適合資料中心專業人員的 Google Cloud Platform:網路

本文將探討 Google Cloud Platform 的網路服務,以及相較於傳統資料中心技術的異同之處。此外,本文還將介紹兩種服務模型之間的差異,並詳細說明 Cloud Platform 的虛擬私人雲端網路功能。

服務模式比較

在傳統資料中心,您必須自行管理複雜的網路設定,包括伺服器機架、儲存裝置、多層交換機、負載平衡器和防火牆裝置等。除了這些硬體元件外,您還必須設定、維護及監控網路的基本軟體,以及環境中的詳細裝置設定。此外還有其他管理負擔:您也必須顧慮網路的安全性與可用性,而且需要做好網路升級與擴充的規劃,這將會是一段漫長而耗時的過程。

相較之下,Cloud Platform 的虛擬私人雲端網路基礎架構則是圍繞軟體定義的網路 (SDN) 模型建立的。這個模型消除了前述的大部分維護與管理負擔,您可以更快地完成服務的自訂與資源調度,進而滿足成長中客戶群的需求。

資料中心與 Cloud Platform 虛擬私人雲端網路架構的比較
圖 1:資料中心與 Cloud Platform 虛擬私人雲端網路架構的比較

Cloud Platform 的虛擬私人雲端網路服務可達成下列目標:

儘管 Cloud Platform 可以讓您無須自行管理實體資料中心網路元件,但許多類似的網路概念,包括子網路、路徑、防火牆規則、DNS、負載平衡、VPN、NAT 與 DHCP 等,都仍適用於 Cloud Platform。如能事先瞭解這個部分,將可減輕處理虛擬私人雲端網路時的學習負擔,並可在雲端環境中實際操作時發揮出最佳效果。

虛擬私人雲端網路

虛擬私人雲端網路包含 Cloud Platform 的基礎網路技術,包括網路、子網路、IP 位址、路徑、防火牆、VPN 與 Cloud Router。這個基礎可以讓您建立共用單一、全域虛擬私人雲端網路的運算執行個體與容器,並可將運算執行個體與容器加入地區子網路。有了 Cloud Platform,您就可以在距一般使用者較近的地區與區域提供低延遲服務,並將服務散佈到多個失敗網域,以便達成可用性的目標。

虛擬私人雲端網路

在 Cloud Platform,虛擬私人雲端網路是全域的私人 RFC 1918 IP 空間。 根據預設,由於 Cloud Platform 的虛擬私人雲端網路具有全域特性,因此您不再需要分別連接及管理多個私人網路,便可達成全域可用性的目標。使用全域虛擬私人雲端網路時,您的 Google Compute Engine 虛擬機器 (VM) 執行個體可以透過 IP 位址與名稱在虛擬私人雲端網路中定址,因為 Compute Engine 的內部 DNS 會自動將您的 VM 執行個體做為主機名稱追蹤。

子網路

您可以使用子網路,在虛擬私人雲端網路按地區或區域為執行個體分組,並控制 IP 位址空間的區隔。您可以使用任何私人 RFC 1918 IP 範圍管理自己的子網路,也可以使用自動模式虛擬私人雲端網路,此網路會在每個 Cloud Platform 地區自動建立子網路。子網路之間的 IP 範圍不需要是連續的,並且可以動態擴充。

如要控制子網路之間的隔離,您可將執行個體標記新增至個別 VM 執行個體或執行個體範本,然後設定路徑與防火牆規則來使用這些標記。

虛擬私人雲端網路、子網路、地區與區域
圖 2:虛擬私人雲端網路、子網路、地區與區域

IP 位址

執行個體最多支援兩種 IP 位址:用來在虛擬私人雲端網路內通訊的暫時、內部 IP 位址,以及用來在虛擬私人雲端網路外通訊的外部 IP 位址。根據預設,外部 IP 位址是暫時的,但也可以是靜態的。如要進一步瞭解 IP 位址在 Cloud Platform 上的運作原理,請參閱 IP 位址一文。

控管

Cloud Platform 提供健全的控管機制,可協助全機構的網路及安全管理員保護資源、管理虛擬私人雲端網路及授權存取外部端點。在 Cloud Platform 上,您可以使用身分與存取權管理 (IAM) 角色、防火牆與路徑來實作政策與模式,以控管及保護虛擬私人雲端網路。

網路特定身分與存取權管理

Google Cloud IAM 提供數個網路相關角色,包括網路管理員、網路檢視者、安全管理員及 Compute 執行個體管理員,可清楚區別資源控管。 如要進一步瞭解 Cloud Platform 上的 Cloud IAM 與身分管理,請參閱管理一文。

防火牆

與資料中心的 DMZ 類似,每個虛擬私人雲端網路都有防火牆。根據預設,防火牆可以封鎖從虛擬私人雲端網路外流入執行個體的所有流量,您也可以設定防火牆規則來允許存取。 但是 Cloud Platform 的防火牆與傳統 DMZ 不同,經過全域散佈之後,可協助防止與調度流量資源有關的問題發生。

根據預設,防火牆規則會套用至整個虛擬私人雲端網路。但是,您可為一組執行個體新增特定標記,然後將防火牆規則套用至具有該標記的執行個體,藉以將防火牆規則套用至這些執行個體。您也可以使用防火牆規則,在規則中定義一組允許的來源電腦,來控管執行個體之間的內部流量。

路徑

路徑,也就是轉送流量的規則,是與單一虛擬私人雲端網路連結的全域資源。您可在建立路徑時包含目標執行個體標記,藉以將路徑套用至虛擬私人雲端網路中的一或多個執行個體,然後路徑會新增至也使用這些執行個體標記的執行個體。

根據預設,初始化 Compute Engine 或建立新的虛擬私人雲端網路時會自動建立某些路徑。 您也可以根據需要將使用者建立的路徑新增至虛擬私人雲端網路。例如,您可以新增路徑,在同一個虛擬私人雲端網路中將流量從一個執行個體轉送至另一個執行個體,或甚至跨子網路轉送流量,而不需要外部 IP 位址。

根據預設,在虛擬私人雲端網路中設定子網路時,GPC 會在子網路之間建立路徑。但是,除非您使用 default 虛擬私人雲端網路,否則就必須建立防火牆規則來允許虛擬私人雲端網路中執行個體間的流量。

路徑也允許您為 VM 執行個體實作更進階的網路功能,例如設定多對一 NAT 與通透式 Proxy。 預設路徑的設計可讓虛擬私人雲端網路知道如何將流量傳送至網際網路,以及傳送至您建立的所有執行個體。

資源調度

在傳統資料中心環境,負載平衡器可能會造成作業趨向於複雜,並經常缺乏全域擴充性。如要支援服務的擴充性與可用性,您可以使用 Cloud Load Balancing 將運算資源散佈到單一全域 Anycast IP。Cloud Load Balancing 支援 HTTP(S)、TCP/SSL 與 UDP 負載平衡,也支援 SSL 卸載、工作階段相依性、健康狀態檢查與記錄。

第 7 層負載平衡

HTTP(S) (第 7 層) 負載平衡可自動平衡各地區間的流量,將流量導引至最近的執行個體,並遠離運作狀態不良的執行個體。您也可以新增以內容為基礎的負載平衡,藉以將流量分散至已針對特定內容最佳化的執行個體,例如影片。為了協助減少延遲時間並改善使用者的效能,您也可以結合 Cloud CDN (即 Cloud Platform 的內容傳遞網路服務) 與 HTTP(S) 負載平衡。

跨地區負載平衡
圖 3:跨地區負載平衡

第 4 層負載平衡

當 TCP/UDP 服務在流量尖峰期要求額外執行個體時,也可以使用網路負載平衡 (第 4 層)。有了網路負載平衡,您可以對諸如 SMTP 流量等其他通訊協定進行負載平衡、增加工作階段相依性,並檢查封包。 SSL Proxy 可透過負載平衡功能為非 HTTPS 流量提供 SSL 終止功能,而 SSL 停用功能則可用於集中管理 SSL 憑證與解密,讓您的執行個體不再需要負擔耗用大量處理器的工作。

網路負載平衡
圖 4:網路負載平衡

自動調度資源

負載平衡由 Compute Engine 自動調度資源支援,可根據自動調度資源政策,自動從執行個體群組新增及移除執行個體。您可以選擇自動調度資源工具的其中一項預先定義的自動調度資源政策,或者根據 Stackdriver Monitoring 指標定義自訂政策。

Google Cloud DNS

您可以使用 Google Cloud DNS,讓使用者能夠全域使用您的應用程式與服務,並且提供非常高的可用性與低延遲時間。Cloud DNS 可以調度大量 DNS 區域與記錄的資源,這樣您就可以放心建立及更新數以百萬計的 DNS 記錄。

連線

如果您正在設計一種混合架構,在 Cloud Platform 保存一些資源,並在其他地方保存其他資源,Cloud Platform 可以提供多種方式來整合您的外部環境。

Cloud VPN

Cloud VPN 代管服務可以透過安全 IPSec 通道,將私人雲端的資料送入 Cloud Platform 代管的服務。每個 Cloud VPN 閘道最多可以透過通道持續提供 1.5 Gbps 的流量。如需設定 Cloud VPN 的說明,請參閱 VPN 互通性指南

Google Cloud Router

當您擴展雲端子網路、建立其他雲端應用程式,或者變更私人雲端子網路時,可以使用 Google Cloud Router 自動探索及公告您的網路變更。Cloud Router 透過 ECMP 轉送或主要/備份設定,支援使用多個 VPN 通道。Stackdriver Logging 會顯示路由器事件、BGP 事件與路徑事件,而 Cloud Router 會將指標發佈至 Stackdriver Monitoring

混合網路架構
圖 5:混合網路架構

Cloud Interconnect

對於需要企業級連線,且可用性及延遲時間需求高於現有連線的客戶,Cloud Platform 提供了 Cloud Interconnect。 您的網路流量將直接通往 Cloud Platform,避免不必要繞道至第三方網路。Cloud Interconnect 提供下列服務:

  • 電信業者對等互連服務, 透過一組服務供應商合作夥伴提供。
  • 直接對等互連服務。 只要您可以在 Google 的對等互連位置接收流量,並滿足 Google 對等互連的需求,便可透過 Google 的 70 多個對等互連位置與 Google 進行對等互連,交換高總處理量的雲端流量。
  • CDN 互連網路, 讓特定供應商與 Google 邊緣網路建立直接互連網路連結。這種邊緣連線可以讓您最佳化流量,以快取使用者附近的大型資料檔案,降低經常更新內容的存取延遲時間。

效能

特定 VM 執行個體的輸出流量受限於最大網路輸出總處理量上限, 這些上限取決於 VM 執行個體的核心數目。 每個核心在尖峰效能之下有 2 Gbps 的上限。每增加一個核心,都能提高網路上限,理論上最高可為每個執行個體增加 16 Gbps。您的實際效能將因工作負載而異。所有上限都代表最高可能效能,而非持續效能。

如要測量 Cloud Platform 與其他雲端服務的效能,並與您的原生資料中心環境的效能做比較,您可以使用 PerfKit Benchmarker 開放原始碼基準化工具。如要對 Cloud Platform 進行基準化,您可以執行 google_set 命名集,其中包括 iperfnetperfping 基準。如需使用 PerfKit Benchmarker 測量網路總處理量的簡單範例,請參閱測量網路總處理量一節。

費用

如需產品特定價格詳細資料,請參閱以下頁面:

您也可以使用 Cloud Platform Pricing Calculator 來估算特定情境的費用。

後續步驟

下一篇文章:Cloud Platform 運算

參閱最佳做法

如需保護虛擬私人雲端網路與虛擬資源的提示,請參閱網路與安全一節和 DDoS 最佳做法相關文章。

嘗試某些實作教學課程

準備好實際操作了嗎?請前往網路 101網路 102 程式碼研究室,這兩個課程會逐步引導您使用 Cloud Platform 的虛擬私人雲端網路服務,處理基本與中階的網路工作。

瞭解 Google 的網路堆疊

十幾年來,Google 一直致力於雲端軟體定義網路的創新,期望帶來最佳效能與成本效益。下列文章與研究論文深入探討 Google 網路堆疊的各的方面:

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Google Cloud Platform for Data Center Professionals