In diesem Dokument werden zwei Architekturoptionen zum Einrichten einer Hub-and-Spoke-Netzwerktopologie in Google Cloud vorgestellt. Eine Option nutzt die Netzwerk-Peering-Funktion der Virtual Private Cloud (VPC) und die andere verwendet Cloud VPN.
Unternehmen können Arbeitslasten zur Abrechnung, Umgebungsisolation und für andere Aspekte in einzelne VPC-Netzwerke aufteilen. Das Unternehmen muss jedoch eventuell auch bestimmte Ressourcen für diese Netzwerke freigeben, z. B. gemeinsam genutzte Diensts oder lokale Verbindungen. In solchen Fällen kann es hilfreich sein, die gemeinsam genutzte Ressource in einem Hub-Netzwerk zu platzieren und die anderen VPC-Netzwerke als Spokes anzuhängen. Das folgende Diagramm zeigt ein Beispiel für das resultierende Hub-and-Spoke-Netzwerk, das manchmal auch als Star-Topologie bezeichnet wird.
In diesem Beispiel werden separate Spoke-VPC-Netzwerke für die Arbeitslasten einzelner Geschäftseinheiten innerhalb eines großen Unternehmens verwendet. Jedes Spoke-VPC-Netzwerk ist mit einem zentralen Hub-VPC-Netzwerk verbunden, das gemeinsam genutzte Dienste enthält und als einziger Einstiegspunkt in die Cloud vom lokalen Netzwerk des Unternehmens dienen kann.
Architektur mit VPC-Netzwerk-Peering
Das folgende Diagramm zeigt ein Hub-and-Spoke-Netzwerk mit VPC-Netzwerk-Peering. Das VPC-Netzwerk-Peering ermöglicht die Kommunikation mithilfe interner IP-Adressen zwischen Ressourcen in separaten VPC-Netzwerken. Der Traffic verbleibt im internen Netzwerk von Google und durchläuft nicht das öffentliche Internet.
- in dieser Architektur verwenden die Ressourcen, die eine Isolierung auf Netzwerkebene benötigen, separate Spoke-VPC-Netzwerke. Beispiel: Die Architektur zeigt eine Compute Engine-VM im
spoke-1
-VPC-Netzwerk. Dasspoke-2
-VPC-Netzwerk hat eine Compute Engine-VM und einen Google Kubernetes Engine-Cluster (GKE-Cluster). - Jedes Spoke-VPC-Netzwerk in dieser Architektur hat eine Peering-Beziehung zu einem zentralen Hub-VPC-Netzwerk.
- Das VPC-Netzwerk-Peering schränkt die VM-Bandbreite nicht ein. Jede VM kann Traffic mit der vollständigen Bandbreite dieser einzelnen VM senden.
- Jedes Spoke-VPC-Netzwerk hat ein Cloud NAT-Gateway für die ausgehende Kommunikation mit dem Internet.
- Das VPC-Netzwerk-Peering bietet keine transitiven Routenankündigungen.
Sofern kein zusätzlicher Mechanismus verwendet wird, kann die VM im
spoke-1
-Netzwerk keinen Traffic an die VM imspoke-2
-Netzwerk senden. Zur Umgehung dieser Einschränkung hinsichtlich der Nicht-Transitivität bietet die Architektur die Option, über Cloud VPN Routen zwischen Netzwerken weiterzuleiten. In diesem Beispiel ermöglichen VPN-Tunnel zwischen demspoke-2
-VPC-Netzwerk und dem Hub-VPC-Netzwerk die Erreichbarkeit desspoke-2
-VPC-Netzwerks von den anderen Spokes aus. Wenn Sie eine Verbindung zwischen nur wenigen bestimmten Spokes benötigen, können Sie diese VPC-Netzwerkpaare direkt verbinden.
Architektur mit Cloud VPN
Die Skalierbarkeit einer Hub-and-Spoke-Topologie, die VPC-Netzwerk-Peering verwendet, unterliegt den Limits für VPC-Netzwerk-Peering. Wie bereits erwähnt, erlauben VPC-Netzwerk-Peering-Verbindungen keinen transitiven Traffic über die beiden VPC-Netzwerke hinaus, die sich in einer Peering-Beziehung befinden. Das folgende Diagramm zeigt eine alternative Hub-and-Spoke-Netzwerkarchitektur, die Cloud VPN verwendet, um die Einschränkungen des VPC-Netzwerk-Peerings zu umgehen.
- Die Ressourcen, die eine Isolierung auf Netzwerkebene benötigen, verwenden separate Spoke-VPC-Netzwerke.
- IPSec-VPN-Tunnel verbinden die einzelnen Spoke-VPC-Netzwerke mit einem Hub-VPC-Netzwerk.
- Es gibt eine private DNS-Zone im Hub-Netzwerk sowie eine DNS-Peering-Zone und eine private Zone in jedem Spoke-Netzwerk.
- Die Bandbreite zwischen Netzwerken ist durch die Gesamt-Bandbreiten der Tunnel begrenzt.
Berücksichtigen Sie bei der Wahl zwischen den beiden bisher erläuterten Architekturen die relativen Merkmale von VPC-Netzwerk-Peering und Cloud VPN:
- Das VPC-Netzwerk-Peering hat die Einschränkung der Nicht-Transitivität, unterstützt aber die volle Bandbreite, die durch den Maschinentyp der VMs und andere Faktoren definiert ist, die die Netzwerkbandbreite bestimmen. Bei Bedarf können Sie transitives Routing über weitere VPN-Tunnel hinzufügen.
- Cloud VPN lässt transitives Routing zu, aber die Gesamtbandbreite (eingehender Traffic plus ausgehender Traffic) ist auf die Bandbreiten der Tunnel beschränkt.
Designalternativen
Sehen Sie sich die folgenden Architekturalternativen für Interconnect-Verbindungen von Ressourcen an, die in separaten VPC-Netzwerken in Google Cloud bereitgestellt werden:
- Verbindungen zwischen Spokes mithilfe eines Gateways im Hub-VPC-Netzwerk herstellen
- Für die Kommunikation zwischen den Spokes können Sie eine Network Virtual Appliance (NVA) oder eine Next Generation Firewall (NGFW) im Hub-VPC-Netzwerk bereitstellen, die als Gateway für den Traffic von Spoke zu Spoke dient. Zentralisierte Netzwerkanwendungen in Google Cloud.
- VPC-Netzwerk-Peering ohne Hub
- Wenn Sie keine zentralisierte Kontrolle über lokale Konnektivität oder das Teilen von Diensten in verschiedenen VPC-Netzwerken benötigen, ist ein Hub-VPC-Netzwerk nicht erforderlich. Sie können Peering für die VPC-Netzwerkpaare einrichten, die Konnektivität benötigen, und die Verbindungen einzeln verwalten. Beachten Sie die Limits für die Anzahl der Peering-Beziehungen pro VPC-Netzwerk.
- Mehrere freigegebene VPC-Netzwerke
Erstellen Sie ein freigegebenes VPC-Netzwerk für jede Gruppe von Ressourcen, die Sie auf Netzwerkebene isolieren möchten. Wenn Sie beispielsweise die Ressourcen trennen möchten, die für Produktions- und Entwicklungsumgebungen verwendet werden, erstellen Sie ein freigegebenes VPC-Netzwerk für die Produktion und ein weiteres freigegebenes VPC-Netzwerk für die Entwicklung. Anschließend verbinden Sie die beiden VPC-Netzwerke miteinander, um die Kommunikation zwischen VPCs zu ermöglichen. Ressourcen in einzelnen Projekten für jede Anwendung oder Abteilung können Dienste aus dem entsprechenden freigegebenen VPC-Netzwerk nutzen.
Für Verbindungen zwischen den VPC-Netzwerken und Ihrem lokalen Netzwerk können Sie entweder separate VPN-Tunnel für jedes VPC-Netzwerk oder separate VLAN-Anhänge in derselben Dedicated Interconnect-Verbindung verwenden.
Nächste Schritte
- Hub-and-Spoke-Netzwerk mit VPC-Netzwerk-Peering bereitstellen.
- Hub-and-Spoke-Netzwerk mit Cloud VPN bereitstellen.
- Mit der Hub-and-Spoke-Architektur zentralisierte Netzwerk-Appliances bereitstellen
- Weitere Designoptionen für das Verbinden mehrerer VPC-Netzwerke.
- Best Practices zum Erstellen einer sicheren und robusten Cloud-Topologie, die im Hinblick auf Kosten und Leistung optimiert ist.