代管不同應用程式的資源。
- 一或多個傳輸虛擬私有雲,負責處理所有外部連線。
- 一或多個服務存取虛擬私有雲,可用於整合已發布服務的私有存取部署作業。
下圖以視覺化方式呈現剛才說明的建議 VPC 結構。如後續章節所述,您可以使用圖中顯示的 VPC 結構,搭配整合式或區隔式專案結構。下圖未顯示虛擬私有雲網路之間的連線。
整合式基礎架構主專案
您可以使用整合式基礎架構主專案,管理所有網路資源,例如 VPC 網路和子網路、Network Connectivity Center 中樞、VPC 網路對等互連和負載平衡器。
您可以在基礎架構主專案中,建立多個應用程式共用虛擬私有雲,以及對應的應用程式服務專案,以符合機構結構。使用多個應用程式服務專案委派資源管理權。所有應用程式 VPC 的所有網路都會計入整合式基礎架構主專案。
在這個專案結構中,許多應用程式服務專案可以共用較少數量的應用程式虛擬私有雲。
下圖以視覺化方式呈現整合式基礎架構主專案,以及剛才說明的多個應用程式服務專案。這張圖表不會顯示所有專案之間的連線。
區隔主專案
在這個模式中,每個應用程式群組都有自己的應用程式主專案和虛擬私有雲網路。多個應用程式服務專案可以附加至主專案。網路服務的費用會分別計入基礎架構主專案和應用程式主專案。基礎架構費用會計入基礎架構主機專案,而網路費用 (例如應用程式的資料移轉費用) 則會計入各個應用程式主機專案。
下圖以視覺化方式呈現剛才說明的多個主專案和多個應用程式服務專案。這張圖並未顯示所有專案之間的連線。
工作負載放置位置
許多連線選項取決於工作負載的區域位置。如需工作負載放置位置的指引,請參閱「選擇 Compute Engine 地區的最佳做法」。選擇連線位置前,請先決定工作負載的所在位置。
外部和混合式連線
本節說明下列連線路徑的規定和建議:
- 與其他雲端供應商的私人連線
- 與內部部署資料中心的私人連線
- 工作負載的網際網路連線,尤其是外送連線
Cross-Cloud Network 涉及多個雲端網路或地端部署網路的互連。外部網路可由不同機構擁有及管理。這些網路會在一個或多個網路對網路介面 (NNI) 相互實體連線。NNI 組合的設計、佈建和設定必須兼顧效能、復原能力、隱私權和安全性。
為了提高模組化程度、可重複使用性,以及插入安全 NVA 的能力,請將外部連線和路由放在傳輸虛擬私有雲中,然後將該虛擬私有雲做為其他虛擬私有雲的共用連線服務。您可以在傳輸虛擬私有雲中設定一次跨網域的復原、容錯移轉和路徑偏好設定的轉送政策,並供許多其他虛擬私有雲網路使用。
稍後會將 NNI 和外部連線的設計用於內部連線和 VPC 網路。
下圖顯示中繼虛擬私有雲做為其他虛擬私有雲的共用連線服務,這些虛擬私有雲透過虛擬私有雲網路對等互連、Network Connectivity Center 或高可用性 VPN 連線。為求簡化,圖中只顯示單一傳輸虛擬私有雲,但您可以使用多個傳輸虛擬私有雲,在不同區域建立連線。
與其他雲端供應商的私人連線
如果您在其他雲端服務供應商 (CSP) 網路中執行服務,並想連線至 Google Cloud 網路,可以透過網際網路或私人連線連線至這些服務。建議使用私人連線。
選擇選項時,請考量輸送量、隱私權、成本和作業可行性。
如要盡量提高總處理量並加強隱私權,請在雲端網路之間使用直接高速連線。直接連線可免除使用中介實體網路設備的需求。建議您使用 Cross-Cloud Interconnect,這項服務提供直接連線、MACsec 加密,以及每個連結最高 100 Gbps 的輸送量。
如果無法使用 Cross-Cloud Interconnect,可以透過主機代管服務供應商使用專屬互連網路或合作夥伴互連網路。
根據位置與目標區域的鄰近程度,選取您要連線至其他 CSP 的位置。選擇位置時,請注意下列事項:
- 查看地點清單:
- 評估指定網路邊緣連結點 (POP) 與各 CSP 相關區域之間的延遲時間。
為盡量提高跨雲端連線的可靠性,建議您採用可為生產環境工作負載提供 99.99% 運作時間服務水準協議的設定。詳情請參閱「Cross-Cloud Interconnect 高可用性」、「為專屬互連網路建立 99.99% 的可用性」和「為合作夥伴互連網路建立 99.99% 的可用性」。
如果不需要不同 CSP 之間的高頻寬,可以使用 VPN 通道。這種方法可協助您開始使用,當分散式應用程式使用更多頻寬時,您可以升級至 Cross-Cloud Interconnect。VPN 通道也能達到 99.99% 的服務水準協議。詳情請參閱高可用性 VPN 拓撲。
與內部部署資料中心的私人連線
如要連線至私人資料中心,可以使用下列任一混合式連線選項:
- 專屬互連網路
- 合作夥伴互連網路
- 高可用性 VPN
這些連線的路由考量與其他雲端供應商的私人連線類似。
下圖顯示與內部部署網路的連線,以及內部部署路由器如何透過對等互連政策連線至 Cloud Router:
透過外部網路進行跨網域路由
如要提高網路之間的應變能力和總處理量,請使用多個路徑連線至網路。
流量在網路網域之間轉移時,必須由具狀態的安全裝置檢查。因此,網域邊界必須具有流量對稱性。
如果網路在多個區域之間傳輸資料,每個網路的費用和服務品質等級可能會大相逕庭。您可能會根據這些差異,決定使用某些網路而非其他網路。
設定網域間的轉送政策,以滿足區域間轉運、流量對稱、輸送量和復原能力方面的需求。
網域間的轉送政策設定取決於各網域邊緣的可用功能。設定方式也取決於從自主系統和 IP 位址 (子網路) 角度來看,不同區域的相鄰網域結構。為提升可擴充性,同時不超過邊緣裝置的前置字元限制,建議您規劃 IP 位址時,讓每個區域和網域組合的匯總前置字元數量減少。
設計跨區域路徑時,請考量下列事項:
- Google Cloud VPC 網路和 Cloud Router 都支援全域跨區域轉送。其他 CSP 可能會有區域 VPC 和邊界閘道通訊協定 (BGP) 範圍。詳情請參閱其他 CSP 的說明文件。
- Cloud Router 會根據地區鄰近性,自動通告具有預先決定路徑偏好的路徑。這項轉送行為取決於虛擬私有雲的動態轉送模式。您可能需要覆寫這些偏好設定,才能取得所需的路由行為。
- 不同的 CSP 支援不同的 BGP 和雙向轉送偵測 (BFD) 函式,且 Google 的 Cloud Router 也具有特定的路由政策功能,詳情請參閱「建立 BGP 工作階段」。
- 不同的 CSP 可能會使用不同的 BGP 決斷屬性,決定路徑的偏好設定。詳情請參閱 CSP 的說明文件。
單一區域跨網域轉送
建議您先從單一區域的跨網域路由開始,然後再以此為基礎,建立多個區域的跨網域路由連線。
使用 Cloud Interconnect 的設計必須至少有兩個連線位置,這些位置位於相同區域,但屬於不同的邊緣可用性網域。
決定是否要以主動/主動或主動/被動設計設定這些重複連線:
- 雙主動式會使用等價多路徑 (ECMP) 轉送功能,彙整兩條路徑的頻寬,並同時用於網域間流量。Cloud Interconnect 也支援使用 LACP 匯總連結,每個路徑的匯總頻寬最高可達 200 Gbps。
- 主動/被動會強制將一個連結設為待命狀態,只有在主動連結中斷時才會接管流量。
我們建議區域內連結採用主動/主動設計。不過,某些內部部署網路拓撲搭配使用具狀態的安全防護功能時,可能需要主動/被動設計。
Cloud Router 會在多個可用區中例項化,因此比單一元素更具應變能力。下圖顯示所有彈性連線如何在區域內的單一 Cloud Router 匯聚。遵循「為專屬互連網路建立 99.9% 的可用性」指南時,這個設計可在單一都會區內支援 99.9% 的可用性服務水準協議。
下圖顯示兩個內部部署路由器,以備援方式連線至單一區域中的受管理 Cloud Router 服務:
多區域跨網域路由
如要提供備份連線,網路可以在多個地理區域對等互連。連線多個區域的網路後,服務水準協議的可用性可提高至 99.99%。
下圖顯示 99.99% 服務水準協議的架構。這張圖顯示兩個不同位置的內部部署路由器,以備援方式連線至兩個不同區域的受管理 Cloud Router 服務。
除了彈性之外,多區域轉送設計也應達成流量對稱。設計也應指出區域間通訊的偏好網路,您可以透過熱馬鈴薯和冷馬鈴薯路由執行這項操作。在一個網域中配對冷馬鈴薯轉送與對等網域中的熱馬鈴薯轉送。如果是冷馬鈴薯網域,建議使用Google Cloud 網路網域,這個網域提供全域虛擬私有雲端轉送功能。
流程對稱性並非一律必要,但流程不對稱可能會導致有狀態安全功能發生問題。
下圖顯示如何使用熱馬鈴薯和冷馬鈴薯路徑,指定偏好的區域間轉運網路。在這種情況下,來自前置字元 X 和 Y 的流量會留在原始網路,直到抵達最接近目的地的區域為止 (冷馬鈴薯路由)。來自前置字元 A 和 B 的流量會切換至來源區域中的其他網路,然後透過其他網路前往目的地 (熱馬鈴薯路由)。
跨網域流量加密
除非另有說明,否則不同 CSP 之間或 Google Cloud 與內部部署資料中心之間的 Cloud Interconnect 連線不會加密流量。如果貴機構要求加密這類流量,可以使用下列功能:
- Cloud Interconnect 適用的 MACsec:加密路由器與 Google 邊緣路由器之間,透過 Cloud Interconnect 連線傳輸的流量。詳情請參閱 Cloud Interconnect 適用的 MACsec 總覽。
- 採用 Cloud Interconnect 的高可用性 VPN:使用多個高可用性 VPN 通道,提供基礎 Cloud Interconnect 連線的完整頻寬。高可用性 VPN 通道會透過 IPsec 加密,並部署在 Cloud Interconnect 連線上,這些連線也可能透過 MACsec 加密。在此設定中,Cloud Interconnect 連線只允許高可用性 VPN 流量。詳情請參閱採用 Cloud Interconnect 的高可用性 VPN 總覽。
工作負載的網際網路連線
無論是傳入或傳出網際網路連線,回覆流量都會以有狀態的方式,沿著原始要求方向的反向路徑傳輸。
一般而言,提供輸入網際網路連線的功能與輸出網際網路功能是分開的,但外部 IP 位址除外,因為這類位址可同時提供雙向連線。
傳入網際網路連線
網際網路連入連線主要用於為雲端託管服務提供公開端點。例如連線至網路應用程式伺服器,以及在Google Cloud上代管的遊戲伺服器。
Google 的 Cloud Load Balancing 產品是提供網際網路連入連線的主要功能。虛擬私有雲網路的設計與提供網際網路連線的能力無關:
- 外部直通式網路負載平衡器的轉送路徑可提供用戶端與後端 VM 之間的連線。
- Google Front End (GFE) 和後端之間的路由路徑,可為全域外部應用程式負載平衡器或全域外部 Proxy 網路負載平衡器的 GFE Proxy,以及後端 VM 提供連線。
- 僅限 Proxy 的子網路可提供區域性外部應用程式負載平衡器或區域性外部 Proxy 網路負載平衡器的 Envoy Proxy 與後端 VM 之間的連線。
傳出網際網路連線
網際網路連線輸出流量的範例 (初始要求來自工作負載,目的地為網際網路) 包括:工作負載存取第三方 API、下載軟體套件和更新,以及將推送通知傳送至網際網路上的 Webhook 端點。
如要建立輸出連線,可以使用 Google Cloud 內建選項,詳情請參閱「為私人 VM 建構網際網路連線能力」。或者,您也可以使用中央 NGFW NVA,如「網路安全性」一文所述。
提供網際網路輸出連線的主要路徑是虛擬私有雲路由表中的預設網際網路閘道目的地,這通常是 Google 虛擬私有雲中的預設路徑。外部 IP 和 Cloud NAT (Google Cloud的代管 NAT 服務) 都需要指向虛擬私有雲預設網際網路閘道的路徑。因此,如果虛擬私有雲轉送設計會覆寫預設路徑,就必須透過其他方式提供輸出連線。詳情請參閱 Cloud Router 總覽。
為確保輸出連線安全, Google Cloud 提供雲端新一代防火牆強制執行和安全網頁 Proxy,可對 HTTP 和 HTTPS 網址進行更深入的篩選。不過,在所有情況下,流量都會遵循預設路徑,傳送至預設網際網路閘道,或透過虛擬私有雲路由表中的自訂預設路徑傳送。
使用自己的 IP
您可以將 Google 擁有的 IPv4 位址用於網際網路連線,也可以使用「自備 IP 位址」(BYOIP),使用貴機構擁有的 IPv4 空間。大多數需要可透過網際網路路由傳輸的 IP 位址的產品,都支援改用 BYOIP 範圍。 Google Cloud
您也可以透過專屬使用 IP 空間來控管信譽。自備 IP 可協助您攜帶連線,並節省 IP 位址費用。
內部連線和虛擬私有雲網路
設定外部和混合式連線服務後,中繼 VPC 中的資源就能連上外部網路。下一步是讓其他虛擬私有雲網路中代管的資源,也能使用這項連線功能。
下圖顯示虛擬私有雲的一般結構,無論您啟用外部連線的方式為何,都是如此。圖中顯示了終止外部連線的 Transit VPC,以及每個區域中託管的 Cloud Router。每個 Cloud Router 都會透過各個地區的 NNI,從外部對等互連接收路徑。應用程式虛擬私有雲會連線至傳輸虛擬私有雲,因此可以共用外部連線。此外,傳輸虛擬私有雲會做為輪輻虛擬私有雲的中樞。輻射 VPC 可以代管應用程式、服務,或兩者的組合。
如要透過內建的雲端網路服務達到最佳效能和可擴充性,請使用 Network Connectivity Center 連線虛擬私有雲,詳情請參閱「使用 Network Connectivity Center 建立虛擬私有雲間的連線」。Network Connectivity Center 提供下列功能:
- 對 Private Service Connect L4 和 L7 端點及其相關聯服務的遞移存取權
- 透過 BGP 瞭解內部部署網路的遞移存取權
- 每個中樞最多可有 250 個虛擬私有雲網路
如要插入網路虛擬設備 (NVA) 以執行防火牆或其他網路功能,您必須使用 VPC 網路對等互連。周邊防火牆可以保留在外部網路上。如果需要插入 NVA,請使用「透過 VPC 網路對等互連實現 VPC 間連線」模式互連 VPC。
在 Transit VPC 中設定 DNS 轉送和對等互連。詳情請參閱「DNS 基礎架構設計」一節。
以下各節將討論混合式連線的可能設計,這些設計支援基本 IP 連線,以及 API 存取點部署作業。
透過 Network Connectivity Center 建立虛擬私有雲之間的連線
建議您使用 Network Connectivity Center 虛擬私有雲輪輻,連線至應用程式虛擬私有雲、傳輸虛擬私有雲和服務存取虛擬私有雲。
如果服務消費者存取點需要從其他網路 (其他 VPC 或外部網路) 存取,就會部署在服務存取 VPC 中。如果服務消費者存取點只能從應用程式虛擬私有雲內連線,您可以在應用程式虛擬私有雲中部署這些存取點
如要提供私人服務存取權後方服務的存取權,請建立服務存取虛擬私有雲,並使用高可用性 VPN 連線至中繼虛擬私有雲。接著,將受管理服務 VPC 連線至服務存取 VPC。高可用性 VPN 可啟用其他網路的遞移性轉送。
設計結合了兩種連線類型:
- Network Connectivity Center:在轉移虛擬私有雲、應用程式虛擬私有雲和服務存取虛擬私有雲之間提供連線,這些虛擬私有雲會代管 Private Service Connect 端點。
- 高可用性 VPN 虛擬私有雲間連線:為服務存取虛擬私有雲上代管的私人服務存取子網路提供遞移連線。這些服務存取虛擬私有雲不應新增為 Network Connectivity Center 中樞的輪輻。
結合使用這些連線類型時,請考量下列事項:
- 將虛擬私有雲網路對等互連和 Network Connectivity Center 對等互連子網路重新分配至動態轉送 (透過高可用性 VPN 連至服務存取虛擬私有雲,以及透過混合式互連連至外部網路)
- 多地區轉送注意事項
- 將動態路徑傳播至虛擬私有雲網路對等互連和 Network Connectivity Center 對等互連 (從服務存取虛擬私有雲透過高可用性 VPN,以及從外部網路透過混合式互連)
下圖顯示服務存取虛擬私有雲,其中代管的私人服務存取子網路透過高可用性 VPN 連線至中繼虛擬私有雲。這張圖表也顯示應用程式虛擬私有雲、中繼虛擬私有雲和服務存取虛擬私有雲,這些虛擬私有雲透過 Network Connectivity Center 連線,並代管 Private Service Connect 消費者端點:
上圖所示的結構包含下列元件:
- 外部網路:您擁有網路設備的資料中心或遠端辦公室。這個範例假設位置是透過外部網路連線。
- 傳輸虛擬私有雲網路:中樞專案中的虛擬私有雲網路,可接收來自地端部署和其他 CSP 的連線,然後做為其他虛擬私有雲到地端部署和 CSP 網路的傳輸路徑。
- 應用程式虛擬私有雲:代管各種應用程式的專案和虛擬私有雲網路。
- 私人服務存取權的消費者虛擬私有雲:虛擬私有雲網路,透過私人服務存取權集中存取其他網路中應用程式所需的服務。
- 代管服務虛擬私有雲:由其他實體提供及管理的服務,但可供在虛擬私有雲網路中執行的應用程式存取。
- Private Service Connect 的消費者虛擬私有雲:虛擬私有雲網路,用於代管 Private Service Connect 存取點,以便存取其他網路代管的服務。
使用 Network Connectivity Center 將應用程式 VPC 連線至傳輸 VPC 中的 Cloud Interconnect VLAN 連結和 HA VPN 執行個體。將所有虛擬私有雲設為 Network Connectivity Center 中樞的輪輻,並將 VLAN 連結和高可用性 VPN 設為同一個 Network Connectivity Center 中樞的混合式輪輻。使用預設的 Network Connectivity Center 網狀拓撲,在所有輪輻 (虛擬私有雲和混合式) 之間啟用通訊。這個拓撲也允許受 Cloud NGFW 政策約束的應用程式 VPC 進行通訊。透過高可用性 VPN 連線的任何用戶端服務虛擬私有雲,都不得是 Network Connectivity Center 中樞的輪輻。Private Service Connect 端點可部署在 Network Connectivity Center 虛擬私有雲輪輻中,使用 Network Connectivity Center 時,不需要高可用性 VPN 連線,即可進行跨虛擬私有雲傳輸。
透過虛擬私有雲網路對等互連建立虛擬私有雲之間的連線
在服務存取虛擬私有雲中部署已發布的服務消費者存取點時,建議應用程式虛擬私有雲使用虛擬私有雲網路對等互連連線至傳輸虛擬私有雲,而服務存取虛擬私有雲則透過高可用性 VPN 連線至傳輸虛擬私有雲。
在這個設計中,中繼虛擬私有雲是中樞,您會在服務存取虛擬私有雲中,部署私人服務端點的消費者存取點。
設計結合了兩種連線類型:
- 虛擬私有雲網路對等互連:在傳輸虛擬私有雲和應用程式虛擬私有雲之間提供連線。
- 高可用性 VPN 虛擬私有雲間連線:在服務存取虛擬私有雲和傳輸虛擬私有雲之間提供遞移連線。
合併這些架構時,請規劃下列考量事項:
- 將 VPC 對等互連子網路重新分配到動態轉送 (透過高可用性 VPN 連至服務存取權 VPC,以及透過混合式連線連至外部網路)
- 多地區轉送注意事項
- 將動態路徑傳播至虛擬私有雲對等互連 (從透過高可用性 VPN 的服務存取虛擬私有雲,以及從透過混合式連線的外部網路)
下圖顯示服務存取虛擬私有雲,該虛擬私有雲透過高可用性 VPN 連線至傳輸虛擬私有雲,而應用程式虛擬私有雲則透過虛擬私有雲網路對等互連連線至傳輸虛擬私有雲:
上圖所示的結構包含下列元件:
- 客戶所在地:您擁有網路設備的資料中心或遠端辦公室。這個範例假設這些位置是透過外部網路連線。
- 都會區:包含一或多個 Cloud Interconnect 邊緣可用性網域的都會區。 Cloud Interconnect 會連線至這些都會區中的其他網路。
- 中樞專案:至少代管一個虛擬私有雲網路的專案,可做為其他虛擬私有雲網路的中樞。
- 傳輸虛擬私有雲:中樞專案中的虛擬私有雲網路,可接收來自地端部署和其他 CSP 的連線,然後做為其他虛擬私有雲前往地端部署和 CSP 網路的傳輸路徑。
- 應用程式主專案和虛擬私有雲:代管各種應用程式的專案和虛擬私有雲網路。
- 服務存取虛擬私有雲:虛擬私有雲網路,可集中存取應用程式虛擬私有雲網路中應用程式所需的服務。
- 代管服務虛擬私有雲:由其他實體提供及管理的服務,但可供在虛擬私有雲網路中執行的應用程式存取。
如果是 VPC 網路對等互連設計,當應用程式 VPC 需要彼此通訊時,您可以將應用程式 VPC 連線至 Network Connectivity Center 中樞,做為 VPC 輪輻。這種方法可在 Network Connectivity Center 中樞的所有 VPC 之間建立連線。您可以使用多個 Network Connectivity Center 中樞,建立通訊子群組。如要限制特定中樞內端點之間的通訊,可以使用防火牆政策。
應用程式虛擬私有雲之間的東向/西向連線工作負載安全防護,可使用 Cloud Next Generation Firewall。
如需部署這些連線類型的詳細指南和設定藍圖,請參閱「軸輻式網路架構」。
DNS 基礎架構設計
在混合式環境中,Cloud DNS 或外部 (內部部署或 CSP) 供應商都可以處理 DNS 查詢。外部 DNS 伺服器是外部 DNS 區域的權威伺服器,而 Cloud DNS 則是Google Cloud 區域的權威伺服器。您必須在Google Cloud 和外部網路之間雙向啟用 DNS 轉送,並設定防火牆,允許 DNS 解析流量。
如果服務存取虛擬私有雲使用共用虛擬私有雲,不同應用程式服務專案的管理員可在其中例項化自己的服務,請使用 DNS 區域的跨專案繫結。透過跨專案繫結,您可以將 DNS 命名空間區隔出來,並委派給服務專案管理員。
在傳輸案例中,外部網路會透過 Google Cloud與其他外部網路通訊,因此外部 DNS 區域應設定為直接將要求轉送至彼此。Google Cross-Cloud Network 會提供 DNS 要求和回覆的連線,但 Google Cloud DNS 會參與轉送外部網路中區域之間的任何 DNS 解析流量。在 Cross-Cloud Network 中強制執行的任何防火牆規則,都必須允許外部網路之間的 DNS 解析流量。
下圖顯示 DNS 設計可搭配本設計指南中提出的任何中樞輻射虛擬私有雲連線設定使用:
上圖顯示設計流程中的下列步驟:
- 內部部署 DNS
將內部部署 DNS 伺服器設定為內部部署 DNS 區域的授權伺服器。如要設定 DNS 轉送 (適用於 Google Cloud DNS 名稱),請以 Cloud DNS 傳入轉送 IP 位址為目標,該位址是透過中心虛擬私有雲中的傳入伺服器政策設定建立。這項設定可讓內部部署網路解析 Google Cloud DNS 名稱。 - Transit VPC - DNS 輸出 Proxy
使用 Cloud Router 將 Google DNS 輸出 Proxy 範圍35.199.192.0/19公告至內部部署網路。Google 傳送至地端的傳出 DNS 要求,來源 IP 位址會位於這個範圍內。 - Transit VPC - Cloud DNS
- 服務存取虛擬私有雲 - Cloud DNS
- 應用程式主機專案 - Cloud DNS
- 設定應用程式 DNS 對等互連區域,以設定內部部署 DNS 名稱,並將中樞虛擬私有雲設為對等互連網路。內部部署主機的 DNS 解析會經過中樞虛擬私有雲。
- 在應用程式主機專案中設定應用程式 DNS 不公開區域,並將應用程式 VPC、服務共用 VPC 和中心 VPC 連接至該區域。這項設定可讓所有主機 (內部部署和所有服務專案) 解析應用程式 DNS 名稱。
詳情請參閱「使用連線至輻式虛擬私有雲網路的中心虛擬私有雲網路,建構混合式架構」。
後續步驟
- 為 Cross-Cloud Network 應用程式設計服務網路。
- 使用 Network Connectivity Center 部署 Cross-Cloud Network 虛擬私有雲間連線。
- 使用 VPC 網路對等互連,部署 Cross-Cloud Network 虛擬私有雲間連線。
- 進一步瞭解本設計指南中使用的 Google Cloud 產品:
- 如需更多參考架構、圖表和最佳做法,請瀏覽 Cloud 架構中心。
貢獻者
作者:
- Victor Moreno | 雲端網路產品經理
- Ghaleb Al-habian | 網路專員
- Deepak Michael | 網路專員客戶工程師
- Osvaldo Costa | 網路專家客戶工程師
- Jonathan Almaleh | 技術解決方案顧問
其他貢獻者:
- Zach Seils | 網路專員
- Christopher Abraham | 網路專員客戶工程師
- Emanuele Mazza | 網路產品專家
- Aurélien Legrand | 策略雲端工程師
- Eric Yu | 網路專員客戶工程師
- Kumar Dhanagopal | 跨產品解決方案開發人員
- Mark Schlagenhauf | 網路技術文件撰稿者
- Marwan Al Shawi | 合作夥伴客戶工程師
- Ammett Williams | 開發人員關係工程師