中心辐射型网络架构

本文档介绍了两种在 Google Cloud 中设置中心辐射型网络拓扑的架构选项。一个选项使用 Virtual Private Cloud (VPC) 的网络对等互连功能,另一个使用 Cloud VPN。

概览

什么是中心辐射型网络,它在何时适用?作为企业架构师或网络管理员,在为大型企业设计 Google Cloud 拓扑时,您可能需要规划不同业务部门、工作负载和资源的资源级网络隔离或环境。这种隔离可以对每组资源的网络流量进行精细控制。它还可以帮助您满足法律和监管数据隔离要求。

您可以通过在单独的 VPC 网络中部署资源来实现 Google Cloud 中资源的网络级隔离。为了使这些 VPC 网络中的资源能够使用共享服务(例如防火墙或配置元数据)以及从本地网络集中访问云,您可以将每个 VPC 网络连接到中央的“中心”VPC 网络。下图展示了生成的中心辐射型网络(有时称为“星形”拓扑)示例

中心辐射型网络架构。

在此示例中,单独的辐射型 VPC 网络用于大型企业中单个业务部门的工作负载。每个辐射型 VPC 网络均连接到一个中心 VPC 网络,其中包含共享服务,并可作为企业本地网络的唯一入口点

使用 VPC 网络对等互连的架构

下图展示了使用 VPC 网络对等互连的中心辐射网络,该网络使用专用 IP 地址通过 Google 内部网络在单独的 VPC 网络内的资源之间安全通信,而无需在 VPC 网络流量之间遍历公共互联网。

使用 VPC 网络对等互连的中心辐射型架构
  • 在此架构中,需要网络级隔离的资源使用单独的辐射型 VPC 网络。例如,架构显示 spoke-1 VPC 网络中的 Compute Engine 虚拟机。spoke-2 VPC 网络具有 Compute Engine 虚拟机和 Google Kubernetes Engine (GKE) 集群。

  • 此架构中的每个辐射 VPC 网络与中央中心 VPC 网络具有对等互连关系。

  • 每个辐射 VPC 网络都有一个 Cloud NAT 网关,用于与互联网进行出站通信。

  • 辐射 VPC 网络和中心 VPC 网络之间的对等互连连接不允许传递性流量。也就是说,无法通过中心的辐射通信。GKE 专用节点和具有专用 IP 地址的 Cloud SQL 实例等资源需要代理才能从其 VPC 网络外部访问。

    为了解决 VPC 网络对等互连的非传递性限制条件,此架构展示了使用 Cloud VPN 的选项。在此示例中,spoke-2 VPC 网络和中心 VPC 网络之间的 VPN 隧道可实现从 spoke-2 VPC 网络到其他辐条的连接。如果您只需要几个特定辐射之间的连接,则可以直接对等互连这些 VPC 网络对。

使用 Cloud VPN 的架构

使用 VPC 网络对等互连的中心辐射型拓扑的可扩缩性受 VPC 网络对等互连限制的约束。如前所述,VPC 网络对等互连连接不允许超出对等互连关系中两个 VPC 网络的传递流量。下图展示了一个中心辐射型网络架构,它使用 Cloud VPN 克服 VPC 网络对等互连的限制。

使用 Cloud VPN 的中心辐射型架构
  • 在此架构中,也需要网络级隔离的资源使用单独的辐射 VPC 网络。
  • IPSec VPN 隧道将每个辐射 VPC 网络连接到中心 VPC 网络。
  • 每个辐射 VPC 网络都有一个 Cloud NAT 网关,用于与公共互联网进行出站通信。

在到目前为止讨论的两种架构之间进行选择时,请考虑 VPC 网络对等互连和 Cloud VPN 的相对优点:

  • VPC 网络对等互连具有非传递性限制条件,但它支持由虚拟机的机器类型定义的其他带宽以及确定网络带宽的其他因素。
  • Cloud VPN 允许传递性路由,但每个 VPN 隧道的总带宽(入站流量和出站流量)不得超过 3 Gbps。

设计替代方案

请考虑以下架构替代方案,以部署在 Google Cloud 中的单独 VPC 网络中部署的资源:

使用中心 VPC 网络中的网关的辐射型连接
如需启用辐射通信,您可以在中心 VPC 网络上部署网络虚拟设备 (NVA) 或下一代防火墙 (NGFW),以充当辐射型网关通话流量。请参阅 Google Cloud 上的集中式网络设备
没有集线器的 VPC 网络对等互连
如果您不需要集中控制本地连接或跨 VPC 网络共享服务,则无需使用中心 VPC 网络。您可以为需要连接的 VPC 网络对设置对等互连,并单独管理互连。请考虑每个 VPC 网络的对等互连关系数量限制
多个共享 VPC 网络

为要在网络级别隔离的每组资源创建共享 VPC 网络。例如,如需分离用于生产和开发环境的资源,请创建用于生产的共享 VPC 网络和用于开发的其他共享 VPC 网络。然后,对等互连两个 VPC 网络以启用 VPC 之间的网络通信。每个应用或部门的各个项目中的资源可以使用适当的共享 VPC 网络中的服务。

对于 VPC 网络和本地网络之间的连接,您可以为每个 VPC 网络使用单独的 VPN 隧道,也可以在同一专用互连连接上使用单独的 VLAN 连接。

后续步骤