Panoramica di Cloud Interconnect

Cloud Interconnect fornisce connessioni a bassa latenza e ad alta disponibilità che ti consentono di trasferire in modo affidabile i dati tra le tue reti VPC (Virtual Private Cloud) di Google Cloud e le tue altre reti. Inoltre, le connessioni Cloud Interconnect forniscono comunicazione tramite indirizzo IP interno, il che significa che gli indirizzi IP interni sono accessibili direttamente da entrambe le reti.

Cloud Interconnect offre le seguenti opzioni per estendere la rete in modo da includere Google Cloud:

  • Dedicated Interconnect fornisce una connessione fisica diretta tra la tua rete on-premise e la rete Google.
  • Partner Interconnect fornisce connettività tra le tue reti on-premise e VPC tramite un fornitore di servizi supportato.
  • Cross-Cloud Interconnect fornisce una connessione fisica diretta tra la tua rete in un altro cloud e la rete Google.

Per un confronto che ti aiuti a scegliere tra Dedicated Interconnect e Partner Interconnect, consulta la sezione Cloud Interconnect in Scegliere un prodotto di connettività di rete.

Per le definizioni dei termini utilizzati in questa pagina, consulta Termini chiave di Cloud Interconnect.

Vantaggi

L'utilizzo di Cloud Interconnect offre i seguenti vantaggi:

  • Il traffico tra la rete esterna e la rete VPC non attraversa la rete internet pubblica. Il traffico attraversa una connessione dedicata o passa attraverso un fornitore di servizi con una connessione dedicata. Se eviti la rete internet pubblica, il tuo traffico richiede meno hop, quindi ci sono meno punti di errore in cui il traffico potrebbe essere interrotto o perso.

  • Gli indirizzi IP interni della tua rete VPC sono accessibili direttamente dalla rete on-premise. Non è necessario utilizzare un dispositivo NAT o un tunnel VPN per raggiungere gli indirizzi IP interni. Per maggiori dettagli, consulta Indirizzi IP e route dinamiche.

  • Puoi scalare la capacità di connessione per soddisfare i tuoi requisiti specifici.

    Per Dedicated Interconnect, la capacità di connessione viene fornita su una o più connessioni Ethernet da 10 Gbps o 100 Gbps, con le seguenti capacità massime supportate per connessione Cloud Interconnect:

    • 8 connessioni da 10 Gbps (80 Gbps totali)
    • 2 connessioni da 100 Gbps (200 Gbps totali)

    Per Partner Interconnect, sono supportate le seguenti capacità di connessione per ogni collegamento VLAN:

    • Collegamenti VLAN da 50 Mbps a 50 Gbps. La dimensione massima supportata degli allegati è 50 Gbps, ma potrebbero non essere disponibili tutte le dimensioni, a seconda di ciò che viene offerto dal partner scelto nella località selezionata.
  • Puoi richiedere connessioni da 100 Gbps in una delle località elencate in Tutte le strutture di colocation.

  • Dedicated Interconnect, Partner Interconnect, peering diretto e peering con operatori possono aiutarti a ottimizzare il traffico in uscita dalla tua rete VPC e a ridurre i costi di uscita. Cloud VPN da sola non riduce i costi in uscita.

  • Puoi utilizzare Cloud Interconnect con accesso privato Google per gli host on-premise in modo che gli host on-premise possano utilizzare indirizzi IP interni anziché indirizzi IP esterni per raggiungere le API e i servizi Google. Per ulteriori informazioni, consulta Opzioni di accesso privato per i servizi nella documentazione di VPC.

  • Puoi applicare la crittografia IPsec al traffico di Cloud Interconnect eseguendo il deployment di una VPN ad alta disponibilità su Cloud Interconnect.

Considerazioni

Utilizzare Cloud VPN da solo

Se non hai bisogno di un'intera connessione Cloud Interconnect, puoi utilizzare Cloud VPN da sola per configurare i tunnel VPN IPsec tra le tue reti. I tunnel VPN IPsec criptano i dati utilizzando protocolli IPsec standard di settore. Il traffico criptato attraversa la rete internet pubblica.

Cloud VPN richiede la configurazione di un gateway VPN peer nella rete on-premise.

Indirizzi IP, IPv6 e route dinamici

Quando colleghi la rete VPC alla rete on-premise, consenti la comunicazione tra lo spazio degli indirizzi IP della rete on-premise e alcune o tutte le subnet della rete VPC. Le subnet VPC disponibili dipendono dalla modalità di routing dinamico della rete VPC. Gli intervalli IP delle subnet nelle reti VPC sono sempre indirizzi IP interni.

Puoi attivare lo scambio di traffico IPv6 tra la tua rete VPC IPv6 abilitata e la tua rete on-premise. Per ulteriori informazioni, consulta Supporto IPv6 per l'Dedicated Interconnect e Supporto IPv6 per l'Partner Interconnect.

Lo spazio degli indirizzi IP sulla rete on-premise e sulla rete VPC non deve sovrapporsi, altrimenti il traffico non viene indirizzato correttamente. Rimuovi eventuali indirizzi in sovrapposizione da entrambe le reti.

Il router on-premise condivide le route della rete on-premise con il router Cloud nella rete VPC. Questa azione crea route dinamiche personalizzate nella rete VPC, ciascuna con un hop successivo impostato sull'attacco VLAN appropriato.

A meno che non vengano modificati da annunci personalizzati, i router Cloud nella rete VPC condividono gli intervalli di indirizzi IP delle subnet della rete VPC con i router on-premise in base alla modalità di routing dinamico della rete VPC.

Le seguenti configurazioni richiedono la creazione di route annunciati personalizzati sul tuo router Cloud per indirizzare il traffico dalla tua rete on-premise a determinati indirizzi IP interni utilizzando una connessione Cloud Interconnect:

Cloud Interconnect come rete di trasferimento dati

Prima di utilizzare Cloud Interconnect, esamina attentamente la Sezione 2 dei Termini di servizio generali di Google Cloud.

Con Network Connectivity Center puoi utilizzare i collegamenti VLAN per collegare le reti on-premise, passando il traffico tra di loro come rete di trasferimento dati. Collega le reti collegando i collegamenti VLAN a uno spoke di Network Connectivity Center per ogni località on-premise. Collega poi ogni spoke a un hub di Network Connectivity Center.

Per ulteriori informazioni sul Network Connectivity Center, consulta Panoramica del Network Connectivity Center.

Criptare il traffico Cloud Interconnect

Cloud Interconnect non cripta il traffico per impostazione predefinita. Puoi utilizzare MACsec per Cloud Interconnect per proteggere il traffico tra il tuo router on-premise e i router di confine di Google sui circuiti Dedicated Interconnect supportati. Per ulteriori informazioni, consulta la panoramica di MACsec per Cloud Interconnect.

Puoi anche eseguire il deployment della VPN ad alta disponibilità su Cloud Interconnect se devi criptare il traffico trasportato dai collegamenti VLAN. La VPN ad alta disponibilità su Cloud Interconnect è supportata sia per Dedicated Interconnect sia per Partner Interconnect. Potrebbe essere necessario criptare il traffico di Cloud Interconnect per soddisfare determinati requisiti normativi o di sicurezza. Per ulteriori informazioni, consulta la panoramica della VPN ad alta disponibilità su Cloud Interconnect.

Limite dell'utilizzo di Cloud Interconnect

Per impostazione predefinita, qualsiasi rete VPC può utilizzare Cloud Interconnect. Per controllare quali reti VPC possono utilizzare Cloud Interconnect, puoi impostare un criterio dell'organizzazione. Per ulteriori informazioni, consulta Limitare l'utilizzo di Cloud Interconnect.

MTU di Cloud Interconnect

I collegamenti VLAN Cloud Interconnect supportano le seguenti quattro dimensioni MTU:

  • 1440 byte
  • 1460 byte
  • 1500 byte
  • 8896 byte

Google consiglia di utilizzare lo stesso MTU per tutti i collegamenti VLAN collegati alla stessa rete VPC e di impostare lo stesso valore per l'MTU della rete VPC. Sebbene questa sia la procedura consigliata, non sei obbligato a far corrispondere i valori MTU collegamento VLAN e della rete VPC. Potresti riscontrare la perdita di pacchetti, in particolare per i protocolli diversi da TCP, se esegui una delle seguenti operazioni:

  • Utilizza MTU diversi per i collegamenti VLAN connessi alla stessa rete VPC.
  • Configura MTU collegamento VLAN inferiori a quelli della rete VPC contenente i collegamenti VLAN.

Per informazioni generali su come i protocolli gestiscono le MTU non corrispondenti, consulta MTU non corrispondenti, limitazione MSS, rilevamento MTU del percorso nella documentazione relativa alle MTU della VPC.

I pacchetti inviati tramite un collegamento VLAN vengono elaborati nel seguente modo:

Situazione Comportamento
Pacchetti TCP SYN e SYN-ACK Google Cloud esegue il clamping MSS, modificando l'MSS in modo che i pacchetti rientrino nell'MTU del collegamento VLAN. Ad esempio, se l'MTU del collegamento VLAN è di 1500 byte, il capping MSS utilizza una dimensione massima del segmento di 1460 byte.
Pacchetti IP fino a (incluso) l'MTU del collegamento VLAN Google Cloud non apporta modifiche al pacchetto, ad eccezione dei pacchetti SYN e SYN-ACK come discusso nella prima riga.
MTU controlla i pacchetti IP
  • L'MTU per i pacchetti inviati dalle risorse Google Cloud tramite un collegamento VLAN è limitato dall'MTU del collegamento VLAN. Ad esempio, quando un'istanza VM invia pacchetti a una destinazione raggiungibile da una route dinamica il cui hop successivo è un collegamento VLAN, i pacchetti che superano l'MTU del collegamento VLAN vengono ignorati:
    • Google Cloud elimina il pacchetto e invia un messaggio di frammentazione necessaria (ICMP su IPv4) o pacchetto troppo grande (ICMPv6) sia quando il bit Non frammentare (DF) è attivo sia quando è disattivato.
    • Devi configurare le regole del firewall VPC o le regole nei criteri del firewall di autorizzazione in entrata in modo che ICMP (per IPv4) o ICMPv6 (per IPv6) siano consentiti dalle origini corrispondenti alle destinazioni dei pacchetti originali.
    • Le regole di inoltro per il bilanciatore del carico di rete passthrough interno e per l'inoltro del protocollo interno devono utilizzare il protocollo L3_DEFAULT in modo da elaborare sia ICMP per il rilevamento del MTU del percorso (PMTUD) sia il protocollo utilizzato dal pacchetto originale.
  • Cloud Interconnect non applica l'MTU del collegamento VLAN per i pacchetti ricevuti da una rete on-premise. Al contrario, Google Cloud applica l'MTU alla risorsa Google Cloud che riceve il pacchetto:
    • Se la risorsa che riceve il pacchetto è un'istanza VM, Google Cloud applica l'MTU della rete VPC utilizzata dall'interfaccia di rete della VM di destinazione, come se la VM di destinazione avesse ricevuto un pacchetto instradato all'interno della rete VPC.
    • I pacchetti inviati alle API e ai servizi Google da un ambiente on-premise tramite un collegamento VLAN vengono elaborati nello stesso modo dei pacchetti inviati dalle istanze VM alle API e ai servizi Google. Per ulteriori informazioni, consulta Comunicazione con le API e i servizi Google.
Pacchetti inviati tramite VPN ad alta disponibilità su Cloud Interconnect La VPN ad alta disponibilità su Cloud Interconnect utilizza un MTU del gateway di 1440 byte, mentre gli MTU del payload sono più piccoli, a seconda delle crittografie utilizzate. Per ulteriori informazioni, consulta la sezione Considerazioni sulla MTU nella documentazione di Cloud VPN.

Supporto per il traffico GRE

Cloud Interconnect supporta il traffico GRE. Il supporto di GRE ti consente di terminare il traffico GRE su una VM da internet (indirizzo IP esterno) e da Cloud VPN o Cloud Interconnect (indirizzo IP interno). Il traffico decapsulato può essere inoltrato a una destinazione raggiungibile. GRE ti consente di utilizzare servizi come Secure Access Service Edge (SASE) e SD-WAN. Devi creare una regola firewall per consentire il traffico GRE.

Differenziare il traffico di rete

Dedicated Interconnect e Cross-Cloud Interconnect supportano la differenziazione del traffico di rete tramite la consapevolezza delle applicazioni su Cloud Interconnect in anteprima. La consapevolezza delle applicazioni ti consente di mappare il traffico in uscita in classi di traffico diverse e di impostare un criterio percentuale di larghezza di banda o un criterio di priorità rigoroso, che può contribuire a garantire che il traffico di rete critico per l'attività abbia la priorità rispetto al traffico di rete con priorità inferiore.

Per ulteriori informazioni, consulta "Configurare la differenziazione del traffico" per Dedicated Interconnect e Cross-Cloud Interconnect.

Contatta il team dedicato all'account per attivare l'Application Awareness su Cloud Interconnect.

Visualizza e monitora le connessioni Cloud Interconnect e i collegamenti VLAN

Network Topology è uno strumento di visualizzazione che mostra la topologia delle reti VPC, la connettività ibrida verso e dalle reti on-premise e le metriche associate. Puoi visualizzare le connessioni Cloud Interconnect e i collegamenti VLAN come entità nella visualizzazione di Network Topology.

Un'entità di base è il livello più basso di una determinata gerarchia e rappresenta una risorsa che può comunicare direttamente con altre risorse tramite una rete. Network Topology aggrega le entità di base in entità gerarchiche che puoi espandere o comprimere. Quando visualizzi per la prima volta un grafico di Network Topology, tutte le entità di base vengono aggregate nella loro gerarchia di primo livello.

Ad esempio, Network Topology aggrega i collegamenti VLAN nella connessione Cloud Interconnect e puoi visualizzare la gerarchia espandendo o comprimendo le icone che rappresentano le connessioni Cloud Interconnect.

Per ulteriori informazioni, consulta la panoramica di Network Topology.

Domande frequenti

Per le risposte alle domande più comuni sull'architettura e sulle funzionalità di Cloud Interconnect, consulta le domande frequenti su Cloud Interconnect.

Passaggi successivi