Best Practices für Cloud Interconnect

Wir empfehlen die folgenden Best Practices, wenn Sie Cloud Interconnect planen und konfigurieren.

Mit Google Cloud-Projekten arbeiten

Wenn von Ihrer Netzwerkarchitektur unterstützt, sollten Sie Ihre Cloud Interconnect-Projekte so konfigurieren, wie in diesem Abschnitt empfohlen.

Physische Cloud Interconnect-Verbindungen in einem separaten Projekt bereitstellen

Stellen Sie physische Verbindungen (Ports) für Cloud Interconnect in einem Projekt bereit, VLAN-Anhänge jedoch in anderen Projekten. Diese müssen sich in derselben Google Cloud Organisation wie das Projekt mit den physischen Verbindungen befinden.

VLAN-Anhänge, die eine physische Verbindung über einen Cloud Router mit einer Region herstellen, müssen sich nicht im selben Projekt wie die physische Verbindung befinden. Weitere Informationen finden Sie unter Verbindungen in anderen Projekten verwenden.

Durch diese Vorgehensweise werden die folgenden Konfigurationsschritte erleichtert:

  • Sie können ein separates internes Rechnungskonto mit dem Projekt verknüpfen, das die physischen Verbindungen enthält.
  • Sie können IAM-Rollen (Identity and Access Management) und -Berechtigungen in dem Projekt konfigurieren, das die physischen Verbindungen enthält.
  • Wenn Sie eine Ressource löschen oder aktualisieren möchten, die keine physische Verbindung ist, können Sie dies tun, ohne dass es sich auf die physischen Verbindungen auswirkt.

VLAN-Anhänge im freigegebenen VPC-Hostprojekt konfigurieren

In einem freigegebenen VPC-Netzwerk konfigurieren Sie alle VLAN-Anhänge, keine physischen Cloud Interconnect-Verbindungen (Ports), im Hostprojekt. Weitere Informationen zum Verbinden von Anhängen zu freigegebenen VPC-Netzwerken finden Sie unter Optionen zum Verbinden mit mehreren VPC-Netzwerken.

Redundante Cloud Interconnect-Verbindungen mit ausreichender Kapazität erstellen

In diesem Abschnitt werden Best Practices für das Erstellen redundanter Cloud Interconnect-Verbindungen mit ausreichender Kapazität in einem Failover-Szenario beschrieben. Wenn Sie sich an diese Verfahren halten, verhindern Sie, dass Ereignisse wie fehlgeschlagene geplante Wartungen oder Hardwarefehler Ausfälle verursachen.

Cloud Interconnect-Verbindungen bieten Schutz für bis zu 50% des Netzwerktraffics auf der Gesamtkapazität, wenn die Kapazität gleichmäßig auf Edge-Verfügbarkeitsdomains aufgeteilt wird. Dies sorgt für ausreichende Kapazität im Falle eines Ausfalls oder einer geplanten Wartung. Eine Nutzung von mehr als 50% der Cloud Interconnect-Kapazität kann dazu führen, dass die Verbindung in Zeiten Netzwerküberlastung gedrosselt wird. Wenn Sie beispielsweise 100 Gbit/s geschützten Traffic zwischen Ihrem lokalen Netzwerk und Google Cloudsenden möchten, müssen Sie redundante Cloud Interconnect-Verbindungen mit einer Kapazität von mindestens 200 Gbit/s bereitstellen.

Sie können Cloud Interconnect-Verbindungen gemäß einer der folgenden empfohlenen Topologien erstellen:

Wenn Sie gemäß diesen Topologien Cloud Interconnect-Verbindungen erstellen, erstellen Sie Paare von Verbindungen in einer oder mehreren Metropolregionen. Innerhalb einer einzelnen Metropolregion platzieren Sie Cloud Interconnect-Verbindungen in verschiedenen Edge-Verfügbarkeitsdomains.

In jeder Edge-Verfügbarkeitsdomain genügend Kapazität bereitstellen

Wenn es in einer der Edge-Verfügbarkeitsdomains in einer Metropolregion zu Ausfallzeiten oder Wartungsarbeiten kommt, wird für den Traffic ein Failover zu der anderen Edge-Verfügbarkeitsdomain durchgeführt.

Halten Sie sich an diese Anleitung, um einen Paketverlust zu vermeiden, wenn eine einzelne Edge-Verfügbarkeitsdomain fehlschlägt:

Art der Kapazität Anleitung
Kapazität der Cloud Interconnect-Verbindung Jede Edge-Verfügbarkeitsdomain muss genügend Verbindungskapazität haben, um den gesamten Produktionstraffic zu übertragen.
VLAN-Anhangkapazität

Jede Edge-Verfügbarkeitsdomain muss genügend Kapazität für VLAN-Anhänge haben, um den gesamten Produktionstraffic für das Ziel-VPC-Netzwerk zu übertragen.

VPC-Traffic in Cloud Interconnect-Verbindungen wird über VLAN-Anhänge übertragen, die die Verbindung mit VPC-Netzwerken verknüpfen. Auch wenn jede Edge-Verfügbarkeitsdomain genügend Verbindungskapazität hat, muss sie dennoch genügend VLAN-Anhangskapazität haben.

Kapazität von VLAN-Anhängen und mehrere VPC-Netzwerke

Wenn Sie Ihre Cloud Interconnect-Verbindungen für den Zugriff auf mehr als ein VPC-Netzwerk (Virtual Private Cloud) verwenden, erstellen Sie VLAN-Anhänge von jedem VPC-Netzwerk zu jeder Cloud Interconnect-Verbindung. Achten Sie bei jedem VPC-Netzwerk darauf, dass genügend VLAN-Anhangskapazität vorhanden ist, um den gesamten Produktionstraffic für dieses VPC-Netzwerk zu übertragen, wenn es zu einem Failover kommt.

Angenommen, Sie haben die folgenden VPC-Netzwerke und Arbeitslasten:

  • vpc-1 empfängt 2 Gbit/s Gesamttraffic von Ihrem lokalen Netzwerk.
  • vpc-2 empfängt ebenfalls 2 Gbit/s Gesamttraffic von Ihrem lokalen Netzwerk.

In der folgenden Tabelle wird die Mindestkapazität aufgeführt, die Sie in jeder Edge-Verfügbarkeitsdomain für das jeweilige VPC-Netzwerk benötigen:

Edge-Verfügbarkeitsdomain Verbindungskapazität Anhangskapazität
EDGE_DOMAIN_1 1 x 10 Gbit/s 2 x 1 Gbit/s bis vpc-1
2 x 1 Gbit/s bis vpc-2
EDGE_DOMAIN_2 1 x 10 Gbit/s 2 x 1 Gbit/s bis vpc-1
2 x 1 Gbit/s bis vpc-2

Wenn Sie VLAN-Anhänge über eine Cloud Interconnect-Verbindung hinzufügen, kann die konfigurierte Anhangskapazität die Gesamtkapazität der Verbindung überschreiten. Obwohl diese Konfiguration gültig ist, darf der tatsächliche Traffic die Gesamtkapazität der Verbindung nicht überschreiten. Ihre Arbeitslast darf nicht mehr Traffic als die Kapazität der Verbindung generieren.

Aktiv/Aktiv-VLAN-Anhänge verwenden

Es gibt zwei Möglichkeiten, redundante VLAN-Anhänge zu konfigurieren:

  • Eine Aktiv/Aktiv-Konfiguration, die den Traffic zwischen den VLAN-Anhängen aufteilt.
  • Eine Aktiv/Passiv-Konfiguration, die jeweils nur einen VLAN-Anhang verwendet.

Google empfiehlt die Verwendung einer Aktiv/Aktiv-Konfiguration, da damit einfach festgestellt werden kann, ob alle VLAN-Anhänge während des normalen Betriebs ordnungsgemäß funktionieren. Überwachen Sie bei Verwendung einer Aktiv/Aktiv-Konfiguration Ihre Nutzungsmuster, damit Sie sicher sein können, dass Sie ausreichende Kapazitäten haben, wenn ein Fehler auftritt.

In einer Aktiv/Passiv-Konfiguration werden VLAN-Anhänge möglicherweise falsch konfiguriert, ohne dass Sie es bemerken. Wenn Sie diese Konfiguration verwenden, sollten Sie das Failover testen, bevor Sie Produktionstraffic hinzufügen.

Informationen zum Failover zwischen Regionen

Netzwerktraffic, der eine Region verlässt, bevorzugt den Pfad mit dem niedrigsten Messwert, wie in der Cloud Router-Übersicht unter Auswirkungen des dynamischen Routingmodus beschrieben. Bei typischer Nutzung geht der ausgehende Traffic über die nächstgelegene Google Cloud Region, die alle Live-VLAN-Anhänge hat, wobei die lokale Region am nächsten ist.

Nehmen wir zum Beispiel an, dass Sie die Topologie für Anwendungen auf Produktionsebene erstellen und ein VPC-Netzwerk mit Folgendem haben:

  • VLAN-Anhängen in zwei Regionen
  • Aktiviertem globalem dynamischem Routing

Der Traffic bevorzugt den ausgehenden VLAN-Anhang in der lokalen Region, selbst wenn die Anhänge in dieser Region überlastet sind. Der Traffic fließt nur in die andere Region, wenn alle VLAN-Anhänge in der lokalen Region ausgefallen sind. Das bedeutet, dass jede der vier Cloud Interconnect-Verbindungen in der Topologie eine ausreichende VLAN-Anhangskapazität haben muss, um den gesamten Produktionstraffic zu übertragen.

Szenarien

In diesem Abschnitt werden Szenarien beschrieben, in denen Sie Cloud Interconnect-Ressourcen konfigurieren. Außerdem wird beschrieben, wie die einzelnen Arbeitslasten die Arbeitslast während des normalen Betriebs und des Failovers verarbeiten. Jedes Szenario enthält eine Empfehlung in Bezug auf die Best Practices für Redundanz und Kapazität.

Szenario 1: Ausreichende Kapazität

In diesem Szenario stellen Sie zwei Dedicated Interconnect-Verbindungen in zwei verschiedenen Edge-Verfügbarkeitsdomains bereit, wie in der folgenden Tabelle gezeigt:

Edge-Verfügbarkeitsdomain Verbindungskapazität Anhangskapazität Anhangsregion
EDGE_DOMAIN_1 1 x 10 Gbit/s 1 x 10 Gbit/s ATTACHMENT_REGION_1
EDGE_DOMAIN_2 1 x 10 Gbit/s 1 x 10 Gbit/s ATTACHMENT_REGION_1

In der folgenden Tabelle wird beschrieben, wie diese Konfiguration Ihre Arbeitslast während des normalen Betriebs und des Failovers verarbeitet:

Ressource Beschreibung
Größe Ihrer Arbeitslast 10 Gbit/s des gesamten Traffic zwischen ATTACHMENT_REGION_1 und Ihrem lokalen Netzwerk.
Kapazität während des normalen Betriebs

Ausreichende Kapazität

20 Gbit/s Kapazität von ATTACHMENT_REGION_1 zu Ihrem lokalen Netzwerk. Ihre Arbeitslast mit 10 Gbit/s wird erfolgreich ausgeführt.

Kapazität während des Failovers

Ausreichende Kapazität, falls eine der Cloud Interconnect-Verbindungen unterbrochen wird.

Wenn beispielsweise die Verbindung in EDGE_DOMAIN_1 fehlschlägt, ist die verfügbare Kapazität die Verbindung in EDGE_DOMAIN_2. Diese einzelne Cloud Interconnect-Verbindung hat eine Kapazität von 10 Gbit/s. Die Kapazität von 10 Gbit/s, die Sie erstellt haben, reicht aus, um Ihre Produktionsarbeitslast zu übertragen.

Wenn die Arbeitslast auf mehr als 10 Gbit/s Traffic erhöht wird, überschreitet sie die Kapazität Ihres Anhangs und kann zu Paketverlusten führen.

Empfehlung Stellen Sie die Kapazität Ihrer Cloud Interconnect-Verbindung und Ihres VLAN-Anhangs so bereit, dass jede Edge-Verfügbarkeitsdomain genügend Kapazität für Ihre gesamte Produktionsarbeitslast hat.

Szenario 2: unzureichende Kapazität während eines Failovers

In diesem Szenario stellen Sie zwei Dedicated Interconnect-Verbindungen in zwei verschiedenen Edge-Verfügbarkeitsdomains bereit, wie in der folgenden Tabelle gezeigt:

Edge-Verfügbarkeitsdomain Verbindungskapazität Anhangskapazität Anhangsregion
EDGE_DOMAIN_1 1 x 100 Gbit/s 100 Gbit/s (2 x 50 Gbit/s) ATTACHMENT_REGION_1
EDGE_DOMAIN_2 1 x 100 Gbit/s 100 Gbit/s (2 x 50 Gbit/s) ATTACHMENT_REGION_1

In der folgenden Tabelle wird beschrieben, wie diese Konfiguration Ihre Arbeitslast während des normalen Betriebs und des Failovers verarbeitet:

Ressource Beschreibung
Größe Ihrer Arbeitslast 150 Gbit/s des gesamten Traffic zwischen ATTACHMENT_REGION_1 und Ihrem lokalen Netzwerk.
Kapazität während des normalen Betriebs

Ausreichende Kapazität

200 Gbit/s Kapazität von ATTACHMENT_REGION_1 zu Ihrem lokalen Netzwerk. Ihre Arbeitslast mit 150 Gbit/s wurde erfolgreich ausgeführt.

Kapazität während des Failovers

Unzureichende Kapazität, falls eine der Cloud Interconnect-Verbindungen unterbrochen wird.

Wenn eine Ihrer Cloud Interconnect-Verbindungen wegen einer Wartung ausfällt, versucht die gesamte Arbeitslast von 150 Gbit/s, ein Failover zu einer Verbindung von 100 Gbit/s auszuführen. Das ist mehr als die Kapazität der Verbindung, sodass es zu Überlastungen und Paketverlusten kommt.

Empfehlung Achten Sie darauf, dass der kombinierte Traffic über jede Verbindung die Gesamtkapazität einer einzelnen Edge-Verfügbarkeitsdomain nicht überschreitet, um eine vollständige Verfügbarkeit während eines Fehlerereignisses zu gewährleisten. In diesem Szenario benötigen Sie mindestens 200 Gbit/s Verbindungskapazität und 3 x 50 Gbit/s Anhangkapazität in jeder Edge-Verfügbarkeitsdomain, um eine ausreichende Kapazität während eines Failovers zu haben.

Szenario 3: Unausgeglichene VLAN-Anhänge

In diesem Szenario stellen Sie zwei Dedicated Interconnect-Verbindungen in zwei verschiedenen Edge-Verfügbarkeitsdomains bereit, wie in der folgenden Tabelle gezeigt: Anfänglich stellen Sie 1 x 10 Gbit/s Anhangskapazität in EDGE_DOMAIN_1 bereit. Später erkennen Sie, dass Ihre Arbeitslast auf 20 Gbit/s gestiegen ist, sodass Sie nur die Anhangskapazität in EDGE_DOMAIN_1 auf 2 x 10 Gbit/s aktualisieren.

Edge-Verfügbarkeitsdomain Verbindungskapazität Anhangskapazität Anhangsregion
EDGE_DOMAIN_1 1 x 100 Gbit/s 1 x 10 Gbit/s (erste Bereitstellung)
2 x 10 Gbit/s (später aktualisiert)
ATTACHMENT_REGION_1
EDGE_DOMAIN_2 1 x 100 Gbit/s 1 x 10 Gbit/s ATTACHMENT_REGION_1

In der folgenden Tabelle wird beschrieben, wie diese Konfiguration Ihre Arbeitslast während des normalen Betriebs und des Failovers verarbeitet:

Ressource Beschreibung
Größe der Arbeitslast 20 Gbit/s Gesamttraffic zwischen ATTACHMENT_REGION_1 und Ihrem lokalen Netzwerk.
Kapazität während des normalen Betriebs

Ausreichende Kapazität

30 Gbit/s Kapazität von ATTACHMENT_REGION_1 zu Ihrem lokalen Netzwerk. Ihre Arbeitslast mit 20 Gbit/s wurde erfolgreich ausgeführt.

Kapazität während des Failovers

Ausreichende Kapazität, falls die Cloud Interconnect-Verbindung in EDGE_DOMAIN_2 ausfällt.
Unzureichende Kapazität, falls die Cloud Interconnect-Verbindung in EDGE_DOMAIN_1 ausfällt.

Wenn Ihre Cloud Interconnect-Verbindung in EDGE_DOMAIN_2 ausfällt, gibt es noch 20 Gbit/s Anhangkapazität von der verbleibenden Verbindung und Ihre Arbeitslast wird erfolgreich ausgeführt.

Wenn jedoch Ihre Cloud Interconnect-Verbindung in EDGE_DOMAIN_1 ausfällt, gibt es nur noch 10 Gbit/s Anhangskapazität von der verbleibenden Verbindung. So kann es zu einer Überlastung und einem Paketverlust kommen.

Empfehlung Achten Sie darauf, dass Sie bei beiden Edge-Verfügbarkeitsdomains in einer Metropolregion gleiche Kapazitäten haben. Das gilt sowohl für Cloud Interconnect-Verbindungen als auch für VLAN-Anhänge. In diesem Szenario benötigen Sie eine Anhangskapazität von mindestens 2 x 10 Gbit/s in jeder Edge-Verfügbarkeitsdomain, damit ausreichend Kapazität für den Fall zur Verfügung steht, dass eine Cloud Interconnect-Verbindung unterbrochen wird.

Für alle VLAN-Anhänge dieselbe MTU verwenden

Google empfiehlt, für alle VLAN-Anhänge, die mit demselben VPC-Netzwerk verbunden sind, dieselbe MTU zu verwenden und für die MTU des VPC-Netzwerks denselben Wert festzulegen. Dies ist zwar die empfohlene Vorgehensweise, Sie sind jedoch nicht gezwungen, die MTUs von VLAN-Anhängen und VPC-Netzwerk-MTUs abzugleichen. Sie können jedoch verworfene Pakete feststellen, insbesondere bei anderen Protokollen als TCP, wenn Sie eine der folgenden Aktionen ausführen:

  • Verwenden Sie verschiedene MTUs für VLAN-Anhang für VLAN-Anhänge, die mit demselben VPC-Netzwerk verbunden sind.
  • Konfigurieren Sie VLAN-Anhang-MTUs, die kleiner als die MTU des VPC-Netzwerks sind, das die VLAN-Anhänge enthält.

Allgemeine Informationen dazu, wie Protokolle nicht übereinstimmende MTUs verarbeiten, finden Sie unter Nicht übereinstimmende MTUs, MSS-Clamping, Pfad-MTU-Erkennung in der VPC-MTU-Dokumentation.

Pakete, die über einen VLAN-Anhang gesendet werden, werden so verarbeitet:

Situation Verhalten
TCP-SYN- und SYN-ACK-Pakete Google Cloud führt MSS-Clamping durch, wobei die MSS-Pakete geändert werden, sodass die Pakete in die VLAN-Anhang-MTU passen. Wenn die MTU des VLAN-Anhangs beispielsweise 1.500 Byte beträgt, verwendet MSS Clamping eine maximale Segmentgröße von 1.460 Byte.
IP-Pakete bis zur MTU des VLAN-Anhangs (einschließlich) Google Cloud nimmt keine Änderungen am Paket vor, mit Ausnahme von SYN- und SYN-ACK-Paketen, wie in der ersten Zeile erläutert.
MTU-Prüfung auf IP-Pakete
  • Die MTU für Pakete, die von Google Cloud Ressourcen über einen VLAN-Anhang gesendet werden, wird durch die MTU des VLAN-Anhangs begrenzt. Wenn eine VM-Instanz beispielsweise Pakete an ein Ziel sendet, das von einer dynamischen Route erreichbar ist, deren nächster Hop ein VLAN-Anhang ist, werden Pakete verworfen, die die MTU des VLAN-Anhangs überschreiten:
    • Google Cloud verwirft das Paket und sendet eine Nachricht „Fragmentierung erforderlich“ (ICMP über IPv4) oder „Paket zu groß“ (ICMPv6) sowohl, wenn das Bit „Nicht fragmentieren“ (DF) aktiviert ist als auch wenn das DF-Bit aus ist.
    • Sie müssen VPC-Firewallregeln oder Regeln in Firewallrichtlinien für eingehenden Traffic konfigurieren, damit ICMP (für IPv4) oder ICMPv6 (für IPv6) aus Quellen, die mit den ursprünglichen Paketzielen übereinstimmen, erlaubt sind.
    • Weiterleitungsregeln für den internen Passthrough-Network Load Balancer und die interne Protokollweiterleitung müssen das L3_DEFAULT-Protokoll verwenden, damit sie sowohl ICMP für Path MTU Discovery (PMTUD) als auch das vom ursprünglichen Paket verwendete Protokoll verarbeiten.
  • Cloud Interconnect erzwingt die MTU von VLAN-Anhang für Pakete, die von einem lokalen Netzwerk empfangen werden, nicht. Stattdessen erzwingt Google Cloud die MTU für die Google Cloud Ressource, die das Paket empfängt:
    • Wenn die Ressource, die das Paket empfängt, eine VM-Instanz ist, erzwingt Google Cloud die MTU des VPC-Netzwerks, das von der Netzwerkschnittstelle der empfangenden VM verwendet wird, als ob die empfangende VM ein weitergeleitetes Paket empfangen hätte innerhalb des VPC-Netzwerks.
    • Pakete, die von lokal über einen VLAN-Anhang an Google APIs und Google-Dienste gesendet werden, werden auf die gleiche Weise verarbeitet wie Pakete, die von VM-Instanzen an Google APIs und Google-Dienste gesendet werden. Weitere Informationen finden Sie unter Kommunikation mit Google APIs und Google-Diensten.
Pakete, die über HA VPN über Cloud Interconnect gesendet werden HA VPN über Cloud Interconnect verwendet eine Gateway-MTU von 1.440 Byte und kleinere Nutzlast-MTUs, je nach verwendeten Chiffren. Weitere Informationen finden Sie unter Überlegungen zur MTU in der Cloud VPN-Dokumentation.

Nächste Schritte