Cloud Interconnect 概览

Cloud Interconnect 提供低延迟、高可用性的连接,使您能够在 Google Cloud Virtual Private Cloud (VPC) 网络和其他网络之间可靠地传输数据。此外,Cloud Interconnect 连接提供内部 IP 地址通信,这意味着可以直接从这两个网络访问内部 IP 地址。

Cloud Interconnect 提供以下方式,用于扩展网络以包含 Google Cloud:

  • 专用互连在您的本地网络和 Google 网络之间提供直接物理连接。
  • 合作伙伴互连通过支持的服务提供商在本地网络和 VPC 网络之间提供连接。
  • Cross-Cloud Interconnect 在其他云的网络和 Google 网络之间提供直接物理连接。

如需进行比较以帮助您在专用互连和合作伙伴互连之间进行选择,请参阅选择 Network Connectivity 产品中的“Cloud Interconnect”部分。

如需了解本页面中使用的术语定义,请参阅 Cloud Interconnect 关键术语

优势

使用 Cloud Interconnect 可提供以下优势:

  • 外部网络和 VPC 网络之间的流量不通过公共互联网。流量通过专用连接,或者通过拥有专用连接的服务提供商。通过绕过公共互联网,您的流量经过的跃点更少,因而可能导致流量丢失或中断的故障点也更少。

  • 您可以直接从本地网络访问您的 VPC 网络的内部 IP 地址。您不需要使用 NAT 设备或 VPN 隧道即可到达内部 IP 地址。如需了解详情,请参阅 IP 寻址和动态路由

  • 您可以扩缩连接容量以满足您的特定需求。

    对于专用互连,连接容量通过一个或多个 10 Gbps 或 100 Gbps 以太网连接提供,每个 Cloud Interconnect 连接最多可支持以下容量:

    • 8 x 10-Gbps 连接(总共 80 Gbps)
    • 2 x 100-Gbps 连接(总共 200 Gbps)

    对于合作伙伴互连,每个 VLAN 连接都支持以下连接容量:

    • 从 50-Mbps 到 50-Gbps 不等的 VLAN 连接。支持的最大连接大小为 50 Gbps,但并非所有大小都可用,具体取决于所选合作伙伴在所选位置提供的连接大小。
  • 您可以在所有对接网点中列出的任何位置请求 100-Gbps 连接。

  • 专用互连、合作伙伴互连、直接对等互连运营商对等互连都可以帮您优化 VPC 网络的出站流量,并降低出站费用。Cloud VPN 本身并不能降低出站流量费用。

  • 您可以将 Cloud Interconnect 与适用于本地主机的专用 Google 访问通道搭配使用,以便本地主机可以使用内部 IP 地址而非外部 IP 地址访问 Google API 和服务。如需了解详情,请参阅 VPC 文档中的服务的专用访问选项

  • 您可以部署通过 Cloud Interconnect 实现的高可用性 VPN,将 IPsec 加密应用于 Cloud Interconnect 流量。

注意事项

单独使用 Cloud VPN

如果您不需要完整的 Cloud Interconnect 连接,可以单独使用 Cloud VPN 在您的网络之间建立 IPsec VPN 隧道。IPsec VPN 隧道使用业界标准 IPsec 协议来加密数据。加密流量会遍历公共互联网。

Cloud VPN 要求您在本地网络中配置对等 VPN 网关。

IP 寻址、IPv6 和动态路由

将 VPC 网络连接到本地网络时,您就相当于允许本地网络的 IP 地址空间与您的 VPC 网络中的部分或全部子网之间的通信。具体可用的 VPC 子网取决于您的 VPC 网络的动态路由模式VPC 网络中的子网 IP 范围始终是内部 IP 地址。

您可以在启用了 IPv6 的 VPC 网络与本地网络之间启用 IPv6 流量交换。如需了解详情,请参阅专用互连的 IPv6 支持合作伙伴互连的 IPv6 支持

本地网络与 VPC 网络上的 IP 地址空间不能存在重叠之处,否则就无法正确路由网络流量。如有重叠的地址,应将其从任一网络中移除。

您的本地路由器与 VPC 网络中的 Cloud Router 路由器共享本地网络的路由。此操作会在您的 VPC 网络中创建自定义动态路由,每个路由的下一个跃点均设置为相应的 VLAN 连接。

除非您通过自定义通告做出修改,否则 VPC 网络中的 Cloud Router 路由器将根据您的 VPC 网络的动态路由模式与本地路由器共享 VPC 网络子网 IP 地址范围。

以下配置要求您在 Cloud Router 路由器上创建自定义路由通告,以使用 Cloud Interconnect 连接将来自本地网络的流量定向到某些内部 IP 地址:

Cloud Interconnect 作为数据转移网络

在使用 Cloud Interconnect 之前,请仔细阅读 Google Cloud 的通用服务条款的第 2 部分

利用 Network Connectivity Center,您可以使用 VLAN 连接将本地网络连接在一起,从而以数据转移网络形式在它们之间传递流量。您可以通过将“VLAN 连接”连接到每个本地位置的 Network Connectivity Center Spoke 来连接网络。然后将每个 Spoke 连接到一个 Network Connectivity Center 中心。

如需详细了解 Network Connectivity Center,请参阅 Network Connectivity Center 概览

加密 Cloud Interconnect 流量

默认情况下,Cloud Interconnect 不会加密流量。您可以将 MACsec 用于 Cloud Interconnect,以帮助保护支持的专用互连线路上本地路由器与 Google 边缘路由器之间的流量。如需了解详情,请参阅 Cloud Interconnect 的 MACsec 概览

如果您需要加密 VLAN 连接传输的流量,则还可以部署通过 Cloud Interconnect 实现的高可用性 VPN。专用互连和合作伙伴互连都支持通过 Cloud Interconnect 实现的高可用性 VPN。您可能需要加密 Cloud Interconnect 流量以满足某些法规或安全要求。如需了解详情,请参阅通过 Cloud Interconnect 实现的高可用性 VPN 概览

限制 Cloud Interconnect 用量

默认情况下,任何 VPC 网络都可以使用 Cloud Interconnect。如需控制哪些 VPC 网络可以使用 Cloud Interconnect,您可以设置组织政策。如需了解详情,请参阅限制 Cloud Interconnect 用量

Cloud Interconnect MTU

Cloud Interconnect VLAN 连接支持以下四种 MTU 大小:

  • 1440 个字节
  • 1460 个字节
  • 1500 字节
  • 8,896 字节

Google 建议您对连接到同一 VPC 网络的所有 VLAN 连接使用相同的 MTU,并且将 VPC 网络的 MTU 设置为相同的值。虽然这是推荐做法,但并不强制要求 VLAN 连接 MTU 与 VPC 网络 MTU 匹配。如果您有如下行为,则可能会遇到丢包情况,尤其是对于 TCP 以外的协议:

  • 对连接到同一 VPC 网络的 VLAN 连接使用不同的 VLAN 连接 MTU。
  • 将 VLAN 连接 MTU 配置为小于包含 VLAN 连接的 VPC 网络的 MTU。

如需了解有关协议如何处理不匹配的 MTU 的一般信息,请参阅 VPC MTU 文档中的不匹配的 MTU、“MSS 固定”、路径 MTU 发现

通过 VLAN 连接发送的数据包的处理方式如下:

情况 行为
TCP SYN 和 SYN-ACK 数据包 Google Cloud 会执行 MSS 钳制 (clamping),即更改 MSS,以使数据包大小不超过 VLAN 连接 MTU。例如,如果 VLAN 连接 MTU 为 1,500 字节,则 MSS 钳制会使用 1,460 字节的最大报文大小。
IP 数据包大小不超过 VLAN 连接的 MTU 除了第一行中讨论的 SYN 和 SYN-ACK 数据包之外,Google Cloud 不会更改其他数据包。
针对 IP 数据包的 MTU 检查
  • Google Cloud 资源通过 VLAN 连接发送的数据包的 MTU 会受 VLAN 连接 MTU 限制。例如,当虚拟机实例将数据包发送到下一个跃点是 VLAN 连接的动态路由可以访问的目标位置时,超出 VLAN 连接 MTU 的数据包会被丢弃:
    • 当不分片 (DF) 位开启以及 DF 位关闭时,Google Cloud 都会丢弃数据包,并发送“Fragmentation Needed”(需要进行分片)(ICMP over IPv4) 或“Packet Too Big”(数据包过大)(ICMPv6) 消息。
    • 您必须配置“允许入站流量”VPC 防火墙规则防火墙策略中的规则,以便允许使用来自与原始数据包目标位置相匹配的源位置的 ICMP(适用于 IPv4)或 ICMPv6(适用于 IPv6)。
    • 内部直通式网络负载均衡器和内部协议转发的转发规则必须使用 L3_DEFAULT 协议,以便它们处理适用于路径 MTU 发现 (PMTUD) 的 ICMP 以及原始数据包所使用的协议。
  • Cloud Interconnect 不会对从本地网络接收的数据包强制执行 VLAN 连接 MTU。Google Cloud 会对接收数据包的 Google Cloud 资源强制执行 MTU:
    • 如果接收数据包的资源是虚拟机实例,则 Google Cloud 会强制执行接收方虚拟机的网络接口使用的 VPC 网络 MTU,就像接收方虚拟机接收在 VPC 网络内路由的数据包一样。
    • 通过 VLAN 连接从本地发送到 Google API 和服务的数据包的处理方式与从虚拟机实例发送到 Google API 和服务的数据包相同。如需了解详情,请参阅与 Google API 和服务的通信
数据包通过 HA VPN over Cloud Interconnect 发送 HA VPN over Cloud Interconnect 使用 1,440 字节的网关 MTU 和较小的载荷 MTU,具体取决于所使用的加密方式。如需了解详情,请参阅 Cloud VPN 文档中的 MTU 注意事项

支持 GRE 流量

Cloud Interconnect 支持 GRE 流量。对 GRE 的支持让您可以从互联网(外部 IP 地址)和 Cloud VPN 或 Cloud Interconnect(内部 IP 地址)终止虚拟机上的 GRE 流量。然后,解封的流量将被转发到可达目标。GRE 可让您使用安全访问服务边缘 (SASE) 和 SD-WAN 等服务。您必须创建防火墙规则才能允许 GRE 流量。

直观呈现和监控 Cloud Interconnect 连接及 VLAN 连接

网络拓扑是一种可视化工具,可显示 VPC 网络的拓扑、与本地网络的混合连接以及相关指标。您可以在网络拓扑视图中将 Cloud Interconnect 连接和 VLAN 连接作为实体查看。

基础实体是特定层次结构的最低级层,表示可以通过网络直接与其他资源进行通信的资源。 网络拓扑会将基础实体聚合到可以展开或折叠的分层实体中。首次查看网络拓扑图时,它会将所有基础实体聚合到其顶级层次结构中。

例如,网络拓扑会将 VLAN 连接聚合到 Cloud Interconnect 连接,您可以通过展开或折叠表示 Cloud Interconnect 连接的图标来查看层次结构。

如需了解详情,请参阅网络拓扑概览

常见问题解答

如需 Cloud Interconnect 架构和功能的常见问题解答,请参阅 Cloud Interconnect 常见问题解答

后续步骤