Cloud Interconnect 常見問題

本文件涵蓋有關 Cloud Interconnect 功能與架構的常見問題,這些問題可分為下列幾個主要部分:

Cloud Interconnect 的流量

本節說明 Cloud Interconnect 的流量類型、頻寬和加密方式等相關常見問題。

Cloud Interconnect 會傳輸哪一種封包?

Cloud Interconnect 連線會在酬載中傳輸帶有 IPv4 封包的 802.1q 乙太網路影格。這些影格也稱做經 VLAN 標記的乙太網路影格。

當互連網路連結 (VLAN) 建立時,802.1q 標頭的 12 位元 VLAN ID (VID) 欄位值和 Google Cloud Platform 所指定的 VLAN ID 值相同。如需詳細資訊,請參閱下列文件:

如何加密 Cloud Interconnect 上的流量?

視使用 Cloud Interconnect 存取的服務而定,您可能不必採取任何特別行動,流量就會經過加密。舉例來說,如果您存取可透過 Cloud Interconnect 連上的 Google Cloud Platform API,則該流量已使用傳輸層安全標準 (TLS) 進行加密,系統採用的加密方法與透過公開網際網路存取 API 的方法一樣。

您也可以針對您建立的服務使用 TLS 解決方案,例如您在 Compute Engine 執行個體上提供的服務,或是在支援 HTTPS 通訊協定的 Google Kubernetes Engine Pod 上提供的服務。

如果您需要在 IP 層進行加密,您可以在虛擬私人雲端網路中建立一或多個自行管理 (非 GCP) 的 VPN 閘道,並且為每個閘道指定私人 IP 位址。例如,在 Compute Engine 執行個體上執行 StrongSwan VPN,接著從內部部署環境透過 Cloud Interconnect 將 IPsec 通道與 VPN 閘道連接。

詳情請參閱傳輸加密說明文件

是否可以透過專屬互連網路建立 100G 連線?

是,您可以根據自己的需求調整與 Google 的連線規模。

單一 Cloud Interconnect 包含一或多個迴路,這些迴路是以乙太網路通訊埠通道連結 (LAG) 群組的形式部署。Cloud Interconnect 中的迴路可為 10 Gbps 或 100 Gbps,但在單一 Cloud Interconnect 中只能兩者擇一。

如為專屬互連網路,每個互連網路都支援下列迴路負載能力:

  • 8 個 10 Gbps 連線 (共 80 Gbps)
  • 1 個 100 Gbps 連線 (共 100 Gbps)
  • 2 個 100 Gbps 連線 (共 200 Gbps)

如為合作夥伴互連網路,每個互連網路支援的各個互連網路連結 (VLAN) 迴路負載能力如下:

  • 50 Mbps 到 10 Gbps 互連網路連結 (VLAN)

您可訂購多個 Cloud Interconnect,並藉由 Cloud Router 的 BGP 轉送功能,以啟用/啟用的方式來使用互連網路。

如需最新資訊,請參閱 Cloud Interconnect 配額頁面

是否可以透過 Cloud Interconnect 使用 IPv6 連線至我的執行個體?

虛擬私人雲端不提供終止執行個體 IPv6 流量的原生功能。

是否可以指定 BGP 對等互連 IP 位址?

  • 如果是合作夥伴互連網路,則無法指定。對等互連 IP 位址是由 Google 選擇。
  • 如果是專屬互連網路,您可以在建立互連網路連結 (VLAN) 時指定 IP 位址範圍 (CIDR 區塊),讓 Google 從中選取位址。這個 CIDR 區塊必須屬於連結-本機 IP 位址範圍 169.254.0.0/16。

使用專屬互連網路時,是否可以保留 IP DSCP 值?

專屬互連網路會保留原始的端對端 IP DSCP 值。

如果您是在透過專屬互連網路傳送至 VPC 網路的流量中設定 IP DSCP 值,則該值會受到保留,並在未經變更的情況下抵達您的執行個體。

如果您是在外送流量中設定 IP DSCP 值,且該流量是由周遊專屬互連網路的執行個體所產生,那麼這個值會在目的地端保留下來。

如果您是使用合作夥伴互連網路,請向合作夥伴確認您的合作夥伴連線是否會保留 IP DSCP 值。

是否可以從內部部署環境透過 Cloud Interconnect 連線至 Google API?有哪些服務或 API 可以使用?

連線到 Google API 的方法有兩種。

方法 1:您可以在虛擬私人雲端網路中針對一或多個子網路啟用私人 Google 存取權,並在這些子網路中部署一或多個反向 Proxy 執行個體。這些反向 Proxy 只設定了 VPC 私人 IP,因此僅能從內部部署環境透過 Cloud Interconnect 連結來進行連線。採用這項解決方案,即可取得大多數雲端 API、開發人員 API 和 GCP 服務的存取權。

詳情請參閱設定私人 Google 存取權,其中包括私人 Google 存取權支援的 GCP 服務清單。

方法 2:您可針對內部部署主機使用私人 Google 存取權。在這種情況下,從內部部署主機發出的要求必須傳送至 restricted.googleapis.com,以便持續解析出 IP 範圍 199.36.153.4/30,該範圍也稱為受限制的 VIP 範圍。

在 Cloud Router 上新增自訂路徑以通告受限制的 VIP 範圍,可確保送向受限制 VIP (目的地) 的流量,能從內部部署環境透過 Cloud Interconnect 轉送至 API 端點。只有支援受限制 VIP 的 Google API 和服務才能透過此解決方案進行存取。

如需瞭解設定詳細資料與受支援服務的最新資訊,請參閱針對內部部署主機設定私人 Google 存取權

是否可以將 Cloud Interconnect 做為私人通道,以透過瀏覽器存取所有 G Suite 服務?

截至 2018 年 12 月為止,您無法透過 Cloud Interconnect 來存取 G Suite 應用程式。

為什麼我的 BGP 工作階段每隔一段時間就會重開?

檢查內部部署 BGP IP 範圍的子網路遮罩是否有誤。例如您可能設成 169.254.10.0/30,而非 169.254.10.0/29

Cloud Interconnect 架構

本節說明設計或使用 Cloud Interconnect 架構時的常見問題。

是否可以使用 Cloud Interconnect 來連線至公開的網際網路?

截至 2018 年 12 月為止,網際網路的路徑仍無法透過 Cloud Interconnect 通告。

如果所在的 POP 位置並未列於 Cloud Interconnect 主機代管服務供應商頁面,該如何與 GCP 連線?

以下提供兩種選擇,可讓您進行專屬互連網路的一般訂購與佈建程序:

  • 您可以向電信業者租用線路,從您的網路連接點 (POP) 位置連線至 Google 其中一個 Cloud Interconnect 主機代管服務供應商。一般來說,最佳做法是聯絡您現有的主機代管服務供應商,並取得「實體網路」供應商的名單。實體網路供應商是指在您所處的建築物中擁有基礎設施的供應商,相較於採用必須建立基礎設施才能連接您目前 POP 位置的供應商來說,採用實體網路供應商的做法會更加快速便宜。
  • 另一個選擇為透過能向您提供「最後一哩路」連線的電信業者合作夥伴來使用合作夥伴互連網路。主機代管服務供應商通常無法提供這種類型的服務,因為他們有固定的地點,而您必須位於那些地點才能使用其服務。

如果使用合作夥伴互連網路,我是否會在建立了互連網路連結 (VLAN) 的專案中看到互連網路?

當您使用合作夥伴互連網路服務時,互連網路物件會建立於合作夥伴專案中,且不會顯示在您的專案中。但如同 Cloud Interconnect 的情況,您仍可在自己的專案中查看互連網路連結 (VLAN)。

如何建立利用 Cloud Interconnect 的備援架構?

依據所需的服務水準協議,「專屬互連網路」及「合作夥伴互連網路」都必須導入一些特定架構。

https://cloud.google.com/interconnect/docs/tutorials 提供具備 99.99% 服務水準協議的可在實際工作環境使用的架構拓樸,以及具備 99.9% 服務水準協議的一般應用程式拓樸。

服務水準協議級別是指 Cloud Interconnect 的可用性,也就是內部部署位置與 VPC 網路之間路徑連線的可用性。舉例來說,如果您在 Compute Engine 執行個體上建立可透過 Cloud Interconnect 存取的服務,則該服務的可用性取決於 Cloud Interconnect 服務和 Compute Engine 服務兩者的可用性。

  • 如果是專屬互連網路,單一互連網路 (LACP 組合) 具有無運作時間服務水準協議
  • 如果是合作夥伴互連網路,單一互連網路連結 (VLAN) 具有無運作時間服務水準協議

單一互連網路/組合問題的支援記錄優先順序最高只到「P3:中度影響 - 服務功能部分受損」,因此我們不保證能快速解決問題,或為您進一步分析問題的根本成因。

單一連結或組合可能會因預定或臨時性的維護作業遭到排除,時間甚至會長達數小時或數天。

是否能透過 Cloud Interconnect,在內部部署的舊版應用程式和內部的負載平衡器後端之間轉送流量?

在此情境中,您已經部署由兩個層級構成的應用程式:一個是尚未遷移至 GCP 的內部部署層級 (舊版層級);另一個則是在 VPC 執行個體上執行,同時也是 GCP 內部負載平衡器 (ILB) 後端的雲端層級。

只要在 Cloud Router 與您的內部部署路由器之間導入必要的路徑,您就可以在這兩種應用程式層級之間使用 Cloud Interconnect 轉送流量。為 Cloud Interconnect 處理此應用程式流量的 Cloud Router,必須與含有 ILB 後端的子網路位於相同的地區。這是因為 ILB 只有支援地區性轉送功能,當 VPC 的全域轉送使用 ILB 後端所在地區以外的通道時,ILB 存取便會中斷。詳情請參閱透過跨 VPN 或互連網路的用戶端來部署內部負載平衡

如果內部部署的流量從不同地區進入 VPC 網路,您可以在其他地區個別搭配後端來部署 ILB,或是從可連線至 ILB VIP 的地區將流量轉送至反向 Proxy。

是否能在各 GCP 專案或各機構之間移動一或多個 Cloud Interconnect 執行個體?

若是想將專案移至新的 GCP 機構,您可以建立支援記錄,即可讓 Cloud Support 協助加快遷移作業。

只要專案維持不變,專屬互連網路和互連網路連結 (VLANs) 就不會受到機構變更影響。

針對專案變更,如果您正在啟用 Cloud Interconnect 並且具有授權書,但尚未完成啟用程序,請取消目前的啟用程序,並在正確的專案中重新建立。Google 會發行新的授權書,以便您稍後提供給交叉連結網路的供應商。

然而,由於 Cloud Interconnect 是專案的子項物件,而且無法在專案間自動遷移物件,因此啟用的 Cloud Interconnect 不能在專案間移動。如有可能,您應該針對新的 Cloud Interconnect 提出申請。

如何在相同的 GCP 機構內,使用同個 Cloud Interconnect 來連接多個專案中的多個虛擬私人雲端網路?

無論您使用專屬互連網路或合作夥伴互連網路,即使某個 VLAN 連結與 Cloud Interconnect 位在不同專案,您仍可指定該 VLAN 連結。

合作夥伴互連網路

如果您有多個互連網路連結 (VLAN),包括位於不同專案中的互連網路連結,則可將其與來自相同服務供應商的合作夥伴互連網路連線配對,或是與來自不同服務供應商的合作夥伴互連網路連線配對。

專屬互連網路

如有多項專案,您可以為每項專案提供專屬的互連網路連結 (VLAN) 和 Cloud Router,同時將所有連結設為使用指定專案中的同一實體專屬互連網路。

互連網路連結 (VLAN) 除了是具有 802.1q ID 的 VLAN 之外,也是存在於專案中的 Cloud Interconnect 子項物件。

在這個模型中,每個 VPC 網路都有自己的轉送設定。如果您想要集中管理轉送政策,那麼您可以參閱共用虛擬私人雲端模型共用虛擬私人雲端的注意事項,並且終止共用虛擬私人雲端主專案虛擬私人雲端網路中的互連網路連結 (VLAN)。針對每個 Cloud Interconnect 互連網路 (VLAN) 的連結數量,您的主專案均設有配額上限。詳情請參閱 Cloud Interconnect 配額頁面

是否可以使用單一 Cloud Interconnect 將多個內部部署網站連線至 VPC 網路?

您可以輕易完成這項工作。舉例來說,如果數個網站皆屬於 MPLS VPN 網路的一部分,無論該網站是自行管理或由電信業者代管,您都可使用與 Inter-AS MPLS VPN 選項 A 相似的方式,將 VPC 網路「邏輯新增」為額外的網站,請參閱 RFC 4364 文件的第 10 章

本解決方案會在使 VPC 網路出現在合作夥伴的 MPLS VPN 服務的答案中說明。透過 Cloud Router 的 BGP 功能,您便可以使用類似於匯入網際網路路徑的技術和架構,將 VPC 路徑插入現有的 IP 核心構造中。

是否能將 Cloud Interconnect 與來自其他雲端服務供應商的互連網路在實體上「拼接」在一起?

如果您使用的服務是由其他雲端服務供應商提供,並且與 Cloud Interconnect 具備同等功能,則目前在雲端服務供應商之間並沒有任何共同協議的設定,可讓您把 GCP 和另一個雲端服務供應商的兩個互連網路在實體上「拼接」在一起。然而,您可以在 VPC 網路的私人位址空間和不同雲端服務供應商的網路之間轉送流量。

如果另一個雲端服務供應商的服務切換點和 Cloud Interconnect 位於相同位置,您就可以在該位置佈建您自己的路由器,來連接兩個互連網路服務。如此一來,該路由器就會在 VPC 網路和另一個雲端服務供應商的網路之間轉送流量。這個設定可讓您以最低的延遲時間,從兩個雲端網路直接將流量轉送至內部部署網路。

部分合作夥伴互連網路電信業者能以虛擬路由器為基礎來提供代管服務。如果 GCP 與另一雲端服務供應商是在不同的位置連接互連網路服務,那麼您就必須提供線路來連接這兩個位置。

如何在不將設備設置在 Google 邊緣附近的主機代管服務供應商的情況下,連接 AWS 與 GCP?

Megaport 針對不想在 Google 邊緣附近設置硬體的 GCP 客戶提供他們專屬的雲端路由器解決方案。請參閱設定操作說明,瞭解如何使用 GCP 設定這項產品。

互連網路連結 (VLAN)

本節說明互連網路連結 (VLAN) 的相關問題。

如何選擇用於互連網路連結 (VLAN) 的 VLAN ID?

如為使用合作夥伴互連網路所建立的互連網路連結,合作夥伴會在連結建立程序中選擇 VLAN ID,或是讓您親自選擇。請向合作夥伴確認他們是否可讓您為互連網路連結選擇 VLAN ID。

如果是使用專屬互連網路建立的互連網路連結,您可以搭配 --vlan 標記使用 gcloud compute interconnects attachments create 指令,或是按照 Google Cloud Platform 主控台操作說明中的指示操作。

下列範例說明如何使用 gcloud 指令將 VLAN ID 改為 5

gcloud compute interconnects attachments dedicated create my-attachment \
  --router my-router \
  --interconnect my-interconnect \
  --vlan 5 \
  --region us-central1

如需完整的操作說明,請參閱下列文件:

是否可以透過一個以上的互連網路連結來使用 Cloud Router?

可以,系統支援這樣的設定。

MPLS

本節說明 Cloud Interconnect 與 MPLS 的相關問題。

是否可以在 VPC 網路中,使用 Cloud Interconnect 來連接 MPLS LSP?

截至 2018 年 12 月為止,VPC 在 GCP 中並沒有提供連接 MPLS LSP 的原生功能。

如為自行管理的 MPLS VPN 服務,是否能讓 VPC 網路以額外網站的形式顯示?

如果您擁有自行管理的 MPLS VPN 服務,可以讓 VPC 網路顯示為由自行管理的 VPN 所構成的額外網站。

本情境假設您並非從供應商購買 MPLS VPN 服務,而是擁有由您自行管理的 MPLS VPN 環境,並且自行設定 MPLS 網路的 P 與 PE 路由器。

如要讓 VPC 網路以額外網站的形式顯示在您自行管理的 MPLS VPN 服務中,請執行下列步驟:

  1. 使用與 Inter-AS MPLS VPN 選項 A 十分相似的模型 (請參閱 RFC 4364 文件的第 10 章),將其中一個 MPLS VPN PE 邊緣裝置連線到 Cloud Interconnect – Dedicated 服務適用的對等互連邊緣裝置。換句話說,您可以將所需的 MPLS-VPN VPN (例如 VRF_A) 與 PE 邊緣裝置連接,接著使用 VLAN 至 VRF 對應來「聯結」GCP 互連網路連結 (VLAN) 至這個 VPN。整體而言,您是將 VLAN 對應至 PE 邊緣裝置的 VRF_A。

  2. 在 PE 路由器和 Cloud Router 之間建立標準的 IPv4 BGP 工作階段,以確保兩者之間的流量轉送。由 Cloud Router 轉送的流量只會出現在 VPN 路由表 (在 VRF_A 內) 中,而不會出現在 PE 邊緣裝置的全域路由表中。

    您可以建立多個獨立的 VPN 來管理重疊的 IP 範圍。舉例來說,VRF_A 和 VRF_B 在特定的 VPC 網路中 (如 VPC_A 與 VPC_B),各自擁有連往 Cloud Router 的 BGP 工作階段。這項程序在 PE 邊緣裝置和專屬互連網路適用的對等互連邊緣裝置之間,並不需要任何 MPLS 封裝。

是否可以讓 VPC 網路以額外網站的形式,顯示在合作夥伴互連網路的合作夥伴電信業者所提供的 MPLS VPN 中?

如果您所購買 MPLS VPN 服務的電信業者為合作夥伴互連網路的官方合作夥伴,那麼您可以讓 VPC 網路以額外網站的形式顯示在 MPLS VPN 中。

在這種情況下,供應商會負責管理及設定 MPLS 網路的 P 與 PE 路由器。由於合作夥伴互連網路使用的連線模型和專屬互連網路所用的完全相同,因此電信業者可利用與 Inter-AS MPLS VPN 選項 A 非常類似的模型 (請參閱 RFC 4364 文件的第 10 章) 來處理。

電信業者基本上會向您提供第 3 層連線的合作夥伴互連網路服務,然後將您的互連網路連結 (VLAN) 與業者邊緣裝置上的正確 MPLS VPN「繫結」在一起。詳請請參閱合作夥伴互連網路總覽。由於這是第 3 層連線服務模型,因此系統會在您的 Cloud Router 和電信業者邊緣裝置中的 VRF 之間建立 BGP 工作階段。

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
互連網路