创建 VLAN 连接

用于合作伙伴互连连接(也称为 interconnectAttachments)的 VLAN 连接会在服务提供商的连接上分配 VLAN,从而通过服务提供商的网络将您的 Virtual Private Cloud (VPC) 网络与本地网络连接起来。

您必须已与受支持的服务提供商建立连接,然后才能为合作伙伴互连创建 VLAN 连接。

无论您是否预先激活了连接,在服务提供商完成配置后,VLAN 连接都会开始计费。连接处于 PENDING_CUSTOMERACTIVE 状态即表示您的服务提供商配置了连接。当您或服务提供商删除连接时(即连接处于 DEFUNCT 状态时),计费即停止。

如需了解用于专用互连的 VLAN 连接,请参阅为专用互连创建 VLAN 连接

如需了解本页面中使用的术语定义,请参阅 Cloud Interconnect 关键术语

如需帮助解决使用合作伙伴互连时可能会遇到的常见问题,请参阅问题排查

使用多个 VLAN 连接

对于 100 Gbps 连接,VLAN 连接支持高达 50 Gbps 或 6.25 M 数据包/秒 (pps) 的流量速度。吞吐量取决于您首先达到的限制。例如,如果您的流量使用非常小的数据包,则可能会在达到 50 Gbps 限制之前达到 6.25 M pps 限制。

如需在 VPC 网络中实现更高的吞吐量,您必须在 VPC 网络中配置多个 VLAN 连接。对于每个边界网关协议 (BGP) 会话,您应使用相同的 MED 值,以使流量在所有已配置的 VLAN 连接上使用等价多路径 (ECMP) 路由。

如果您有多个 VLAN 连接(包括不同项目中的连接),则可以将它们与来自同一服务提供商或不同服务提供商的合作伙伴互连连接配对。

创建未加密的 VLAN 连接

控制台

  1. 在 Google Cloud Console 中,进入 Cloud Interconnect VLAN 连接标签页。

    转到 VLAN 连接

  2. 点击创建 VLAN 连接

  3. 选择合作伙伴互连连接

  4. 对互连进行加密部分中,选择设置未加密的互连,然后点击继续

  5. 选择我已经有服务提供方

  6. 选择创建 VLAN 连接冗余对。冗余可提供比单一连接更高的可用性。两个连接都可处理流量,并且流量在它们之间进行负载平衡。如果一个连接发生故障(例如在计划性维护期间),则另一个连接会继续处理流量。如需了解详情,请参阅冗余和 SLA

    如果您出于测试目的创建连接,或者不需要高可用性,请选择创建单个 VLAN,以便仅创建一个 VLAN 连接。

  7. 对于网络区域字段,选择将与您的连接相连的 VPC 网络和 Google Cloud 地区。

  8. 指定 VLAN 连接的详细信息:

    • Cloud Router:与此连接相关联的 Cloud Router 路由器。您只能在所选 VPC 网络和区域中选择 ASN 为 16550 的 Cloud Router 路由器。如果您现在还没有 Cloud Router 路由器,请使用 ASN 16550 创建一个。每个 VLAN 连接可以与一个 Cloud Router 路由器关联。Google 会在 Cloud Router 路由器上自动添加接口和 BGP 对等端。
    • VLAN 连接名称:连接的名称。此名称显示在 Google Cloud 控制台中,Google Cloud CLI 会使用此名称引用该连接,例如 my-attachment
    • 连接的最大传输单元 (MTU):如需使用 1460 或 1500 字节 MTU,使用该连接的 VPC 网络必须将 MTU 设置为相同的值。此外,本地虚拟机和路由器也必须将其 MTU 设置为相同值。如果您的网络使用 1460 的默认 MTU,请选择 1460 作为 VLAN 连接 MTU。

  9. 若要创建连接,请点击创建。此操作需要几分钟时间才能完成。

  10. 创建完成后,复制配对密钥。请求与服务提供商连接时,您需要与他们共享这些密钥。

    如果您要向服务提供商申请第 3 层连接,则可以通过选择启用预先激活该连接。激活连接让您可以确认您连接的是预期的服务提供商。通过预先激活连接,您可以跳过激活步骤,并允许连接在服务提供商完成配置后立即开始传输流量。

  11. 要查看 VLAN 连接列表,请点击确定

您可以选择更新 BGP 会话以使用 MD5 身份验证

如果您具有第 2 层连接,请按照向现有会话添加身份验证中的步骤操作。如果您有第 3 层连接,请联系您的服务提供商以了解相关说明。

可选:您可以更新 BGP 会话以使用自定义已知路由。使用此功能时,Cloud Router 路由器的行为就像它从 BGP 对等方获知这些路由一样。如需了解详情,请参阅更新现有会话以使用自定义已知路由。此功能处于预览版阶段。

可选:Cloud Router 路由器的双向转发检测 (BFD) 可检测转发路径故障,例如链接关闭事件,从而实现更具弹性的混合网络。要将 BGP 会话更新为使用 BFD,请参阅配置 BFD

gcloud

创建 VLAN 连接之前,在您想要通过本地网络连接到的网络以及区域中,您必须已有一个 Cloud Router 路由器。如果您还没有 Cloud Router 路由器,请创建一个。 该 Cloud Router 路由器的 BGP ASN 必须为 16550

  1. 创建类型为 PARTNER 的 VLAN 连接,指定 Cloud Router 路由器的名称以及 VLAN 连接的边缘可用性网域(都市圈可用区)。Google 会在 Cloud Router 路由器上自动添加接口和 BGP 对等端。 连接会生成配对密钥,您将需要与服务提供商共享此密钥。

    您可以指定连接的 MTU。有效值为 1440(默认)、14601500。如需指定 14601500 的 MTU,请使用 --mtu 参数(例如 --mtu 1500)。如需使用 1460 或 1500 字节 MTU,使用该连接的 VPC 网络必须设置相同的 MTU。此外,本地虚拟机和路由器必须设置相同的 MTU。

    以下示例在边缘可用性网域 availability-domain-1 中创建 VLAN 连接,并将其与位于 us-central1 区域中的 Cloud Router 路由器 my-router 相关联:

    gcloud compute interconnects attachments partner create my-attachment \
    --region us-central1 \
    --router my-router \
    --edge-availability-domain availability-domain-1

    如果您要向服务提供商申请第 3 层连接,则可以通过选择 --admin-enabled预先激活该连接。激活连接让您可以确认您连接的是预期的服务提供商。通过预先激活连接,您可以跳过激活步骤,并允许连接在服务提供商完成配置后立即开始传输流量。

    gcloud compute interconnects attachments partner create my-attachment \
    --region us-central1 \
    --router my-router \
    --edge-availability-domain availability-domain-1 \
    --admin-enabled

  2. 描述连接,以检索其配对密钥;在请求与服务提供商连接时,您将需要将此密钥与他们共享:

    gcloud compute interconnects attachments describe my-attachment \
    --region us-central1

    输出:

    adminEnabled: false
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
creationTimestamp: '2017-12-01T08:29:09.886-08:00'
id: '7976913826166357434'
kind: compute#interconnectAttachment
labelFingerprint: 42WmSpB8rSM=
name: my-attachment
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment
state: PENDING_PARTNER
type: PARTNER

    pairingKey 字段包含您需要与服务提供商共享的配对密钥。在配置您的 VLAN 连接之前,应将配对密钥视为敏感信息。

    在您请求与服务提供商建立连接并且他们完成 VLAN 连接配置之前,VLAN 连接的状态为 PENDING_PARTNER。配置完成后,连接状态会更改为 ACTIVEPENDING_CUSTOMER

可选:您可以更新 BGP 会话以使用自定义已知路由。使用此功能时,Cloud Router 路由器的行为就像它从 BGP 对等方获知这些路由一样。如需了解详情,请参阅更新现有会话以使用自定义已知路由。此功能处于预览版阶段。

可选:您可以更新 BGP 会话以使用 MD5 身份验证。如果您具有第 2 层连接,请按照向现有会话添加身份验证中的步骤操作。如果您有第 3 层连接,请联系您的服务提供商以了解相关说明。

可选:Cloud Router 路由器的双向转发检测 (BFD) 可检测转发路径故障,例如链接关闭事件,从而实现更具弹性的混合网络。如需将 BGP 会话更新为使用 BFD,请参阅为 Cloud Router 路由器配置 BFD

如果您使用重复 VLAN 连接构建冗余,请为第二个连接重复上述步骤。使用相同的 Cloud Router 路由器,但指定不同的边缘可用性网域。此外,当您向服务提供商请求连接时,您必须为两个连接选择相同的都市区域(城市),这样才能实现冗余。如需了解详情,请参阅冗余和 SLA

创建加密的 VLAN 连接

控制台

  1. 在 Google Cloud Console 中,进入 Cloud Interconnect VLAN 连接标签页。

    转到 VLAN 连接

  2. 点击创建 VLAN 连接

  3. 选择合作伙伴互连连接

  4. 对互连进行加密部分中,选择通过互连设置高可用性 VPN,然后点击继续

  5. 选择我已经有服务提供方

  6. 创建 VLAN 连接页面上,选择一个 VPC 网络

  7. 加密的互连路由器字段中,选择要与两个加密的 VLAN 连接关联的 Cloud Router 路由器。Cloud Router 路由器必须位于您要连接的 VPC 网络中。此外,您指定的 Cloud Router 路由器只能与加密的 VLAN 连接搭配使用。此路由器仅通告高可用性 VPN 和对等 VPN 隧道接口的路由。

    如果您还没有一个现成的 Cloud Router 路由器可专门用于加密的 Cloud Interconnect 互连,请执行以下操作:

    1. 选择创建新路由器
    2. 指定一个与 Dataplane v2 兼容的区域。如需查看对于您的服务提供商,有哪些与 Dataplane v2 兼容的区域,请参阅按地理区域划分的服务提供商列表。
    3. 对于 BGP AS 编号,请使用 16550

  8. 配置两个 VLAN 连接。对于 VLAN 连接 1VLAN 连接 2,请配置以下字段:

    • 名称:连接的名称。此名称显示在 Google Cloud 控制台中,Google Cloud CLI 会使用此名称引用该连接,例如 attachment-a-zone1attachment-a-zone2
    • 说明:输入说明(可选)。

  9. 如需为 BGP 会话配置 VLAN ID 或特定 IP 地址范围,请点击 VLAN ID、BGP IP

    • 如要指定 VLAN ID,请在 VLAN ID 部分中选择自定义
    • 如要为 BGP 会话指定 IP 地址范围,请在分配 BGP IP 地址部分中选择手动

    如果您未指定 VLAN ID 或未手动分配 BGP IP 地址,Google Cloud 会自动为您分配这些值。

  10. 容量字段中,为每个 VLAN 连接选择带宽上限。您为 VLAN 连接 1 选择的值会自动应用于 VLAN 连接 2。如果您未选择值,则 Cloud Interconnect 会使用 10 Gbps。您选择的容量决定了您需要部署的高可用性 VPN 隧道的数量。

  11. VPN 网关 IP 地址下,选择要用于高可用性 VPN 网关接口的 IP 地址类型。

    • 如果您选择内部区域 IP 地址,请点击添加新的 IP 地址范围,然后输入名称IP 范围。对于 IP 范围,请指定前缀长度介于 2629 之间的区域内部 IPv4 范围。前缀长度决定了 VPN 网关接口可用的 IP 地址数量,并且前缀长度必须基于连接容量来指定。如需了解详情,请参阅将内部 IP 地址范围分配给高可用性 VPN 网关
    • 如果您选择外部区域 IP 地址,Cloud Interconnect 会自动将区域外部 IP 地址分配给您在 VLAN 连接上创建的高可用性 VPN 隧道接口。

    两个 VLAN 连接必须使用同一类型的地址(内部或外部)作为其 VPN 网关 IP 地址。

  12. 配置完两个 VLAN 连接后,点击创建。连接需要一些时间才能完成创建。

  13. 创建完成后,复制配对密钥。请求与服务提供商连接时,您需要与他们共享这些密钥。

    如果您要向服务提供商申请第 3 层连接,则可以通过选择启用预先激活该连接。激活连接让您可以确认您连接的是预期的服务提供商。通过预先激活连接,您可以跳过激活步骤,并允许连接在服务提供商完成配置后立即开始传输流量。

  14. 要查看 VLAN 连接列表,请点击确定

    在您请求与服务提供商建立连接并且他们完成 VLAN 连接配置之前,VLAN 连接的状态为 PENDING_PARTNER。配置完成后,连接状态会更改为 ACTIVEPENDING_CUSTOMER

    如需激活 VLAN 连接,请参阅激活连接

    可选:您可以更新 BGP 会话以使用自定义已知路由。使用此功能时,Cloud Router 路由器的行为就像它从 BGP 对等方获知这些路由一样。如需了解详情,请参阅更新现有会话以使用自定义已知路由。此功能处于预览版阶段。

    可选:您可以更新 BGP 会话以使用 MD5 身份验证。如果您具有第 2 层连接,请按照向现有会话添加身份验证中的步骤操作。如果您有第 3 层连接,请联系您的服务提供商以了解相关说明。

    请勿启用双向转发检测 (BFD)。在 Cloud Interconnect 级层启用 BFD 后,并不能加快对高可用性 VPN 隧道流量的故障检测。

  15. 在两个 VLAN 连接都处于活跃状态后,您可以为 VLAN 连接配置高可用性 VPN,从而完成通过 Cloud Interconnect 实现的高可用性 VPN 的部署过程。

    请参阅配置通过 Cloud Interconnect 实现的高可用性 VPN

gcloud

  1. 在您要从本地网络访问的网络和区域中,为 Cloud Interconnect 互连创建加密的 Cloud Router 路由器。指定 --encrypted-interconnect-router 标志以指示此路由器将用在通过 Cloud Interconnect 实现的高可用性 VPN 部署中。

    该 Cloud Router 路由器的 BGP ASN 必须为 16550

    以下示例会在 us-central1 区域中创建一个名为 interconnect-router 且 ASN 为16550 的路由器。

    gcloud compute routers create interconnect-router \
    --region us-central1 \
    --network network-a \
    --asn 16550 \
    --encrypted-interconnect-router

  2. 可选:预留前缀长度介于 2629 之间的区域内部 IPv4 范围。前缀长度决定了 VPN 网关接口可用的 IP 地址数量。您需要预留的地址数量则取决于关联 VLAN 连接的容量。

    例如,如需为具有 10G 容量的第一个 VLAN 连接预留范围,请运行以下代码:

    gcloud compute addresses create ip-range-1 \
  --region us-central1 \
  --addresses=192.168.1.0 \
  --prefix-length=29 \
  --network=network-a \
  --purpose=IPSEC_INTERCONNECT

    如需为第二个 VLAN 连接预留地址范围,请运行以下代码:

    gcloud compute addresses create ip-range-2 \
  --region us-central1 \
  --addresses=192.168.2.0 \
  --prefix-length=29 \
  --network=network-a \
  --purpose=IPSEC_INTERCONNECT

    如需详细了解如何预留区域内部地址,请参阅将内部 IP 地址范围分配给高可用性 VPN 网关

  3. 创建类型为 PARTNER 的第一个加密 VLAN 连接,并指定加密的 Cloud Router 路由器的名称以及 VLAN 连接的边缘可用性网域(都市圈可用区)。Google 会在 Cloud Router 路由器上自动添加接口和 BGP 对等端。连接会生成配对密钥,您将需要与服务提供商共享此密钥。

    以下示例会为互连连接 availability-domain-1(该连接会连接到区域 us-central1 中的加密 Cloud Router 路由器 interconnect-router)创建加密连接。该命令还指定了区域内部 IP 地址范围 ip-range-1,用于在此连接上创建的所有高可用性 VPN 网关接口。

    gcloud compute interconnects attachments partner create attachment-a-ead1 \
    --region us-central1 \
    --router interconnect-router \
    --edge-availability-domain availability-domain-1 \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-1

    如果要为连接上的高可用性 VPN 网关接口使用区域外部 IP 地址,请省略 --ipsec-internal-addresses 标志。系统会自动为所有高可用性 VPN 网关接口分配区域外部 IPv4 地址。

    gcloud compute interconnects attachments partner create attachment-a-ead1 \
    --region us-central1 \
    --router interconnect-router \
    --edge-availability-domain availability-domain-1 \
    --encryption IPSEC

    如果您要向服务提供商申请第 3 层连接,则可以通过选择 --admin-enabled预先激活该连接。激活连接让您可以确认您连接的是预期的服务提供商。通过预先激活连接,您可以跳过激活步骤,并允许连接在服务提供商完成配置后立即开始传输流量。

    无法为加密的 VLAN 连接设置自定义 MTU (--mtu)。所有加密的 VLAN 连接都必须使用 1440 字节作为 MTU,这也是默认值。

  4. 创建第二个加密的 VLAN 连接,指定第二个 Cloud Interconnect 连接以及用于该 Cloud Interconnect 互连的 Cloud Router 路由器的名称。

    以下示例会为边缘可用性网域 availability-domain-2(该网域会连接到 us-central1 区域中的 Cloud Router 路由器 interconnect-router)创建加密连接。该命令还指定了区域内部 IP 地址范围 ip-range-2,用于在此连接上创建的所有高可用性 VPN 网关接口。

    gcloud compute interconnects attachments partner create attachment-a-ead2 \
    --region us-central1 \
    --router interconnect-router \
    --edge-availability-domain availability-domain-2 \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-2

    在创建第二个 VLAN 连接时,您指定的地址方案必须与在创建第一个连接时使用的类型相同,即内部或外部。每个 VLAN 连接必须分配不同的内部地址范围;并且每个连接只能指定一个 IP 范围。

  5. 描述连接以检索其配对密钥;请求连接时,您需要与服务提供商共享这些密钥:

    对于第一个 VLAN 连接,输入以下代码:

    gcloud compute interconnects attachments describe attachment-a-ead1 \
  --region us-central1

    输出:

    adminEnabled: false
creationTimestamp: '2021-12-01T08:29:09.886-08:00'
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
encryption: IPSEC
id: '7976913826166357434'
kind: compute#interconnectAttachment
name: attachment-a-ead1
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/attachment-a-ead1
state: PENDING_PARTNER
type: PARTNER

    对于第二个 VLAN 连接,输入以下代码:

    gcloud compute interconnects attachments describe attachment-a-ead2 \
  --region us-central1

    输出:

    adminEnabled: false
creationTimestamp: '2021-12-01T08:29:09.886-08:00'
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_2
encryption: IPSEC
id: '7976913826166334235'
kind: compute#interconnectAttachment
name: attachment-a-ead2
pairingKey: 9f5fg371e-72a3-40b5-b844-2e3efefaee59/us-central1/2
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/attachment-a-ead2
state: PENDING_PARTNER
type: PARTNER

    pairingKey 字段包含您需要与服务提供商共享的配对密钥。在完成 VLAN 连接的配置之前,应将配对密钥视为敏感信息。

    在您请求与服务提供商建立连接并且他们完成 VLAN 连接配置之前,VLAN 连接的状态为 PENDING_PARTNER。配置完成后,连接状态会更改为 ACTIVEPENDING_CUSTOMER

    如需激活 VLAN 连接,请参阅激活连接

    可选:您可以更新 BGP 会话以使用自定义已知路由。使用此功能时,Cloud Router 路由器的行为就像它从 BGP 对等方获知自定义已知路由一样。如需了解详情,请参阅更新现有会话以使用自定义已知路由。此功能处于预览版阶段。

    可选:您可以更新 BGP 会话以使用 MD5 身份验证。如果您具有第 2 层连接,请按照向现有会话添加身份验证中的步骤操作。如果您有第 3 层连接,请联系您的服务提供商以了解相关说明。

    请勿启用双向转发检测 (BFD)。在 Cloud Interconnect 级层启用 BFD 后,并不能加快对高可用性 VPN 隧道流量的故障检测。

  6. 在两个 VLAN 连接都处于活跃状态后,您可以为 VLAN 连接配置高可用性 VPN,从而完成通过 Cloud Interconnect 实现的高可用性 VPN 的部署过程。

    请参阅配置通过 Cloud Interconnect 实现的高可用性 VPN

限制合作伙伴互连用量

默认情况下,任何 VPC 网络都可以使用 Cloud Interconnect。如需控制哪些 VPC 网络可以使用 Cloud Interconnect,您可以设置组织政策。如需了解详情,请参阅限制 Cloud Interconnect 用量

后续步骤

上一页
预配概览
下一页
请求连接