用于合作伙伴互连连接(也称为 interconnectAttachments
)的 VLAN 连接会在服务提供商的连接上分配 VLAN,从而通过服务提供商的网络将您的 Virtual Private Cloud (VPC) 网络与本地网络连接起来。
您可以创建未加密的 VLAN 连接或加密的 VLAN 连接。 未加密的 VLAN 连接支持仅 IPv4(单栈)或 IPv4 和 IPv6(双栈)。加密的 VLAN 连接用于通过 Cloud Interconnect 实现的高可用性 VPN 部署,并且仅支持 IPv4(单栈)。
您必须已与受支持的服务提供商建立连接,然后才能为合作伙伴互连创建 VLAN 连接。
无论您是否预先激活了连接,在服务提供商完成配置后,VLAN 连接都会开始计费。连接处于 PENDING_CUSTOMER
或 ACTIVE
状态即表示您的服务提供商配置了连接。当您或服务提供商删除连接时(即连接处于 DEFUNCT
状态时),计费即停止。
如需了解用于专用互连的 VLAN 连接,请参阅为专用互连创建 VLAN 连接。
如需了解本页面中使用的术语定义,请参阅 Cloud Interconnect 关键术语。
如需帮助解决使用合作伙伴互连时可能会遇到的常见问题,请参阅问题排查。
使用多个 VLAN 连接
对于 100 Gbps 连接,VLAN 连接支持高达 50 Gbps 或 6.25 M 数据包/秒 (pps) 的流量速度。吞吐量取决于您首先达到的限制。例如,如果您的流量使用非常小的数据包,则可能会在达到 50 Gbps 限制之前达到 6.25 M pps 限制。
如需在 VPC 网络中实现更高的吞吐量,您必须在 VPC 网络中配置多个 VLAN 连接。对于每个边界网关协议 (BGP) 会话,您应使用相同的 MED 值,以使流量在所有已配置的 VLAN 连接上使用等价多路径 (ECMP) 路由。
如果您有多个 VLAN 连接(包括不同项目中的连接),则可以将它们与来自同一服务提供商或不同服务提供商的合作伙伴互连连接配对。
创建未加密的 VLAN 连接
控制台
在 Google Cloud 控制台中,进入 Cloud Interconnect VLAN 连接标签页。
点击创建 VLAN 连接。
选择合作伙伴互连连接。
在对互连进行加密部分中,选择设置未加密的互连,然后点击继续。
选择我已经有服务提供方。
选择创建 VLAN 连接冗余对。冗余可提供比单一连接更高的可用性。两个连接都可处理流量,并且流量在它们之间进行负载均衡。如果一个连接中断(例如在计划性维护期间),则另一个连接会继续处理流量。如需了解详情,请参阅冗余和服务等级协议 (SLA)。
如果您出于测试目的创建连接,或者不需要高可用性,请选择创建单个 VLAN,以便仅创建一个 VLAN 连接。
对于网络和区域字段,选择将与您的连接相连的 VPC 网络和 Google Cloud 地区。
指定 VLAN 连接的详细信息:
Cloud Router:与此连接相关联的 Cloud Router 路由器。您只能在所选 VPC 网络和区域中选择 ASN 为
16550
的 Cloud Router 路由器。如果您现在还没有 Cloud Router 路由器,请使用 ASN16550
创建一个。每个 VLAN 连接可以与一个 Cloud Router 路由器关联。Google 会在 Cloud Router 路由器上自动添加接口和 BGP 对等端。VLAN 连接名称:连接的名称。此名称显示在 Google Cloud 控制台中,Google Cloud CLI 会使用此名称引用该连接,例如
my-attachment
。IP 栈类型:选择 IP 栈类型。IPv4(单栈)或 IPv4 和 IPv6(双栈)。
连接的最大传输单元 (MTU):如需利用 1460、1500 或 8896 字节的最大传输单元 (MTU),使用该连接的 VPC 网络必须将 MTU 设置为相同的值。此外,本地虚拟机 (VM) 实例和路由器也必须将其 MTU 设置为相同的值。如果您的网络使用默认 MTU
1460
,请选择1460
作为 VLAN 连接的 MTU。
若要创建连接,请点击创建。此操作需要几分钟时间才能完成。
创建完成后,复制配对密钥。请求与服务提供商连接时,您需要与他们共享这些密钥。
如果您要向服务提供商申请第 3 层连接,则可以通过选择启用来预先激活该连接。激活连接让您可以确认您连接的是预期的服务提供商。通过预先激活连接,您可以跳过激活步骤,并允许连接在服务提供商完成配置后立即开始传输流量。
要查看 VLAN 连接列表,请点击确定。
您可以选择更新 BGP 会话以使用 MD5 身份验证。
如果您具有第 2 层连接,请按照向现有会话添加身份验证中的步骤操作。如果您有第 3 层连接,请联系您的服务提供商以了解相关说明。
可选:您可以更新 BGP 会话以使用自定义已知路由。使用此功能时,Cloud Router 路由器的行为就像它从 BGP 对等方获知这些路由一样。如需了解详情,请参阅更新现有会话以使用自定义已知路由。
可选:Cloud Router 路由器的双向转发检测 (BFD) 可检测转发路径故障,例如链接关闭事件,从而实现更具弹性的混合网络。要将 BGP 会话更新为使用 BFD,请参阅配置 BFD。
gcloud
创建 VLAN 连接之前,在您想要通过本地网络连接到的网络以及区域中,您必须已有一个 Cloud Router 路由器。如果您还没有 Cloud Router 路由器,请创建一个。
该 Cloud Router 路由器的 BGP ASN 必须为 16550
。
创建类型为
PARTNER
的 VLAN 连接,指定 Cloud Router 路由器的名称以及 VLAN 连接的边缘可用性网域(都市圈可用区)。Google 会在 Cloud Router 路由器上自动添加接口和 BGP 对等端。连接会生成配对密钥,您将需要与服务提供商共享此密钥。您可以指定连接的 MTU。有效值包括
1440
(默认值)、1460
、1500
和8896
。如需指定1460
、1500
或8896
的 MTU,请使用--mtu
参数,例如--mtu 1500
。如需利用 1460、1500 或 8896 字节的 MTU,使用该连接的 VPC 网络必须设置相同的 MTU。此外,本地虚拟机和路由器也必须设置相同的 MTU。您可以指定 VLAN 连接的堆栈类型。默认栈类型为 IPv4。
以下示例在边缘可用性网域
availability-domain-1
中创建 VLAN 连接:gcloud compute interconnects attachments partner create ATTACHMENT_NAME \ --region=REGION \ --router=ROUTER_NAME \ --stack-type=STACK_TYPE \ --edge-availability-domain availability-domain-1
替换以下内容:
ATTACHMENT_NAME
:VLAN 连接的名称。REGION
:VLAN 连接的区域。ROUTER_NAME
:您的 Cloud Router 路由器的名称。STACK_TYPE
:VLAN 连接的堆栈类型。堆栈类型可以是以下类型之一:IPV4_ONLY
:选择仅 IPv4(单栈)。IPV4_IPV6
:选择 IPv4 和 IPv6(双栈)。
如果您要向服务提供商申请第 3 层连接,则可以通过选择
--admin-enabled
来预先激活该连接。激活连接让您可以确认您连接的是预期的服务提供商。通过预先激活连接,您可以跳过激活步骤,并允许连接在服务提供商完成配置后立即开始传输流量。gcloud compute interconnects attachments partner create ATTACHMENT_NAME \ --region=REGION \ --router=ROUTER_NAME \ --stack-type=STACK_TYPE \ --edge-availability-domain availability-domain-1 \ --admin-enabled
ATTACHMENT_NAME
:VLAN 连接的名称。REGION
:VLAN 连接的区域。ROUTER_NAME
:您的 Cloud Router 路由器的名称。STACK_TYPE
:VLAN 连接的堆栈类型。堆栈类型可以是以下类型之一:IPV4_ONLY
:选择仅 IPv4(单栈)。IPV4_IPV6
:选择 IPv4 和 IPv6(双栈)。
描述连接,以检索其配对密钥;在请求与服务提供商连接时,您将需要将此密钥与他们共享:
gcloud compute interconnects attachments describe ATTACHMENT_NAME \ --region=REGION
对于 IPv4 VLAN 连接,输出类似于以下内容:
adminEnabled: false edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1 creationTimestamp: '2017-12-01T08:29:09.886-08:00' id: '7976913826166357434' kind: compute#interconnectAttachment labelFingerprint: 42WmSpB8rSM= name: ATTACHMENT_NAME pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/REGION/1 region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/ROUTER_NAME selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME stackType: IPV4_ONLY state: PENDING_PARTNER type: PARTNER
对于 IPv4 和 IPv6(双栈)VLAN 连接,输出类似于以下内容:
bandwidth: BPS_1G cloudRouterIpAddress: 169.254.67.201/29 cloudRouterIpv6Address: 2600:2d00:0:1::1/125 creationTimestamp: '2017-12-01T08:31:11.580-08:00' customerRouterIpAddress: 169.254.67.202/29 customerRouterIpv6Address: 2600:2d00:0:1::2/125 description: Interconnect for Customer 1 id: '7193021941765913888' interconnect: https://www.googleapis.com/compute/alpha/projects/partner-project/global/interconnects/lga-2 kind: compute#interconnectAttachment labelFingerprint: 42WmSpB8rSM= name: partner-attachment partnerMetadata: interconnectName: New York (2) partnerName: Partner Inc portalUrl: https://partner-portal.com region: https://www.googleapis.com/compute/alpha/projects/partner-project/regions/REGION selfLink: https://www.googleapis.com/compute/alpha/projects/partner-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME stackType: IPV4_IPV6 state: ACTIVE type: PARTNER vlanTag8021q: 1000
pairingKey
字段包含您需要与服务提供商共享的配对密钥。在配置您的 VLAN 连接之前,应将配对密钥视为敏感信息。在您请求与服务提供商建立连接并且他们完成 VLAN 连接配置之前,VLAN 连接的状态为
PENDING_PARTNER
。配置完成后,连接状态会更改为ACTIVE
或PENDING_CUSTOMER
。
可选:您可以更新 BGP 会话以使用自定义已知路由。使用此功能时,Cloud Router 路由器的行为就像它从 BGP 对等方获知这些路由一样。如需了解详情,请参阅更新现有会话以使用自定义已知路由。
可选:您可以更新 BGP 会话以使用 MD5 身份验证。如果您具有第 2 层连接,请按照向现有会话添加身份验证中的步骤操作。如果您有第 3 层连接,请联系您的服务提供商以了解相关说明。
可选:Cloud Router 路由器的双向转发检测 (BFD) 可检测转发路径故障,例如链接关闭事件,从而实现更具弹性的混合网络。如需将 BGP 会话更新为使用 BFD,请参阅为 Cloud Router 路由器配置 BFD。
如果您使用重复 VLAN 连接构建冗余,请为第二个连接重复上述步骤。使用相同的 Cloud Router 路由器,但指定不同的边缘可用性网域。此外,当您向服务提供商请求连接时,您必须为两个连接选择相同的都市区域(城市),这样才能实现冗余。如需了解详情,请参阅冗余和 SLA。
创建加密的 VLAN 连接
加密的 VLAN 连接不支持 IPv4 和 IPv6(双栈)。尝试创建加密的双栈连接会无法创建连接。
控制台
在 Google Cloud 控制台中,进入 Cloud Interconnect VLAN 连接标签页。
点击创建 VLAN 连接。
选择合作伙伴互连连接。
在对互连进行加密部分中,选择通过互连设置高可用性 VPN,然后点击继续。
选择我已经有服务提供方。
在创建 VLAN 连接页面上,选择一个 VPC 网络。
在加密的互连路由器字段中,选择要与两个加密的 VLAN 连接关联的 Cloud Router 路由器。Cloud Router 路由器必须位于您要连接的 VPC 网络中。此外,您指定的 Cloud Router 路由器只能与加密的 VLAN 连接搭配使用。此路由器仅通告高可用性 VPN 和对等 VPN 隧道接口的路由。
如果您还没有一个现成的 Cloud Router 路由器可专门用于加密的 Cloud Interconnect 互连,请执行以下操作:
- 选择创建新路由器。
- 指定一个与 Dataplane v2 兼容的区域。如需查看对于您的服务提供商,有哪些与 Dataplane v2 兼容的区域,请参阅按地理区域划分的服务提供商列表。
- 对于 BGP AS 编号,请使用
16550
。
配置两个 VLAN 连接。对于 VLAN 连接 1 和 VLAN 连接 2,请配置以下字段:
- 名称:连接的名称。此名称显示在 Google Cloud 控制台中,Google Cloud CLI 会使用此名称引用该连接,例如
attachment-a-zone1
或attachment-a-zone2
。 - 说明:输入说明(可选)。
- 名称:连接的名称。此名称显示在 Google Cloud 控制台中,Google Cloud CLI 会使用此名称引用该连接,例如
如需为 BGP 会话配置 VLAN ID 或特定 IP 地址范围,请点击 VLAN ID、BGP IP。
- 如要指定 VLAN ID,请在 VLAN ID 部分中选择自定义。
- 如要为 BGP 会话指定 IP 地址范围,请在分配 BGP IP 地址部分中选择手动。
如果您未指定 VLAN ID 或未手动分配 BGP IP 地址,Google Cloud 会自动为您分配这些值。
在容量字段中,为每个 VLAN 连接选择带宽上限。您为 VLAN 连接 1 选择的值会自动应用于 VLAN 连接 2。如果您未选择值,则 Cloud Interconnect 会使用 10 Gbps。您选择的容量决定了您需要部署的高可用性 VPN 隧道的数量。
在 VPN 网关 IP 地址下,选择要用于高可用性 VPN 网关接口的 IP 地址类型。
- 如果您选择内部区域 IP 地址,请点击添加新的 IP 地址范围,然后输入名称和 IP 范围。对于 IP 范围,请指定前缀长度介于
26
和29
之间的区域内部 IPv4 范围。前缀长度决定了 VPN 网关接口可用的 IP 地址数量,并且前缀长度必须基于连接容量来指定。如需了解详情,请参阅将内部 IP 地址范围分配给高可用性 VPN 网关。 - 如果您选择外部区域 IP 地址,Cloud Interconnect 会自动将区域外部 IP 地址分配给您在 VLAN 连接上创建的高可用性 VPN 隧道接口。
两个 VLAN 连接必须使用同一类型的地址(内部或外部)作为其 VPN 网关 IP 地址。
- 如果您选择内部区域 IP 地址,请点击添加新的 IP 地址范围,然后输入名称和 IP 范围。对于 IP 范围,请指定前缀长度介于
配置完两个 VLAN 连接后,点击创建。连接需要一些时间才能完成创建。
创建完成后,复制配对密钥。请求与服务提供商连接时,您需要与他们共享这些密钥。
如果您要向服务提供商申请第 3 层连接,则可以通过选择启用来预先激活该连接。激活连接让您可以确认您连接的是预期的服务提供商。通过预先激活连接,您可以跳过激活步骤,并允许连接在服务提供商完成配置后立即开始传输流量。
要查看 VLAN 连接列表,请点击确定。
在您请求与服务提供商建立连接并且他们完成 VLAN 连接配置之前,VLAN 连接的状态为
PENDING_PARTNER
。配置完成后,连接状态会更改为ACTIVE
或PENDING_CUSTOMER
。如需激活 VLAN 连接,请参阅激活连接。
可选:您可以更新 BGP 会话以使用自定义已知路由。使用此功能时,Cloud Router 路由器的行为就像它从 BGP 对等方获知这些路由一样。如需了解详情,请参阅更新现有会话以使用自定义已知路由。
可选:您可以更新 BGP 会话以使用 MD5 身份验证。如果您具有第 2 层连接,请按照向现有会话添加身份验证中的步骤操作。如果您有第 3 层连接,请联系您的服务提供商以了解相关说明。
请勿启用双向转发检测 (BFD)。在 Cloud Interconnect 级层启用 BFD 后,并不能加快对高可用性 VPN 隧道流量的故障检测。
在两个 VLAN 连接都处于活跃状态后,您可以为 VLAN 连接配置高可用性 VPN,从而完成通过 Cloud Interconnect 实现的高可用性 VPN 的部署过程。
gcloud
在您要从本地网络访问的网络和区域中,为 Cloud Interconnect 互连创建加密的 Cloud Router 路由器。指定
--encrypted-interconnect-router
标志以指示此路由器将用在通过 Cloud Interconnect 实现的高可用性 VPN 部署中。该 Cloud Router 路由器的 BGP ASN 必须为
16550
。以下示例会创建路由器 ASN
16550
:gcloud compute routers create ROUTER_NAME \ --region=REGION \ --network=NETWORK_NAME \ --asn 16550 \ --encrypted-interconnect-router
将
NETWORK_NAME
替换为您的网络名称。可选:预留前缀长度介于
26
和29
之间的区域内部 IPv4 范围。前缀长度决定了 VPN 网关接口可用的 IP 地址数量。您需要预留的地址数量则取决于关联 VLAN 连接的容量。例如,如需为具有 10G 容量的第一个 VLAN 连接预留范围,请运行以下代码:
gcloud compute addresses create ip-range-1 \ --region=REGION \ --addresses=192.168.1.0 \ --prefix-length=29 \ --network=NETWORK_NAME \ --purpose=IPSEC_INTERCONNECT
如需为第二个 VLAN 连接预留地址范围,请运行以下代码:
gcloud compute addresses create ip-range-2 \ --region=REGION \ --addresses=192.168.2.0 \ --prefix-length=29 \ --network=NETWORK_NAME \ --purpose=IPSEC_INTERCONNECT
如需详细了解如何预留区域内部地址,请参阅将内部 IP 地址范围分配给高可用性 VPN 网关。
创建类型为
PARTNER
的第一个加密 VLAN 连接,并指定加密的 Cloud Router 路由器的名称以及 VLAN 连接的边缘可用性网域(都市圈可用区)。Google 会在 Cloud Router 路由器上自动添加接口和 BGP 对等端。连接会生成配对密钥,您将需要与服务提供商共享此密钥。以下示例会为边缘可用性网域
availability-domain-1
创建加密连接。该命令还指定了区域级内部 IP 地址范围ip-range-1
,用于在此连接上创建的所有高可用性 VPN 网关接口。gcloud compute interconnects attachments partner create ATTACHMENT_NAME_1 \ --region=REGION \ --router=ROUTER_NAME \ --edge-availability-domain availability-domain-1 \ --encryption IPSEC \ --ipsec-internal-addresses ip-range-1
如果要为连接上的高可用性 VPN 网关接口使用区域外部 IP 地址,请省略
--ipsec-internal-addresses
标志。系统会自动为所有高可用性 VPN 网关接口分配区域外部 IPv4 地址。gcloud compute interconnects attachments partner create ATTACHMENT_NAME_1 \ --region=REGION \ --router=ROUTER_NAME \ --edge-availability-domain availability-domain-1 \ --encryption IPSEC
如果您要向服务提供商申请第 3 层连接,则可以通过选择
--admin-enabled
来预先激活该连接。激活连接让您可以确认您连接的是预期的服务提供商。通过预先激活连接,您可以跳过激活步骤,并允许连接在服务提供商完成配置后立即开始传输流量。您无法为加密的 VLAN 连接设置自定义 MTU (
--mtu
)。所有加密的 VLAN 连接都必须使用 1440 字节的 MTU,这是默认值。创建第二个加密的 VLAN 连接,指定第二个 Cloud Interconnect 连接以及用于该 Cloud Interconnect 互连的 Cloud Router 路由器的名称。
以下示例会为边缘可用性网域
availability-domain-2
创建加密连接。该命令还指定了区域级内部 IP 地址范围ip-range-2
,用于在此连接上创建的所有高可用性 VPN 网关接口。gcloud compute interconnects attachments partner create ATTACHMENT_NAME_2 \ --region=REGION \ --router=ROUTER_NAME \ --edge-availability-domain availability-domain-2 \ --encryption IPSEC \ --ipsec-internal-addresses ip-range-2
在创建第二个 VLAN 连接时,您指定的地址方案必须与在创建第一个连接时使用的类型相同,即内部或外部。每个 VLAN 连接必须分配不同的内部地址范围;并且每个连接只能指定一个 IP 范围。
描述连接以检索其配对密钥;请求连接时,您需要与服务提供商共享这些密钥:
对于第一个 VLAN 连接,请运行以下命令:
gcloud compute interconnects attachments describe ATTACHMENT_NAME_1 \ --region=REGION
输出类似于以下内容:
adminEnabled: false creationTimestamp: '2021-12-01T08:29:09.886-08:00' edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1 encryption: IPSEC id: '7976913826166357434' kind: compute#interconnectAttachment name: ATTACHMENT_NAME_1 pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/REGION/1 region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/interconnect-router selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME_1 stackType: IPV4_ONLY state: PENDING_PARTNER type: PARTNER
对于第二个 VLAN 连接,请运行以下命令:
gcloud compute interconnects attachments describe ATTACHMENT_NAME_2 \ --region=REGION
输出类似于以下内容:
adminEnabled: false creationTimestamp: '2021-12-01T08:29:09.886-08:00' edgeAvailabilityDomain: AVAILABILITY_DOMAIN_2 encryption: IPSEC id: '7976913826166334235' kind: compute#interconnectAttachment name: ATTACHMENT_NAME_2 pairingKey: 9f5fg371e-72a3-40b5-b844-2e3efefaee59/REGION/2 region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/interconnect-router selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME_2 stackType: IPV4_ONLY state: PENDING_PARTNER type: PARTNER
pairingKey
字段包含您需要与服务提供商共享的配对密钥。在完成 VLAN 连接的配置之前,应将配对密钥视为敏感信息。在您请求与服务提供商建立连接并且他们完成 VLAN 连接配置之前,VLAN 连接的状态为
PENDING_PARTNER
。配置完成后,连接状态会更改为ACTIVE
或PENDING_CUSTOMER
。如需激活 VLAN 连接,请参阅激活连接。
可选:您可以更新 BGP 会话以使用自定义已知路由。使用此功能时,Cloud Router 路由器的行为就像它从 BGP 对等方获知自定义已知路由一样。如需了解详情,请参阅更新现有会话以使用自定义已知路由。
可选:您可以更新 BGP 会话以使用 MD5 身份验证。如果您具有第 2 层连接,请按照向现有会话添加身份验证中的步骤操作。如果您有第 3 层连接,请联系您的服务提供商以了解相关说明。
请勿启用双向转发检测 (BFD)。在 Cloud Interconnect 级层启用 BFD 后,并不能加快对高可用性 VPN 隧道流量的故障检测。
在两个 VLAN 连接都处于活跃状态后,您可以为 VLAN 连接配置高可用性 VPN,从而完成通过 Cloud Interconnect 实现的高可用性 VPN 的部署过程。
限制合作伙伴互连用量
默认情况下,任何 VPC 网络都可以使用 Cloud Interconnect。如需控制哪些 VPC 网络可以使用 Cloud Interconnect,您可以设置组织政策。如需了解详情,请参阅限制 Cloud Interconnect 用量。后续步骤
- 如需修改 VLAN 连接,请参阅修改 VLAN 连接。
- 如需为专用互连配置本地路由器,请参阅配置本地路由器。
- 如需检查连接是否正在使用 Dataplane v2,请参阅查看 VLAN 连接。