Domande frequenti su Cloud Interconnect

Questo documento illustra le domande più frequenti sulle funzionalità e sull'architettura di Cloud Interconnect, raggruppate nelle seguenti sezioni principali:

Traffico su Cloud Interconnect

Questa sezione risponde alle domande sui tipi di traffico, sulla larghezza di banda e sulla crittografia su Cloud Interconnect.

Quali tipi di pacchetti vengono trasmessi tramite Cloud Interconnect?

Il circuito Cloud Interconnect trasporta frame Ethernet 802.1q con pacchetti IPv4 nel payload. Questi frame sono noti anche come frame Ethernet con tag VLAN.

Il valore del campo ID VLAN (VID) a 12 bit dell'intestazione 802.1q corrisponde al valore dell'ID VLAN assegnato da Google Cloud quando viene creato un collegamento VLAN. Per ulteriori informazioni, consulta i seguenti documenti:

Come faccio a criptare il mio traffico su Cloud Interconnect?

A seconda del servizio a cui si accede utilizzando Cloud Interconnect, il traffico potrebbe essere già criptato senza che tu debba fare nulla di speciale. Ad esempio, se accedi a una delle Google Cloud API raggiungibili tramite Cloud Interconnect, il traffico è già criptato con TLS nello stesso modo in cui si accede alle API tramite la rete internet pubblica.

Puoi utilizzare la soluzione TLS anche per i servizi che crei, ad esempio un servizio che offri su un'istanza Compute Engine o su un pod Google Kubernetes Engine che supporta il protocollo HTTPS.

Se hai bisogno di crittografia solo tra il router on-premise e i router di confine di Google, la soluzione che consigliamo è MACsec per Cloud Interconnect.

Se hai bisogno di crittografia a livello di livello IP, la soluzione consigliata è eseguire il deployment di VPN ad alta disponibilità su Cloud Interconnect.

Se, per qualche motivo, non riesci a eseguire il deployment di una VPN ad alta disponibilità su Cloud Interconnect, puoi creare uno o più gateway VPN self-managed (nonGoogle Cloud) nella tua rete Virtual Private Cloud (VPC) e assegnare un indirizzo IP privato a ogni gateway. Ad esempio, puoi eseguire una VPN strongSwan su un'istanza Compute Engine. Puoi quindi terminare i tunnel IPsec su questi gateway VPN tramite Cloud Interconnect da un ambiente on-premise.

Per ulteriori informazioni, vedi Crittografia in transito.

Posso creare una connessione da 100 Gbps tramite Dedicated Interconnect?

Sì, puoi scalare la connessione a Google in base alle tue esigenze.

Una connessione Cloud Interconnect è costituita da uno o più circuiti impiegati come gruppo di link di canale della porta Ethernet (LAG). I circuiti di una connessione possono essere da 10 Gbps o 100 Gbps, ma non entrambi.

Una connessione può avere una delle seguenti capacità massime:

  • 8 circuiti da 10 Gbps (80 Gbps totali)
  • 2 circuiti da 100 Gbps (200 Gbps totali)

Dedicated Interconnect supporta capacità di collegamento VLAN da 50 Mbps a 100 Gbps, mentre Partner Interconnect supporta capacità di collegamento VLAN da 50 Mbps a 50 Gbps. Sebbene la dimensione massima supportata per i collegamenti di interconnessione con partner sia di 50 Gbps, non tutte le dimensioni potrebbero essere disponibili, a seconda di ciò che viene offerto dal fornitore di servizi scelto nella località selezionata.

Puoi ordinare più di una connessione e utilizzarle in modalità attiva-attiva utilizzando le funzionalità di routing BGP (Border Gateway Protocol) del router Cloud.

Per un elenco dettagliato di capacità, quote e limiti, consulta la sezione Prezzi e Quote e limiti di Cloud Interconnect.

Posso raggiungere le mie istanze utilizzando IPv6 su Cloud Interconnect?

Dedicated Interconnect supporta le connessioni IPv6 con le reti on-premise tramite l'utilizzo di collegamenti VLAN IPv4 e IPv6 (stack doppio).

Puoi attivare lo scambio di route IPv6 nel collegamento VLAN a doppio stack configurando una sessione BGP IPv6 o attivando lo scambio di route IPv6 in una sessione BGP IPv4. Per informazioni su come creare un collegamento VLAN dual-stack, consulta Creare collegamenti VLAN.

Per informazioni su come abilitare lo scambio di route IPv6 in una sessione BGP IPv4, consulta Configurare BGP multiprotocollo per le sessioni BGP IPv4 o IPv6.

Posso specificare l'indirizzo IP del peering BGP?

  • Per Partner Interconnect, no. Google sceglie gli indirizzi IP per il peering.
  • Per Dedicated Interconnect, puoi specificare un intervallo di indirizzi IPv4 candidato (blocco CIDR) che Google seleziona quando crei un collegamento VLAN. Questo blocco CIDR deve trovarsi nell'intervallo di indirizzi IPv4 locali rispetto al collegamento169.254.0.0/16. Non puoi specificare un intervallo di indirizzi IPv6 candidato. Google sceglie per te un intervallo dall'intervallo di indirizzi unicast globali (GUA) 2600:2d00:0:1::/64 di proprietà di Google.

Posso raggiungere le API di Google tramite Cloud Interconnect da un ambiente on-premise? Quali servizi o API sono disponibili?

Sono disponibili le seguenti opzioni:

Posso utilizzare Cloud Interconnect come canale privato per accedere a tutti i servizi Google Workspace tramite un browser?

Non è possibile raggiungere le applicazioni Google Workspace tramite Cloud Interconnect.

Perché le mie sessioni BGP oscillano continuamente dopo un determinato intervallo?

Verifica la presenza di una subnet mask errata nell'intervallo IP BGP on-premise. Ad esempio, anziché configurare 169.254.10.0/29, potresti aver configurato 169.254.10.0/30.

Posso inviare e conoscere i valori MED tramite una connessione Partner Interconnect L3?

Se utilizzi una connessione Partner Interconnect in cui un fornitore di servizi di Livello 3 gestisce BGP per te, router Cloud non può apprendere i valori MED dal tuo router on-premise né inviarli a quel router. Questo perché i valori MED non possono essere trasmessi tramite sistemi autonomi. Con questo tipo di connessione, non puoi impostare le priorità route per le route annunciate dal router Cloud al router on-premise. Inoltre, non puoi impostare le priorità delle route per le route annunciate dal router on-premise alla rete VPC.

Architettura di Cloud Interconnect

Questa sezione illustra le domande comuni che sorgono durante la progettazione o l'utilizzo di un'architettura Cloud Interconnect.

Posso rinominare le connessioni Dedicated Interconnect o spostarle in un altro progetto?

No. Dopo aver assegnato un nome a una connessione Dedicated Interconnect, non puoi rinominarla o spostarla in un altro progetto Google Cloud. Devi invece eliminare la connessione e ricrearla con un nuovo nome o in un progetto diverso.

Posso utilizzare Cloud Interconnect per connettermi alla rete internet pubblica?

Le route di internet non vengono pubblicizzate su Cloud Interconnect.

Come faccio a collegarmi a Google Cloud se mi trovo in una località del PoP non elencata nelle sedi delle strutture di colocation?

Hai due opzioni, dopodiché puoi seguire la normale procedura di ordinazione e provisioning di Dedicated Interconnect:

  • Opzione 1: puoi ordinare linee in leasing da un operatore per collegarti dal tuo punto di presenza (PoP) a una delle strutture di colocation Cloud Interconnect di Google. In genere, è meglio contattare il tuo attuale fornitore di strutture di colocation e richiedere un elenco di fornitori on-net. Un fornitore on-net è un fornitore che ha già un'infrastruttura nell'edificio in cui ti trovi. L'utilizzo di un fornitore on-net è più economico e veloce rispetto all'utilizzo di un fornitore diverso che deve sviluppare l'infrastruttura per soddisfare le tue esigenze nella posizione del PoP esistente.
  • Opzione 2: puoi utilizzare Partner Interconnect con un provider di servizi che può fornire un circuito di ultima frazione per soddisfare le tue esigenze. In genere, i fornitori di colocation non possono fornire questo tipo di servizio perché hanno sedi fisse in cui devi già essere presente.

Se utilizzo Partner Interconnect, posso vedere la connessione nel progetto in cui creo il collegamento VLAN?

Quando utilizzi il servizio Partner Interconnect, l'oggetto per la connessione viene creato nel progetto del fornitore di servizi e non è visibile nel tuo progetto. Il collegamento VLAN (interconnectAttachment) è ancora visibile all'interno del progetto, come nel caso di Cloud Interconnect.

Come faccio a creare un'architettura ridondante che utilizza Cloud Interconnect?

A seconda dello SLA desiderato, esistono architetture specifiche che devono essere implementate sia per Dedicated Interconnect sia per Partner Interconnect.

Per ulteriori informazioni, consulta la Panoramica della topologia per applicazioni a livello di produzione e la Panoramica della topologia per applicazioni non critiche.

Questi livelli SLA si riferiscono alla disponibilità della connessione Cloud Interconnect, ovvero alla disponibilità della connessione instradata tra la sede on-premise e la rete VPC. Ad esempio, se crei un servizio su istanze Compute Engine raggiungibili tramite Cloud Interconnect, la disponibilità del servizio dipende dalla disponibilità combinata del servizio Cloud Interconnect e del servizio Compute Engine.

  • Per Dedicated Interconnect, una singola connessione (bundle LACP) ha uno SLA senza uptime.
  • Per Partner Interconnect, un singolo collegamento VLAN ha un SLA senza tempo di attività.

I problemi relativi a singoli errori di connessione/bundle vengono trattati come priorità della richiesta di assistenza non superiore a P3: impatto medio: utilizzo del servizio parzialmente compromesso. Pertanto, non puoi aspettarti una risoluzione rapida o un'ulteriore analisi della causa principale.

A causa di una manutenzione pianificata o imprevista, i singoli link o i bundle potrebbero essere svuotati anche per periodi di tempo prolungati, ad esempio ore o giorni.

Posso inoltrare il traffico su Cloud Interconnect tra la mia applicazione on-premise e i backend del bilanciatore del carico interno?

In questo scenario, hai disegnato un'applicazione composta da due livelli: un livello on-premise di cui non è ancora stata eseguita la migrazione a Google Cloud(livello precedente) e un livello cloud in esecuzione su istanze VPC che sono anche i backend di un bilanciatore del carico interno Google Cloud .

Puoi utilizzare Cloud Interconnect per inoltrare il traffico tra questi due livelli di applicazione, a condizione che tu implementi i route necessari tra Cloud Router e il router on-premise. Considera i seguenti due casi:

Caso 1: backend del router Cloud e bilanciatore del carico nella stessa regione.

Poiché il router Cloud utilizzato per il collegamento VLAN che gestisce il traffico di questa applicazione si trova nella stessa regione della sottorete contenente i backend del bilanciatore del carico, il traffico può essere inoltrato senza impostazioni aggiuntive.

Caso 2: backend di router Cloud e bilanciatori del carico in regioni diverse.

In questo scenario, poiché i backend del router Cloud e del bilanciatore del carico si trovano in regioni diverse, devi configurare quanto segue:

  • Attiva la modalità di routing dinamico globale nella VPC.
  • Attiva la modalità di accesso globale nel bilanciatore del carico.

Per ulteriori informazioni, consulta le seguenti risorse:

Posso spostare una o più istanze di Cloud Interconnect tra progetti o organizzazioni Google Cloud?

Se vuoi spostare un progetto in una nuova Google Cloud organizzazione, puoi aprire una richiesta di assistenza, e l' Google Cloud assistenza può semplificare lo spostamento.

Le modifiche dell'organizzazione non influiscono sugli attacchi VLAN e su Dedicated Interconnect, purché il progetto rimanga invariato.

Per le modifiche al progetto, se stai eseguendo un'attivazione di Cloud Interconnect e disponi di una LOA, ma non hai ancora completato l'attivazione, annulla l'attivazione corrente e creane una nuova nel progetto corretto. Google emette una nuova LOA, che puoi poi consegnare al tuo fornitore di connessione Cloud Interconnect. Per la procedura, consulta Ordinare una connessione e Recuperare LOA-CFA.

Una connessione Cloud Interconnect attiva non può essere spostata da un progetto all'altro perché è un oggetto secondario del progetto e non è possibile eseguire la migrazione automatica degli oggetti tra i progetti. Se possibile, devi avviare una richiesta per una nuova connessione Cloud Interconnect.

Come faccio a utilizzare la stessa connessione Cloud Interconnect per connettere più reti VPC in più progetti all'interno della stessa Google Cloud organizzazione?

Per Dedicated Interconnect o Partner Interconnect, puoi utilizzare la VPC condivisa o il peering di rete VPC per condividere un singolo collegamento tra più reti VPC. Per la procedura, consulta Opzioni per la connessione a più reti VPC.

Per Partner Interconnect

Se non puoi utilizzare il VPC condiviso o il peering di rete VPC, ad esempio perché devi mantenere separate le reti VPC, devi creare ulteriori allegamenti VLAN. La creazione di altri allegati potrebbe comportare costi aggiuntivi.

Se hai più collegamenti VLAN, inclusi quelli in progetti diversi, puoi accoppiarli con una connessione Partner Interconnect dello stesso fornitore di servizi o con connessioni Partner Interconnect di fornitori di servizi diversi.

Per Dedicated Interconnect

Puoi creare più allegati, uno per ogni progetto o rete VPC a cui vuoi connetterti.

Se hai molti progetti, puoi assegnare a ogni progetto il proprio collegamento VLAN e il proprio router cloud, configurando tutti i collegamenti in modo che utilizzino la stessa connessione fisica di Dedicated Interconnect in un progetto specificato.

Il collegamento VLAN, oltre a essere una VLAN con un ID 802.1q, è un oggetto secondario di una connessione Cloud Interconnect esistente in un progetto.

In questo modello, ogni rete VPC ha la propria configurazione di routing. Se vuoi centralizzare i criteri di routing, puoi esaminare il modello VPC condiviso e le considerazioni relative alla VPC condivisa. Puoi quindi terminare il collegamento VLAN nella rete VPC del progetto host del VPC condiviso. Il progetto host ha una quota per il numero massimo di collegamenti VLAN per connessione. Per maggiori dettagli, consulta Quote e limiti di Cloud Interconnect.

Posso utilizzare una singola connessione Cloud Interconnect per connettere più siti on-premise alla mia rete VPC?

Puoi farlo facilmente. Ad esempio, se più siti fanno parte di una rete VPN MPLS, autogestita o gestita da un operatore, puoi aggiungere logicamente la rete VPC come sito aggiuntivo utilizzando un approccio simile all'opzione A della VPN MPLS inter-AS (per ulteriori informazioni, consulta la sezione RFC 4364, Paragrafo 10).

Questa soluzione è descritta nella risposta su come mostrare una rete VPC nel servizio VPN MPLS di un partner. Applicando le funzionalità BGP di Cloud Router, è possibile inserire route VPC all'interno di un'infrastruttura IP core esistente utilizzando tecniche e architetture simili a quelle utilizzate per importare le route di internet.

Come posso collegarmi Google Cloud ad altri provider di servizi cloud?

Cross-Cloud Interconnect ti aiuta a stabilire una connettività dedicata tra Google Cloud e uno dei seguenti provider di servizi cloud supportati:

  • Amazon Web Services (AWS)
  • Microsoft Azure
  • Oracle Cloud Infrastructure (OCI)
  • Alibaba Cloud

Per ulteriori informazioni, consulta la panoramica di Cross-Cloud Interconnect.

Se utilizzi un altro provider cloud non supportato da Cross-Cloud Interconnect, non esiste una configurazione concordata tra i provider cloud per unire fisicamente due connessioni. Tuttavia, se l'altro provider cloud offre un servizio di interconnessione di rete, puoi eseguire il routing tra lo spazio indirizzi privato della rete VPC e la rete di un altro provider cloud.

Se il punto di connessione del servizio per l'altro provider cloud si trova nella stessa località di Cloud Interconnect, puoi eseguire il provisioning del tuo router in quella località per terminare i due servizi di connessione. Il router poi instrada tra la rete VPC e la rete dell'altro cloud provider. Questa configurazione ti consente di instradare direttamente dalle due reti cloud alla tua rete on-premise con un ritardo minimo.

Alcuni operatori Partner Interconnect sono in grado di offrire questa configurazione come servizio gestito, in base a un router virtuale. Se Google Cloud e l'altro provider di servizi cloud terminano i servizi di connessione in località diverse, devi fornire un circuito che colleghi le due località.

Come faccio a collegarmi a Google Cloud senza posizionare l'apparecchiatura in una struttura di colocation vicino all'edge di Google?

Alcuni fornitori di servizi di rete offrono le proprie soluzioni basate su Cloud Router e Partner Interconnect per Google Cloud i clienti che non vogliono posizionare l'hardware vicino all'edge di Google.

Per informazioni su come configurare le soluzioni Equinix con Google Cloud, consulta le istruzioni di configurazione di Equinix.

Per informazioni su come configurare Megaport con Google Cloud, consulta le istruzioni di configurazione di Megaport.

Per informazioni su come configurare Console Connect con Google Cloud, consulta le istruzioni di configurazione di Console Connect.

Collegamenti VLAN

Questa sezione risponde alle domande sui collegamenti VLAN.

Come faccio a scegliere l'ID VLAN utilizzato per un collegamento VLAN?

Per un collegamento VLAN creato con Partner Interconnect, il provider di servizi sceglie l'ID VLAN durante la procedura di creazione del collegamento o ti consente di sceglierlo. Rivolgiti al tuo provider di servizi per sapere se ti consente di scegliere l'ID VLAN per i collegamenti VLAN.

Per un collegamento VLAN creato con Dedicated Interconnect, puoi utilizzare il comando gcloud compute interconnects attachments create con il flag --vlan oppure seguire le istruzioni della console Google Cloud.

L'esempio seguente mostra come utilizzare il comando gcloud per modificare l'ID VLAN in 5:

gcloud compute interconnects attachments dedicated create my-attachment \
  --router my-router \
  --interconnect my-interconnect \
  --vlan 5 \
  --region us-central1

Per istruzioni complete, consulta uno dei seguenti documenti:

Posso utilizzare un router Cloud con più di un collegamento VLAN?

Sì, questa è una configurazione supportata.

Posso configurare i componenti aggiuntivi la cui larghezza di banda combinata supera quella della mia connessione Cloud Interconnect?

Sì, ma la creazione di elementi aggiuntivi con una larghezza di banda combinata superiore a quella della connessione Cloud Interconnect non ti offre più della larghezza di banda massima supportata dalla connessione.

Come faccio ad aggiornare la configurazione dell'attacco dell'Partner collegamento di interconnessione esistente per trasportare il traffico IPv6?

Se utilizzi un fornitore di servizi di livello 3, contatta il tuo fornitore Partner Interconnect e richiedi assistenza per l'aggiornamento della configurazione.

MPLS (commutazione di etichette multiprotocollo)

Questa sezione risponde alle domande su Cloud Interconnect e su Multiprotocol Label Switching (MPLS).

Posso utilizzare Cloud Interconnect per terminare un LSP MPLS all'interno della mia rete VPC?

VPC non offre una funzionalità integrata per terminare gli LSP MPLS.Google Cloud

Per un servizio VPN MPLS autogestito, posso mostrare la mia rete VPC come un sito aggiuntivo?

Se gestisci un servizio VPN MPLS, puoi mostrare la tua rete VPC come un sito aggiuntivo costituito da una VPN autogestita.

Questo scenario presuppone che tu non stia acquistando un servizio VPN MPLS da un provider. Hai invece un ambiente VPN MPLS in cui gestisci e configuri personalmente i router P e PE della rete MPLS.

Per fare in modo che la rete VPC venga visualizzata come un sito aggiuntivo nel servizio VPN MPLS autogestito:

  1. Collega uno dei tuoi dispositivi edge MPLS VPN PE al tuo dispositivo edge di peering per l'Dedicated Interconnect utilizzando un modello simile all'opzione A della VPN MPLS inter-AS (consulta RFC 4364, paragrafo 10). In altre parole, puoi terminare la VPN MPLS-VPN richiesta, ad esempio VRF_A, nel tuo dispositivo edge PE e poi utilizzare la mappatura VLAN-to-VRF per "unire" il collegamento VLAN a questa VPN, mappando essenzialmente la VLAN a VRF_A sul dispositivo edge PE.Google Cloud

  2. Crea una sessione BGP IPv4 standard tra il router PE e il router Cloud per assicurarti che le route vengano scambiate tra loro. I percorsi inviati dal Cloud Router vengono visualizzati solo nella tabella di routing VPN (all'interno di VRF_A) e non nella tabella di routing globale del dispositivo edge PE.

    Puoi gestire intervalli IP sovrapposti creando più VPN separate. Ad esempio, VRF_A e VRF_B, ciascuno con una sessione BGP con il router Cloud in una rete VPC specifica (ad esempio, VPC_A e VPC_B). Questa procedura non richiede l'incapsulamento MPLS tra il dispositivo edge PE e il dispositivo edge di peering per Dedicated Interconnect.

Posso mostrare la mia rete VPC come sito aggiuntivo nella mia VPN MPLS di un operatore che è anche un fornitore di servizi per Partner Interconnect?

Se acquisti un servizio VPN MPLS da un operatore che è anche un fornitore di servizi ufficiale per Partner Interconnect, puoi mostrare la tua rete VPC come un sito aggiuntivo nella tua VPN MPLS.

In questo caso, l'operatore gestisce e configura i router P e PE della propria rete MPLS. Poiché Partner Interconnect utilizza lo stesso identico modello di connettività di Dedicated Interconnect, l'operatore può utilizzare un modello simile all'opzione A VPN MPLS inter-AS (vedi RFC 4364, paragrafo 10).

In sostanza, l'operatore ti fornisce un servizio Partner Interconnect di livello 3 e poi "associa" il tuo collegamento VLAN alla VPN MPLS corretta sul dispositivo edge dell'operatore. Poiché si tratta di un modello di servizio di livello 3, la sessione BGP viene stabilita tra il router Cloud e il VRF all'interno del dispositivo di edge del corriere. Per maggiori dettagli, consulta la panoramica di Partner Interconnect.

Eventi di manutenzione dell'infrastruttura

Per ulteriori informazioni, consulta Eventi di manutenzione dell'infrastruttura.

Gestione delle connessioni Cloud Interconnect

Come faccio a scollegare o disattivare temporaneamente la connessione Cloud Interconnect?

Se vuoi arrestare temporaneamente la connessione Dedicated Interconnect o Partner Interconnect (per test di failover o test di allarme e così via), puoi utilizzare il seguente comando. 

  gcloud compute interconnects update my-interconnect --no-admin-enabled

Per riattivare la connessione, utilizza il seguente comando: 

  gcloud compute interconnects update my-interconnect --admin-enabled

Se devi scollegare fisicamente la connessione, collabora con il tuo fornitore per scollegare il cross connect presso l'MRM nel tuo centro di colocation. Puoi fornire al fornitore la LOA originale fornita per richiedere la disconnessione.

Se non hai più accesso alla LOA, invia un'email a cloud-interconnect-sd@google.com.

Dominio di disponibilità perimetrale Cloud Interconnect

Dedicated Interconnect: come faccio a verificare che le connessioni di interconnessione si trovino in domini di disponibilità perimetrale diversi?

Per verificare che le connessioni di interconnessione si trovino in domini di disponibilità perimetrale diversi, utilizza i seguenti comandi. I termini zona di disponibilità area metropolitana e dominio di disponibilità perimetrale sono intercambiabili. Per ulteriori informazioni, consulta le località di Cloud Interconnect.

gcloud compute interconnects describe INTERCONNECT_NAME

Nell'output, visualizza il campo location, che mostra un URL come https://www.googleapis.com/compute/...<example>.../sin-zone1-388.. L'ultima parte dell'URL è il nome della stazione di ricarica (sin-zone1-38).

Ora descrivi LOCATION_NAME per visualizzare il dominio di disponibilità dell'edge in cui si trova.

gcloud compute interconnects locations describe LOCATION_NAME

L'output di questo comando contiene una riga che indica il dominio di disponibilità dell'interconnessione in cui si trova la connessione.

availabilityZone: zone1

Per visualizzare tutti i domini di disponibilità dell'edge per una determinata area metropolitana, consulta la tabella delle località.

Utilizza il seguente comando per verificare che due link si trovino in domini di disponibilità edge diversi:

gcloud compute interconnects attachments describe VLAN_ATTACHMENT_NAME /
    --region REGION

L'output di questo comando contiene una riga simile alla seguente.

edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1

Esegui il comando per entrambi gli allegati per assicurarti che i domini di disponibilità perimetrale siano diversi.