资源在您的 Google Cloud 组织内部以及在云环境和本地环境之间通信需要网络。本部分介绍蓝图中 VPC 网络、IP 地址空间、DNS、防火墙政策以及与本地环境的连接的结构。
网络拓扑
蓝图库为您的网络拓扑提供以下选项:
- 对每个环境使用单独的共享 VPC 网络,并且不同环境之间不允许直接传输网络流量。
- 使用中心辐射型模型来添加 hub 网络,以连接 Google Cloud 中每个环境,并通过网络虚拟设备 (NVA) 控制环境之间的网络流量。
如果您不想在环境之间存在直接的网络连接,请选择双共享 VPC 网络拓扑。当想要在环境之间允许由 NVA 过滤的网络连接时,例如当您依赖的现有工具需要有一个直接网络路径连接您环境中每个服务器时,请选择中心辐射型网络拓扑。
这两种拓扑使用共享 VPC 作为主网络结构,因为共享 VPC 可明确划分职责。网络管理员在集中式宿主项目中管理网络资源,而工作负载团队在附加到宿主项目的服务项目中部署他们自己的应用资源并使用网络资源。
这两种拓扑都包含每个 VPC 网络的基本版本和受限版本。基本 VPC 网络用于包含非敏感数据的资源,而受限 VPC 网络用于包含敏感数据且需要 VPC Service Controls 的资源。如需详细了解如何实现 VPC Service Controls,请参阅使用 VPC Service Controls 保护您的资源。
双共享 VPC 网络拓扑
如果您需要在 Google Cloud 上的开发网络、非生产网络和生产网络之间进行网络隔离,我们建议使用双共享 VPC 网络拓扑。此拓扑为每个环境使用单独的共享 VPC 网络,并且每个环境会另外在基本共享 VPC 网络和受限共享 VPC 网络之间拆分。
下图显示了双共享 VPC 网络拓扑。
该图描述了双共享 VPC 拓扑的以下主要概念:
- 每种环境(生产、非生产和开发)都会为基本网络配置一个共享 VPC 网络,为受限网络配置一个共享 VPC 网络。此图仅显示生产环境,但每个环境都采用此同一模式。
- 每个共享 VPC 网络都有两个子网,各子网位于不同的区域。
- 通过使用四个 Cloud Router 服务(每个区域两个以实现冗余)与每个共享 VPC 网络的专用互连实例建立四个 VLAN 连接,从而实现与本地资源的连接。如需了解详情,请参阅本地环境与 Google Cloud 之间的混合连接。
根据设计,此拓扑不允许网络流量直接在环境之间流动。如果您确实需要网络流量直接在环境之间流动,则必须执行额外步骤才能允许此网络路径。例如,您可以配置 Private Service Connect 端点,以将服务从一个 VPC 网络公开给另一个 VPC 网络。或者,您可以配置本地网络,以允许流量从一个 Google Cloud 环境流向本地环境,然后流向另一个 Google Cloud 环境。
中心辐射型网络拓扑
如果您在 Google Cloud 中部署的资源需要有一个直接网络路径来连接多个环境中的资源,我们建议使用中心辐射型网络拓扑。
中心辐射型拓扑虽然使用了双共享 VPC 拓扑中的几个概念,但它可修改拓扑以添加 hub 网络。下图展示了中心辐射型拓扑。
该图描述了中心辐射型网络拓扑的以下主要概念:
- 此模型添加了一个 hub 网络,每个开发网络、非生产网络和生产网络 (spoke) 都通过 VPC 网络对等互连连接到 hub 网络。或者,如果您预计会超出配额限制,则可以改用高可用性 VPN 网关。
- 仅允许通过 hub 网络连接到本地网络。所有 spoke 网络都可以与 hub 网络中的共享资源通信,并使用此路径连接到本地网络。
- hub 网络包括每个区域在内部网络负载均衡器实例后冗余部署的 NVA。此 NVA 充当网关,以允许或拒绝流量在 spoke 网络之间进行通信。
- hub 网络还托管需要连接到所有其他网络的工具。例如,您可以将用于配置管理的虚拟机实例上的工具部署到通用环境。
- 每个网络的基本版本和受限版本都具有相同的中心辐射型模型。
为了实现 spoke 之间的流量传输,该蓝图会在 hub 共享 VPC 网络上部署 NVA,以充当网络之间的网关。路由通过自定义路由交换从 hub VPC 网络交换到 spoke VPC 网络。在这种情况下,spoke 之间的连接必须通过 NVA 进行路由,因为 VPC 网络对等互连不具有传递性,因此 spoke VPC 网络之间无法直接相互交换数据。您必须将虚拟设备配置为有选择地允许 spoke 之间的流量。
如需详细了解如何使用 NVA 控制 spoke 之间的流量,请参阅 Google Cloud 上的集中式网络设备。
项目部署模式
为工作负载创建新项目时,您必须确定此项目中的资源如何连接到现有网络。下表介绍了蓝图中使用的项目部署模式。
| 模式 | 说明 | 用法示例 |
|---|---|---|
| 共享基本项目 | 这些项目作为服务项目配置到基本共享 VPC 宿主项目。 当项目中的资源符合以下条件时,请使用此模式:
|
example_base_shared_vpc_project.tf |
| 共享受限项目 | 这些项目作为服务项目配置到受限共享 VPC 宿主项目。 当项目中的资源符合以下条件时,请使用此模式:
|
example_restricted_shared_vpc_project.tf |
| 悬浮项目 | 悬浮项目未连接到拓扑中的其他 VPC 网络。 当项目中的资源符合以下条件时,请使用此模式:
您可能遇到这样的情况:您希望将悬浮项目的 VPC 网络与主 VPC 网络拓扑分开,但还希望在网络之间公开有限数量的端点。 在这种情况下,请使用 Private Service Connect 发布服务,以跨 VPC 网络共享对单个端点的网络访问权限,但不公开整个网络。 |
example_floating_project.tf |
| 对等互连项目 | 对等互连项目会创建自己的 VPC 网络,并与拓扑中的其他 VPC 网络建立对等互连。 当项目中的资源符合以下条件时,请使用此模式:
如果您创建了对等互连项目,则有责任分配非冲突的 IP 地址范围并规划对等互连组配额。 |
example_peering_project.tf |
IP 地址分配
本部分介绍蓝图架构如何分配 IP 地址范围。您可能需要根据现有混合环境中的 IP 地址可用性更改所使用的特定 IP 地址范围。
下表提供了为蓝图分配的 IP 地址空间的明细。中心环境仅适用于中心辐射型拓扑。
| 用途 | VPC 类型 | 区域 | 中心环境 | 开发环境 | 非生产环境 | 生产环境 |
|---|---|---|---|---|---|---|
| 主要子网范围 | 基本 | 区域 1 | 10.0.0.0/18 | 10.0.64.0/18 | 10.0.128.0/18 | 10.0.192.0/18 |
| 区域 2 | 10.1.0.0/18 | 10.1.64.0/18 | 10.1.128.0/18 | 10.1.192.0/18 | ||
| 未分配 | 10.{2-7}.0.0/18 | 10.{2-7}.64.0/18 | 10.{2-7}.128.0/18 | 10.{2-7}.192.0/18 | ||
| 受限 | 区域 1 | 10.8.0.0/18 | 10.8.64.0/18 | 10.8.128.0/18 | 10.8.192.0/18 | |
| 区域 2 | 10.9.0.0/18 | 10.9.64.0/18 | 10.9.128.0/18 | 10.9.192.0/18 | ||
| 未分配 | 10.{10-15}.0.0/18 | 10.{10-15}.64.0/18 | 10.{10-15}.128.0/18 | 10.{10-15}.192.0/18 | ||
| 专用服务访问通道 | 基本 | 全球 | 10.16.0.0/21 | 10.16.8.0/21 | 10.16.16.0/21 | 10.16.24.0/21 |
| 受限 | 全球 | 10.16.32.0/21 | 10.16.40.0/21 | 10.16.48.0/21 | 10.16.56.0/21 | |
| Private Service Connect 端点 | 基本 | 全球 | 10.17.0.1/32 | 10.17.0.2/32 | 10.17.0.3/32 | 10.17.0.4/32 |
| 受限 | 全球 | 10.17.0.5/32 | 10.17.0.6/32 | 10.17.0.7/32 | 10.17.0.8/32 | |
| 代理专用子网 | 基本 | 区域 1 | 10.18.0.0/23 | 10.18.2.0/23 | 10.18.4.0/23 | 10.18.6.0/23 |
| 区域 2 | 10.19.0.0/23 | 10.19.2.0/23 | 10.19.4.0/23 | 10.19.6.0/23 | ||
| 未分配 | 10.{20-25}.0.0/23 | 10.{20-25}.2.0/23 | 10.{20-25}.4.0/23 | 10.{20-25}.6.0/23 | ||
| 受限 | 区域 1 | 10.26.0.0/23 | 10.26.2.0/23 | 10.26.4.0/23 | 10.26.6.0/23 | |
| 区域 2 | 10.27.0.0/23 | 10.27.2.0/23 | 10.27.4.0/23 | 10.27.6.0/23 | ||
| 未分配 | 10.{28-33}.0.0/23 | 10.{28-33}.2.0/23 | 10.{28-33}.4.0/23 | 10.{28-33}.6.0/23 | ||
| 次要子网范围 | 基本 | 区域 1 | 100.64.0.0/18 | 100.64.64.0/18 | 100.64.128.0/18 | 100.64.192.0/18 |
| 区域 2 | 100.65.0.0/18 | 100.65.64.0/18 | 100.65.128.0/18 | 100.65.192.0/18 | ||
| 未分配 | 100.{66-71}.0.0/18 | 100.{66-71}.64.0/18 | 100.{66-71}.128.0/18 | 100.{66-71}.192.0/18 | ||
| 受限 | 区域 1 | 100.72.0.0/18 | 100.72.64.0/18 | 100.72.128.0/18 | 100.72.192.0/18 | |
| 区域 2 | 100.73.0.0/18 | 100.73.64.0/18 | 100.73.128.0/18 | 100.73.192.0/18 | ||
| 未分配 | 100.{74-79}.0.0/18 | 100.{74-79}.64.0/18 | 100.{74-79}.128.0/18 | 100.{74-79}.192.0/18 |
下表展示了以下分配 IP 地址范围的概念:
- IP 地址分配可细分为基本共享 VPC、受限共享 VPC、区域和环境的每个组合的范围。
- 某些资源是全球性的,不需要对每个区域进行细分。
- 默认情况下,对于区域级资源,蓝图将部署在两个区域中。此外,还有未使用的 IP 地址范围,因此您可以再扩展六个区域。
- hub 网络仅用于中心辐射型网络拓扑,而开发、非生产和生产环境可用于这两种网络拓扑。
下表介绍了每种 IP 地址范围的使用方式。
| 用途 | 说明 |
|---|---|
| 主要子网范围 | 您部署到 VPC 网络的资源(例如虚拟机实例)会使用这些范围内的内部 IP 地址。 |
| 专用服务访问通道 | 某些 Google Cloud 服务(例如 Cloud SQL)要求您为专用服务访问通道预先分配子网范围。此蓝图在全球范围内为每个共享 VPC 网络预留一个 /21 范围,以便为需要专用服务访问通道的服务分配 IP 地址。创建依赖于专用服务访问通道的服务时,您可以从预留的 /21 范围分配区域级 /24 子网。 |
| Private Service Connect | 此蓝图为每个 VPC 网络预配了一个 Private Service Connect 端点,以便与 Google Cloud API 通信。此端点允许 VPC 网络中的资源访问 Google Cloud API,而无需依赖流向互联网或公开通告的互联网范围的出站流量。 |
| 基于代理的负载均衡器 | 某些类型的应用负载均衡器要求您预先分配代理专用子网。虽然蓝图不会部署需要此范围的应用负载均衡器,但提前分配范围有助于在工作负载需要请求新子网范围以启用特定负载均衡器资源时减少冲突。 |
| 次要子网范围 | 某些用例(例如基于容器的工作负载)需要次要范围。此蓝图会为次要范围分配 RFC 6598 IP 地址空间中的范围。 |
集中式 DNS 设置
对于 Google Cloud 和本地环境之间的 DNS 解析,我们建议您在两个权威 DNS 系统中使用混合方法。在此方法中,Cloud DNS 会处理 Google Cloud 环境的权威 DNS 解析,而您现有的本地 DNS 服务器会处理本地资源的权威 DNS 解析。您的本地环境和 Google Cloud 环境通过转发请求在环境之间执行 DNS 查找。
下图展示了蓝图中使用的多个 VPC 网络中的 DNS 拓扑。
该图描述了蓝图部署的 DNS 设计的以下组件:
- 通用文件夹中的 DNS hub 项目是本地环境和 Google Cloud 环境之间的 DNS 交换中心。DNS 转发使用已在您的网络拓扑中配置的专用互连实例和 Cloud Router 路由器。
- 在双共享 VPC 拓扑中,DNS 中心使用基本生产共享 VPC 网络。
- 在中心辐射型拓扑中,DNS 中心使用基本中心共享 VPC 网络。
- 每个共享 VPC 网络中的服务器都可以通过每个共享 VPC 宿主项目中的 Cloud DNS 和 DNS 中心之间配置的 DNS 转发解析其他共享 VPC 网络中的 DNS 记录。
- 本地服务器可以使用允许来自本地服务器的查询的 DNS 服务器政策来解析 Google Cloud 环境中的 DNS 记录。此蓝图在 DNS 中心配置入站服务器政策,以分配 IP 地址,而本地 DNS 服务器会将请求转发到这些地址。发送到 Google Cloud 的所有 DNS 请求都会先到达 DNS 中心,然后该中心再解析来自 DNS 对等体的记录。
- Google Cloud 中的服务器可以使用查询本地服务器的转发区域来解析本地环境中的 DNS 记录。发送到本地环境的所有 DNS 请求都来自 DNS 中心。DNS 请求来源为 35.199.192.0/19。
防火墙政策
Google Cloud 具有多种防火墙政策类型。分层防火墙政策在组织或文件夹级层强制执行,从而在层次结构的所有资源中一致继承防火墙政策规则。此外,您还可以为每个 VPC 网络配置网络防火墙政策。此蓝图兼备这些防火墙政策,可使用分层防火墙政策在所有环境中强制执行通用配置,使用网络防火墙政策在每个 VPC 网络上强制执行更具体的配置。
此蓝图不使用旧版 VPC 防火墙规则。我们建议仅使用防火墙政策,从而避免与旧版 VPC 防火墙规则混用。
分层防火墙政策
此蓝图定义了一个分层防火墙政策,并将该政策附加到每个生产、非生产、开发、引导和通用文件夹。此分层防火墙政策包含应在所有环境中广泛强制执行的规则,并将更精细规则的评估委托给每个环境的网络防火墙政策。
下表介绍了此蓝图部署的分层防火墙政策规则。
| 规则说明 | 流量方向 | 过滤条件(IPv4 范围) | 协议和端口 | 操作 |
|---|---|---|---|---|
| 将来自 RFC 1918 的入站流量评估委托给层次结构中的较低级层。 | Ingress |
192.168.0.0/16、10.0.0.0/8、172.16.0.0/12 |
all |
Go to next |
| 将流向 RFC 1918 的出站流量评估委托给层次结构中的较低级层。 | Egress |
192.168.0.0/16、10.0.0.0/8、172.16.0.0/12 |
all |
Go to next |
| 使用 IAP 进行 TCP 转发 | Ingress |
35.235.240.0/20 |
tcp:22,3390 |
Allow |
| Windows 服务器激活 | Egress |
35.190.247.13/32 |
tcp:1688 |
Allow |
| Cloud Load Balancing 健康检查 | Ingress |
130.211.0.0/22、35.191.0.0/16、209.85.152.0/22、209.85.204.0/22 |
tcp:80,443 |
Allow |
网络防火墙政策
此蓝图为每个网络配置一个网络防火墙政策。每项网络防火墙政策开始时都是一组最低权限规则,这些规则允许访问 Google Cloud 服务并拒绝流向所有其他 IP 地址的出站流量。
在中心辐射型模型中,网络防火墙政策包含允许 spoke 之间通信的额外规则。网络防火墙政策允许从一个 spoke 到 hub 或其他 spoke 的出站流量,并允许来自 hub 网络中的 NVA 的入站流量。
下表介绍了蓝图中为每个 VPC 网络部署的全球网络防火墙政策中的规则。
| 规则说明 | 流量方向 | 过滤条件 | 协议和端口 |
|---|---|---|---|
| 允许流向 Google Cloud API 的出站流量。 | Egress |
为每个网络配置的 Private Service Connect 端点。请参阅 Google API 专用访问通道。 | tcp:443 |
| 拒绝其他规则不匹配的出站流量。 | Egress |
全部 | all |
允许从一个 spoke 流向另一个 spoke 的出站流量(仅适用于中心辐射型模型)。 |
Egress |
中心辐射型拓扑中使用的所有 IP 地址的聚合。离开 spoke VPC 的流量会先路由到 hub 网络中的 NVA。 | all |
允许从 hub 网络中的 NVA 流向 spoke 的入站流量(仅适用于中心辐射型模型)。 |
Ingress |
源自 hub 网络中的 NVA 的流量。 | all |
首次部署蓝图时,VPC 网络中的虚拟机实例可以与 Google Cloud 服务通信,但不能与同一 VPC 网络中的其他基础架构资源通信。如需允许虚拟机实例进行通信,您必须向网络防火墙政策添加额外的规则并添加明确允许虚拟机实例通信的标记。标记会添加到虚拟机实例,系统会针对这些标记评估流量。此外,标记还具有 IAM 控件,因此您可以集中定义它们并将其使用委托给其他团队。
下图举例说明了如何添加自定义标记和网络防火墙政策规则,以允许工作负载在 VPC 网络内进行通信。
下图演示了此示例的以下概念:
- 网络防火墙政策包含规则 1,该规则拒绝来自所有来源的出站流量(优先级为 65530)。
- 网络防火墙政策包含规则 2,该规则允许入站流量从具有
service=frontend标记的实例进入具有service=backend标记的实例,优先级为 999。 - instance-2 虚拟机可以接收来自 instance-1 的流量,因为该流量与规则 2 允许的标记匹配。根据优先级值评估在规则 1 前匹配的规则 2。
- instance-3 虚拟机不接收流量。唯一与此流量匹配的防火墙政策规则是规则 1,因此来自 instance-1 的出站流量会被拒绝。
Google Cloud API 的专用访问通道
如需让 VPC 网络或本地环境中的资源访问 Google Cloud 服务,我们建议使用专用连接,而不是到公共 API 端点的出站互联网流量。此蓝图在每个子网上配置专用 Google 访问通道,并使用 Private Service Connect 创建内部端点以与 Google Cloud 服务通信。通过综合利用这些控制措施,您可以使用专用路径连接 Google Cloud 服务,而无需依赖互联网出站流量或公开通告的互联网范围。
此蓝图使用 API 软件包配置 Private Service Connect 端点,以区分可以在哪个网络中访问哪些服务。基本网络使用 all-apis 软件包,可以访问任何 Google 服务,而受限网络使用 vpcsc 软件包,可以访问支持 VPC Service Controls 的一组有限服务。
如需从本地环境中的主机进行访问,我们建议您对每个端点使用自定义 FQDN 惯例,如下表所示。此蓝图对每个 VPC 网络使用唯一的 Private Service Connect 端点,这些端点配置为访问一组不同的 API 软件包。因此,您必须考虑如何将服务流量从本地环境路由到具有正确 API 端点的 VPC 网络,并且如果您使用的是 VPC Service Controls,请确保流向 Google Cloud 服务的流量到达预期边界内的端点。为 DNS、防火墙和路由器配置本地控制以允许访问这些端点,并将本地主机配置为使用适当的端点。如需了解详情,请参阅通过端点访问 Google API。
下表介绍了为每个网络创建的 Private Service Connect 端点。
| VPC | 环境 | API 软件包 | Private Service Connect 端点 IP 地址 | 自定义 FQDN | ||||
|---|---|---|---|---|---|---|---|---|
| 基本 | 通用 | all-apis |
10.17.0.1/32 | c.private.googleapis.com |
||||
| 开发 | all-apis |
10.17.0.2/32 | d.private.googleapis.com |
|||||
| 非生产 | all-apis |
10.17.0.3/32 | n.private.googleapis.com |
|||||
| 生产 | all-apis |
10.17.0.4/32 | p.private.googleapis.com |
|||||
| 受限 | 通用 | vpcsc |
10.17.0.5/32 | c.restricted.googleapis.com |
||||
| 开发 | vpcsc |
10.17.0.6/32 | d.restricted.googleapis.com |
|||||
| 非生产 | vpcsc |
10.17.0.7/32 | n.restricted.googleapis.com |
|||||
| 生产 | vpcsc |
10.17.0.8/32 | p.restricted.googleapis.com |
|||||
为确保 Google Cloud 服务的流量通过 DNS 查找进入正确端点,此蓝图会为每个 VPC 网络配置专用 DNS 区域。下表介绍了这些专用 DNS 区域。
| 专用区域名称 | DNS 名称 | 记录类型 | 数据 |
|---|---|---|---|
googleapis.com. |
*.googleapis.com. |
CNAME |
private.googleapis.com.(针对基本网络)或 restricted.googleapis.com.(针对受限网络) |
private.googleapis.com(针对基本网络)或 restricted.googleapis.com(针对受限网络) |
A |
该 VPC 网络的 Private Service Connect 端点 IP 地址。 | |
gcr.io. |
*.gcr.io |
CNAME |
gcr.io. |
gcr.io |
A |
该 VPC 网络的 Private Service Connect 端点 IP 地址。 | |
pkg.dev. |
*.pkg.dev. |
CNAME |
pkg.dev. |
pkg.dev. |
A |
该 VPC 网络的 Private Service Connect 端点 IP 地址。 |
此蓝图具有额外的配置,可强制一致使用这些 Private Service Connect 端点。每个共享 VPC 网络还会强制执行以下政策:
- 允许出站流量从所有来源流向 TCP 443 上 Private Service Connect 端点的 IP 地址的网络防火墙政策规则。
- 拒绝出站流量流向 0.0.0.0/0(包括用于访问 Google Cloud 服务的默认网域)的网络防火墙政策规则。
互联网连接
此蓝图不允许其 VPC 网络与互联网之间的入站或出站流量。对于需要互联网连接的工作负载,您必须执行额外步骤来设计所需的访问路径。
对于需要出站流量进入互联网的工作负载,我们建议您通过 Cloud NAT 管理出站流量,以在无主动发送的入站连接的情况下允许出站流量,或者通过安全 Web 代理管理出站流量,以实现更精细的控制,从而仅允许出站流量流向可信 Web 服务。
对于需要从互联网传入入站流量的工作负载,我们建议您使用 Cloud Load Balancing 和 Google Cloud Armor 设计工作负载以受益于 DDoS 和 WAF 保护。
我们不建议您设计允许在虚拟机上使用外部 IP 地址在互联网与虚拟机之间直接连接的工作负载。
本地环境与 Google Cloud 之间的混合连接
如需在本地环境与 Google Cloud 之间建立连接,我们建议您使用专用互连来最大限度地提高安全性和可靠性。专用互连连接是本地网络与 Google Cloud 之间的直接链接。
下图展示了本地环境与 Google Virtual Private Cloud 网络之间的混合连接。
该图描述了模式的以下组件,以实现专用互连的 99.99% 可用性:
- 四个专用互连连接,其中两个连接在一个都市区(都市圈),两个连接在另一个都市圈。
- 连接分为两对,每对均连接到单独的本地数据中心。
- VLAN 连接用于将每个专用互连实例连接到共享 VPC 拓扑附加的 Cloud Router 路由器。这些 VLAN 连接托管在
prj-c-interconnect项目中。 - 每个共享 VPC 网络都有四个 Cloud Router 路由器,每个区域两个,并且动态路由模式设置为
global,以便每个 Cloud Router 路由器可以通告所有子网(无论区域如何)。
通过全局动态路由,Cloud Router 路由器向 VPC 网络中的所有子网通告路由。Cloud Router 路由器向远程子网(Cloud Router 路由器区域以外的子网)通告路由所采用的优先级,低于向本地子网(位于 Cloud Router 路由器区域的子网)通告的优先级。(可选)在为 Cloud Router 路由器配置 BGP 会话时,您可以更改通告的前缀和优先级。
从 Google Cloud 到本地环境的流量使用最靠近云资源的 Cloud Router 路由器。在一个区域内,多个到本地网络的路由具有相同的多出口判别器 (MED) 值,Google Cloud 使用等成本多路径 (ECMP) 在所有可能的路由之间分配出站流量。
本地配置更改
要配置本地环境与 Google Cloud 之间的连接,您必须在本地环境中配置其他更改。此蓝图中的 Terraform 代码会自动配置 Google Cloud 资源,但不会修改任何本地网络资源。
此蓝图会自动启用某些从本地环境到 Google Cloud 的混合连接的组件,包括:
- Cloud DNS 配置了在所有共享 VPC 网络和单个 hub 之间的 DNS 转发,如 DNS 设置中所述。Cloud DNS 服务器政策配置了入站转发器 IP 地址。
- Cloud Router 路由器经过配置,可为 Private Service Connect 端点使用的 IP 地址导出所有子网的路由和自定义路由。
如需启用混合连接,您必须执行以下额外步骤:
- 订购专用互连连接。
- 配置本地路由器和防火墙以允许出站流量进入 IP 地址空间分配中定义的内部 IP 地址空间。
- 配置本地 DNS 服务器,以将发往 Google Cloud 的 DNS 查找转发到已由蓝图配置的入站转发器 IP 地址。
- 配置本地 DNS 服务器、防火墙和路由器以接受来自 Cloud DNS 转发区域 (35.199.192.0/19) 的 DNS 查询。
- 配置本地 DNS 服务器,以使用 Cloud API 的专用访问通道中定义的 IP 地址响应从本地主机到 Google Cloud 服务的查询。
- 对于通过专用互连连接进行的传输加密,请配置 MACsec for Cloud Interconnect 或配置通过 Cloud Interconnect 实现的高可用性 VPN以实现 IPsec 加密。
如需了解详情,请参阅为本地主机配置专用 Google 访问通道。
后续步骤
- 了解检测控制措施(本系列的下一个文档)。