Domande frequenti su Cloud Interconnect

Questo documento riguarda le domande più frequenti sulle funzionalità e l'architettura di Cloud Interconnect raggruppate nelle seguenti sezioni principali:

Traffico su Cloud Interconnect

Questa sezione riguarda le domande su tipi di traffico, larghezza di banda e crittografia su Cloud Interconnect.

Che tipo di pacchetti vengono trasferiti su Cloud Interconnect?

Il circuito Cloud Interconnect trasporta frame Ethernet 802.1q con pacchetti IPv4 nel payload. Questi frame sono anche noti come frame Ethernet con tagging VLAN.

Il valore del campo ID VLAN a 12 bit (VID) dell'intestazione 802.1q corrisponde al valore dell'ID VLAN assegnato da Google Cloud quando viene creato un collegamento VLAN. Per ulteriori informazioni, consulta i seguenti documenti:

Come posso criptare il mio traffico su Cloud Interconnect?

A seconda del servizio a cui si accede tramite Cloud Interconnect, il tuo traffico potrebbe essere già criptato senza che tu debba fare nulla di speciale. Ad esempio, se accedi a una delle API Google Cloud raggiungibili tramite Cloud Interconnect, il traffico viene già criptato con TLS, proprio come se si accedesse alle API sulla rete internet pubblica.

Puoi utilizzare la soluzione TLS anche per i servizi che crei, ad esempio un servizio offerto su un'istanza Compute Engine o su un pod di Google Kubernetes Engine che supporta il protocollo HTTPS.

Se hai bisogno della crittografia solo tra il router on-premise e i router perimetrali di Google, la soluzione che consigliamo è MACsec per Cloud Interconnect.

Se hai bisogno della crittografia a livello IP, la soluzione consigliata è il deployment della VPN ad alta disponibilità su Cloud Interconnect.

Se, per qualche motivo, non puoi eseguire il deployment della VPN ad alta disponibilità su Cloud Interconnect, puoi creare uno o più gateway VPN autogestiti (non Google Cloud) nella tua rete Virtual Private Cloud (VPC) e assegnare un indirizzo IP privato a ciascun gateway, ad esempio puoi eseguire una VPN strongSwan su un'istanza Compute Engine. Puoi quindi terminare i tunnel IPsec verso i gateway VPN tramite Cloud Interconnect da un ambiente on-premise.

Per ulteriori informazioni, consulta Crittografia dei dati in transito.

Posso creare una connessione a 100 Gbps su Dedicated Interconnect?

Sì, puoi scalare la tua connessione a Google in base alle tue esigenze.

Una connessione Cloud Interconnect è composta da uno o più circuiti di cui è stato eseguito il deployment come gruppo di link al canale di porte Ethernet (LAG). I circuiti in una connessione possono essere di 10 Gbps o 100 Gbps, ma non entrambi.

Una connessione può avere una delle seguenti capacità massime:

  • 8 circuiti da 10 Gbps (80 Gbps totali)
  • 2 circuiti da 100 Gbps (200 Gbps totali)

Dedicated Interconnect o Partner Interconnect supportano capacità di collegamento VLAN da 50 Mbps a 50 Gbps. Sebbene la dimensione massima dei collegamenti supportata per Partner Interconnect sia di 50 Gbps, potrebbero non essere disponibili tutte le dimensioni, a seconda di ciò che viene offerto dal fornitore di servizi scelto nella località selezionata.

Puoi ordinare più connessioni e utilizzarle in modo attivo-attivo utilizzando le funzionalità di routing BGP (Border Gateway Protocol) del router Cloud.

Per un elenco dettagliato di capacità, quote e limiti, consulta Prezzi di Cloud Interconnect e Quote e limiti.

Posso raggiungere le mie istanze utilizzando IPv6 su Cloud Interconnect?

Dedicated Interconnect supporta le connessioni IPv6 con reti on-premise tramite l'uso di collegamenti VLAN IPv4 e IPv6 (doppio stack).

Puoi abilitare lo scambio di route IPv6 in un collegamento VLAN a doppio stack configurando una sessione BGP IPv6 o abilitando lo scambio di route IPv6 in una sessione BGP IPv4. Per informazioni su come creare un collegamento VLAN a doppio stack, consulta Creare collegamenti VLAN.

Per informazioni su come abilitare lo scambio di route IPv6 su una sessione BGP IPv4, consulta Configurare BGP multiprotocollo per le sessioni BGP IPv4 o IPv6.

Posso specificare l'indirizzo IP del peering BGP?

  • No, per Partner Interconnect Google sceglie gli indirizzi IP di peering.
  • Per Dedicated Interconnect, puoi specificare un intervallo di indirizzi IPv4 (blocco CIDR) candidato che Google seleziona quando crei un collegamento VLAN. Questo blocco CIDR deve essere compreso nell'intervallo di indirizzi locali rispetto al collegamento IPv4 169.254.0.0/16. Non puoi specificare un intervallo di indirizzi IPv6 candidato. Google sceglie per te un intervallo dall'intervallo di indirizzi unicast globali (GUA) di Google 2600:2d00:0:1::/64.

Posso raggiungere le API di Google tramite Cloud Interconnect da on-premise? Quali sono i servizi o le API disponibili?

Sono disponibili le seguenti opzioni:

Posso utilizzare Cloud Interconnect come canale privato per accedere a tutti i servizi Google Workspace tramite un browser?

Non è possibile raggiungere le applicazioni Google Workspace tramite Cloud Interconnect.

Perché le mie sessioni BGP si muovono continuamente dopo un determinato intervallo?

Verifica la presenza di una subnet mask errata nell'intervallo IP BGP on-premise. Ad esempio, invece di configurare 169.254.10.0/29, potresti aver configurato 169.254.10.0/30.

Posso inviare e apprendere i valori MED tramite una connessione Partner Interconnect L3?

Se utilizzi una connessione Partner Interconnect in cui un fornitore di servizi di livello 3 gestisce il BGP per te, il router Cloud non può apprendere i valori MED dal router on-premise o inviare valori MED a quel router. Questo perché i valori MED non possono passare attraverso sistemi autonomi. Con questo tipo di connessione, non puoi impostare le priorità delle route per le route annunciate dal router Cloud verso il router on-premise. Inoltre, non puoi impostare le priorità delle route annunciate dal router on-premise sulla rete VPC.

Architettura di Cloud Interconnect

Questa sezione riguarda le domande comuni che si pongono durante la progettazione o l'utilizzo di un'architettura Cloud Interconnect.

Posso rinominare le connessioni Dedicated Interconnect o spostarle in un progetto diverso?

No. Dopo aver assegnato un nome a una connessione Dedicated Interconnect, non puoi rinominarla o spostarla in un altro progetto Google Cloud. Devi invece eliminare la connessione e ricrearla con un nuovo nome o in un progetto diverso.

Posso utilizzare Cloud Interconnect per connettermi alla rete internet pubblica?

Le route internet non sono annunciate su Cloud Interconnect.

Come posso connettermi a Google Cloud se mi trovo in una località PoP non elencata nelle località delle strutture di colocation?

Hai due opzioni, dopodiché puoi seguire il normale processo di ordinamento e provisioning per Dedicated Interconnect:

  • Opzione 1: puoi ordinare linee affittate da un operatore per farle connettere dal tuo punto di presenza (PoP) a una delle strutture di colocation di Cloud Interconnect di Google. Solitamente è meglio contattare il fornitore esistente della struttura di colocation e ottenere un elenco di provider on-net. Un provider on-net è un provider che dispone già dell'infrastruttura nell'edificio in cui ti trovi. L'utilizzo di un provider on-net è più economico e veloce rispetto all'utilizzo di un altro provider che deve creare un'infrastruttura per raggiungerti nella tua località PoP esistente.
  • Opzione 2: puoi utilizzare Partner Interconnect con un fornitore di servizi in grado di fornirti un circuito dell'ultimo miglio per incontrarti. I provider di colocation solitamente non possono fornire questo tipo di servizio perché hanno località fisse in cui devi già essere presente.

Se utilizzo Partner Interconnect, posso vedere la connessione nel progetto in cui creo il collegamento VLAN?

Quando utilizzi il servizio Partner Interconnect, l'oggetto per la connessione viene creato nel progetto del fornitore di servizi e non è visibile nel progetto. Il collegamento VLAN (interconnectAttachment) è ancora visibile all'interno del progetto, come nella richiesta di Cloud Interconnect.

Come posso creare un'architettura ridondante che utilizza Cloud Interconnect?

A seconda dello SLA desiderato, è necessario implementare architetture specifiche sia per Dedicated Interconnect che per Partner Interconnect.

Le topologie per le architetture pronte per la produzione con uno SLA del 99,99% e per le applicazioni non critiche con uno SLA del 99,9% sono disponibili nei tutorial per Cloud Interconnect.

Questi livelli di SLA si riferiscono alla disponibilità della connessione Cloud Interconnect, ovvero la disponibilità della connessione instradata tra la località on-premise e la rete VPC. Ad esempio, se sulle istanze di Compute Engine crei un servizio raggiungibile tramite Cloud Interconnect, la disponibilità del servizio dipende dalla disponibilità combinata sia del servizio Cloud Interconnect sia del servizio Compute Engine.

  • Per Dedicated Interconnect, una singola connessione (pacchetto LACP) ha uno SLA (accordo sul livello del servizio) senza uptime.
  • Per Partner Interconnect, un singolo collegamento VLAN ha uno SLA (accordo sul livello del servizio) senza uptime.

I problemi con errori di connessione/set singolo vengono trattati come una priorità delle richieste di assistenza non superiore a P3: impatto medio - Utilizzo del servizio parzialmente compromesso. Pertanto, non puoi aspettarti una rapida risoluzione o ulteriori analisi della causa principale.

A causa di manutenzioni pianificate o non pianificate, singoli link o pacchetti potrebbero essere svuotati anche per periodi di tempo prolungati, ad esempio ore o giorni.

Posso inoltrare il traffico su Cloud Interconnect tra la mia applicazione on-premise e i backend dei miei bilanciatori del carico interni?

In questo scenario, hai eseguito il deployment di un'applicazione composta da due livelli: un livello on-premise di cui non è stata ancora eseguita la migrazione in Google Cloud (livello legacy) e un livello cloud in esecuzione su istanze VPC che sono anch'esse backend di un bilanciatore del carico interno di Google Cloud.

Puoi utilizzare Cloud Interconnect per inoltrare il traffico tra questi due livelli di applicazioni, purché vengano implementate le route necessarie tra il router Cloud e il router on-premise. Considera i due casi seguenti:

Caso 1: backend del router Cloud e del bilanciatore del carico situati nella stessa regione.

Poiché il router Cloud utilizzato per il collegamento VLAN che gestisce il traffico di questa applicazione si trova nella stessa regione della subnet che contiene i backend dei bilanciatori del carico, il traffico può essere inoltrato senza ulteriori impostazioni.

Caso 2: backend del router Cloud e del bilanciatore del carico situati in regioni diverse.

In questo scenario, poiché i backend del router Cloud e del bilanciatore del carico si trovano in regioni diverse, devi configurare quanto segue:

  • Abilita la modalità di routing dinamico globale nel VPC.
  • Abilita la modalità di accesso globale nel bilanciatore del carico.

Per ulteriori informazioni, consulta le seguenti risorse:

Posso spostare una o più istanze di Cloud Interconnect tra progetti o organizzazioni Google Cloud?

Se vuoi spostare un progetto in una nuova organizzazione Google Cloud, puoi aprire una richiesta di assistenza. L'assistenza di Google Cloud semplificherà lo spostamento.

Le modifiche all'organizzazione non influiscono sui collegamenti di Dedicated Interconnect e VLAN, purché il progetto rimanga invariato.

Per le modifiche al progetto, se stai eseguendo un'attivazione di Cloud Interconnect e disponi di una LDA ma non hai ancora completato l'attivazione, annulla l'attivazione attuale e creane una nuova nel progetto corretto. Google emette un nuovo LDA, che puoi inoltrare al tuo provider di connessione Cloud Interconnect. Per la procedura, consulta Ordinare una connessione e Recuperare LOA-CFA.

Una connessione Cloud Interconnect attiva non può essere spostata tra i progetti perché è un oggetto figlio del progetto e non è possibile eseguire automaticamente la migrazione degli oggetti tra i progetti. Se possibile, devi avviare una richiesta per una nuova connessione Cloud Interconnect.

Come posso utilizzare la stessa connessione Cloud Interconnect per connettere più reti VPC in più progetti all'interno della stessa organizzazione Google Cloud?

Per Dedicated Interconnect o Partner Interconnect, puoi utilizzare un VPC condiviso o il peering di rete VPC per condividere un singolo collegamento tra più reti VPC. Per la procedura, consulta Opzioni per la connessione a più reti VPC.

Per Partner Interconnect

Se non puoi utilizzare un VPC condiviso o il peering di rete VPC, ad esempio perché devi mantenere separate le reti VPC, devi creare collegamenti VLAN aggiuntivi. La creazione di altri collegamenti potrebbe comportare costi aggiuntivi.

Se hai più collegamenti VLAN, compresi quelli in progetti diversi, puoi accoppiarli a una connessione Partner Interconnect dello stesso provider di servizi o a connessioni Partner Interconnect di provider di servizi diversi.

Per Dedicated Interconnect

Puoi creare più collegamenti, uno per ogni progetto o rete VPC a cui vuoi connetterti.

Se hai molti progetti, puoi assegnare a ogni progetto il proprio collegamento VLAN e il proprio router Cloud durante la configurazione di tutti i collegamenti in modo che utilizzino la stessa connessione Dedicated Interconnect fisica in un progetto specificato.

Oltre ad essere una VLAN con ID 802.1q, il collegamento VLAN è un oggetto figlio di una connessione Cloud Interconnect esistente in un progetto.

In questo modello, ogni rete VPC ha una propria configurazione di routing. Se vuoi centralizzare i criteri di routing, puoi consultare il modello VPC condiviso e le considerazioni sul VPC condiviso. Puoi quindi terminare il collegamento VLAN nella rete VPC del progetto host del VPC condiviso. Il progetto host ha una quota per il numero massimo di collegamenti VLAN per connessione. Per maggiori dettagli, consulta Quote e limiti di Cloud Interconnect.

Posso utilizzare un'unica connessione Cloud Interconnect per connettere più siti on-premise alla mia rete VPC?

Puoi farlo facilmente. Ad esempio, se più siti fanno parte di una rete VPN MPLS, autogestita o gestita da un operatore, puoi aggiungere logicamente la rete VPC come sito aggiuntivo utilizzando un approccio simile all'opzione VPN Inter-AS MPLS (per ulteriori informazioni, consulta RFC 4364, paragrafo 10).

Questa soluzione è descritta nella risposta per mostrare una rete VPC nel servizio VPN MPLS di un partner. Applicando le funzionalità BGP del router Cloud, è possibile inserire route VPC all'interno di un'infrastruttura di core IP esistente utilizzando tecniche e architetture simili a quelle utilizzate per importare le route internet.

Come faccio a connettere Google Cloud ad altri provider di servizi cloud?

Cross-Cloud Interconnect ti aiuta a stabilire una connettività dedicata tra Google Cloud e uno qualsiasi dei seguenti provider di servizi cloud supportati:

  • Amazon Web Services (AWS)
  • Microsoft Azure
  • Oracle Cloud Infrastructure (OCI)
  • Alibaba Cloud

Per ulteriori informazioni, vedi Panoramica di Cross-Cloud Interconnect.

Se utilizzi un altro cloud provider non supportato da Cross-Cloud Interconnect, non è prevista una configurazione concordata tra i cloud provider per accoppiare fisicamente due connessioni. Tuttavia, se l'altro cloud provider offre un servizio di interconnessione di rete, puoi eseguire il routing tra lo spazio di indirizzi privati della rete VPC e la rete di un altro cloud provider.

Se il punto di connessione al servizio per l'altro cloud provider si trova nella stessa località di Cloud Interconnect, puoi eseguire il provisioning del tuo router in quella località per terminare i due servizi di connessione. Il router quindi instrada tra la rete VPC e la rete dell'altro cloud provider. Questa configurazione consente di eseguire il routing direttamente dalle due reti cloud alla rete on-premise con un ritardo minimo.

Alcuni operatori di Partner Interconnect sono in grado di offrire questa configurazione come servizio gestito, sulla base di un router virtuale. Se Google Cloud e l'altro cloud provider terminano i servizi di connessione in località diverse, devi fornire un circuito che colleghi le due località.

Come posso connettermi a Google Cloud senza posizionare le apparecchiature in una struttura di colocation vicino al perimetro di Google?

Alcuni provider di servizi di rete offrono il proprio router Cloud e soluzioni basate su Partner Interconnect ai clienti Google Cloud che non vogliono posizionare hardware vicino al perimetro di Google.

Per informazioni su come configurare le soluzioni Equinix con Google Cloud, consulta le istruzioni di configurazione di Equinix.

Per informazioni su come configurare Megaport con Google Cloud, consulta le istruzioni per la configurazione di Megaport.

Per informazioni su come configurare Console Connect con Google Cloud, consulta le istruzioni per la configurazione di Console Connect.

Collegamenti VLAN

Questa sezione riguarda le domande sui collegamenti VLAN.

Come faccio a scegliere l'ID VLAN utilizzato per un collegamento VLAN?

Per un collegamento VLAN creato con Partner Interconnect, il fornitore di servizi sceglie l'ID VLAN durante il processo di creazione o permette di sceglierlo tu. Rivolgiti al tuo fornitore di servizi per sapere se può scegliere l'ID VLAN per i collegamenti VLAN.

Per un collegamento VLAN creato con Dedicated Interconnect, puoi utilizzare il comando gcloud compute interconnects attachments create con il flag --vlan oppure puoi seguire le istruzioni della console Google Cloud.

L'esempio seguente mostra come utilizzare il comando gcloud per modificare l'ID VLAN in 5:

gcloud compute interconnects attachments dedicated create my-attachment \
  --router my-router \
  --interconnect my-interconnect \
  --vlan 5 \
  --region us-central1

Per istruzioni complete, consulta uno dei seguenti documenti:

Posso utilizzare un router Cloud con più di un collegamento VLAN?

Sì, questa è una configurazione supportata.

Posso configurare collegamenti la cui larghezza di banda combinata supera quella della mia connessione Cloud Interconnect?

Sì, ma la creazione di collegamenti con una larghezza di banda combinata superiore a quella della connessione Cloud Interconnect non ti fornisce più della larghezza di banda massima supportata della connessione.

Come posso aggiornare la configurazione del collegamento Partner Interconnect esistente per trasferire il traffico IPv6?

Se utilizzi un provider di servizi di livello 3, contatta il tuo provider Partner Interconnect e chiedigli di aiutarti con l'aggiornamento della configurazione.

MPLS (commutazione di etichette multiprotocollo)

Questa sezione riguarda le domande su Cloud Interconnect e Multiprotocol Label Switching (MPLS).

Posso utilizzare Cloud Interconnect per terminare un LSP MPLS all'interno della mia rete VPC?

Il VPC non offre funzionalità integrate in Google Cloud per terminare l'LSP MPLS.

Per un servizio VPN MPLS autogestito, posso mostrare la mia rete VPC come sito aggiuntivo?

Se gestisci un servizio VPN MPLS, puoi fare in modo che la rete VPC venga visualizzata come un sito aggiuntivo costituito da una VPN autogestita.

Questo scenario presuppone che tu non stia acquistando un servizio VPN MPLS da un provider. Hai invece un ambiente VPN MPLS in cui gestire e configurare autonomamente i router P e PE della rete MPLS.

Per fare in modo che la rete VPC venga visualizzata come sito aggiuntivo nel servizio VPN MPLS autogestito, segui questi passaggi:

  1. Connetti uno dei dispositivi periferici VPN MPLS al tuo dispositivo periferico di peering per Dedicated Interconnect utilizzando un modello simile all'opzione A della VPN Inter-AS MPLS (vedi RFC 4364, paragrafo 10). In altre parole, puoi terminare la VPN MPLS-VPN richiesta, ad esempio VRF_A, nel tuo dispositivo perimetrale PE, quindi utilizzare la mappatura VLAN-VRF per "unire" il collegamento VLAN Google Cloud a questa VPN, essenzialmente mappando la VLAN a VRF_A sul dispositivo perimetrale PE.

  2. Creare una sessione BGP IPv4 standard tra il router PE e il router Cloud per garantire che le route vengano scambiate tra loro. Le route inviate dal router Cloud vengono visualizzate solo nella tabella di routing VPN (all'interno di VRF_A) e non nella tabella di routing globale del dispositivo periferico PE.

    Puoi gestire gli intervalli IP sovrapposti creando più VPN separate. Ad esempio, VRF_A e VRF_B, ciascuno con una sessione BGP al router Cloud in una specifica rete VPC (ad esempio, VPC_A e VPC_B). Questa procedura non richiede l'incapsulamento MPLS tra il dispositivo periferico PE e il dispositivo periferico di peering per Dedicated Interconnect.

Posso mostrare la mia rete VPC come sito aggiuntivo nella VPN MPLS di un operatore che è anche un fornitore di servizi per Partner Interconnect?

Se acquisti un servizio VPN MPLS da un operatore che è anche un fornitore di servizi ufficiale per Partner Interconnect, puoi fare in modo che la rete VPC venga visualizzata come sito aggiuntivo nella VPN MPLS.

In questo caso, l'operatore gestisce e configura i router P e PE della propria rete MPLS. Poiché Partner Interconnect utilizza esattamente lo stesso modello di connettività di Dedicated Interconnect, l'operatore può utilizzare un modello simile all'opzione VPN Inter-AS MPLS (vedi RFC 4364, paragrafo 10).

Essenzialmente, l'operatore ti fornisce un servizio Partner Interconnect di livello 3, quindi "lega" il tuo collegamento VLAN alla VPN MPLS corretta sul dispositivo perimetrale dell'operatore. Poiché questo è un modello di servizio di livello 3, la sessione BGP viene stabilita tra il router Cloud e il VRF all'interno del dispositivo perimetrale dell'operatore. Per i dettagli, consulta la panoramica di Partner Interconnect.

Eventi di manutenzione dell'infrastruttura

Per maggiori informazioni, consulta Eventi di manutenzione dell'infrastruttura.

Gestione delle connessioni Cloud Interconnect

Come posso disconnettere o disabilitare temporaneamente la mia connessione Cloud Interconnect?

Se vuoi arrestare temporaneamente la connessione Dedicated Interconnect o Partner Interconnect (per test di failover o di allarme e così via), puoi utilizzare il comando seguente. 

  gcloud compute interconnects update my-interconnect --no-admin-enabled

Per riattivare la connessione, utilizza il seguente comando: 

  gcloud compute interconnects update my-interconnect --admin-enabled

Se devi scollegare fisicamente la connessione, collabora con il tuo provider per scollegare la connessione incrociata all'MMR nella tua struttura di colocation. Puoi fornire al provider la LDA originale fornita al provider per richiedere la disconnessione.

Se non hai più accesso alla LOA, invia un'email all'indirizzo cloud-interconnect-sd@google.com.

Dominio disponibilità perimetrale di Cloud Interconnect

Dedicated Interconnect: come confermi che le connessioni di interconnessione si trovano in domini di disponibilità perimetrale diversi?

Per confermare che le connessioni di interconnessione si trovano in domini di disponibilità perimetrale diversi, utilizza i comandi seguenti. I termini zona di disponibilità metropolitana e dominio disponibilità perimetrale sono intercambiabili. Per ulteriori informazioni, consulta Località di Cloud Interconnect.

gcloud compute interconnects describe INTERCONNECT_NAME

Nell'output, visualizza il campo location, che mostra un URL come https://www.googleapis.com/compute/...<example>.../sin-zone1-388. L'ultima parte dell'URL è il nome della posizione (sin-zone1-38).

Ora descrivi il LOCATION_NAME per visualizzare il dominio di disponibilità perimetrale in cui si trova.

gcloud compute interconnects locations describe LOCATION_NAME

L'output di questo comando contiene una riga che indica in quale dominio di disponibilità perimetrale si trova la connessione di interconnessione.

availabilityZone: zone1

Per visualizzare tutti i domini di disponibilità perimetrale per una determinata area metropolitana, consulta la tabella delle località.

Utilizza il comando seguente per confermare che due link si trovano in domini di disponibilità perimetrale diversi:

gcloud compute interconnects attachments describe VLAN_ATTACHMENT_NAME /
    --region REGION

L'output di questo comando contiene una riga simile a questa.

edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1

Esegui il comando per entrambi gli allegati per assicurarti che i domini di disponibilità perimetrale siano diversi.