本文档介绍了关于 Cloud Interconnect 功能和架构的常见问题,这些问题可归为以下几个主要类别:
- 通过 Cloud Interconnect 传输的流量
- Cloud Interconnect 架构
- VLAN 连接
- MPLS
- 基础架构维护事件
- Cloud Interconnect 连接管理
- Cloud Interconnect 边缘可用性区域
通过 Cloud Interconnect 传输的流量
本部分介绍通过 Cloud Interconnect 传输的流量的类型、带宽和加密方面的问题。
通过 Cloud Interconnect 可传输什么类型的数据包?
Cloud Interconnect 线路传输那些负载中含有 IPv4 数据包的 802.1q 以太网帧。这些帧也称为有 VLAN 标记的以太网帧。
802.1q 标头的 12 位 VLAN ID (VID) 字段值与创建 VLAN 连接时 Google Cloud 分配的 VLAN ID 值相同。有关详情,请参阅以下文档:
如何加密通过 Cloud Interconnect 传输的流量?
取决于您通过 Cloud Interconnect 访问的服务,您的流量可能已经过加密,而无需您执行任何特殊操作。例如,如果您要访问一个可通过 Cloud Interconnect 访问的 Google Cloud APIs,则流量已使用 TLS 加密(方式与通过公共互联网访问 API 时相同)。
您还可以为您创建的服务使用 TLS 解决方案,例如,在 Compute Engine 实例或 Google Kubernetes Engine pod 上提供并支持 HTTPS 协议的服务。
如果您只需要在本地路由器和 Google 边缘路由器之间加密,我们建议的解决方案是 MACsec for Cloud Interconnect。
如果您需要在 IP 层进行加密,建议的解决方案是部署通过 Cloud Interconnect 实现的高可用性 VPN。
如果您因某种原因而无法部署通过 Cloud Interconnect 实现的高可用性 VPN,则可以在 Virtual Private Cloud (VPC) 网络中创建一个或多个自行管理(非 Google Cloud)的 VPN 网关并为每个网关分配一个专用 IP 地址,例如,您可以在 Compute Engine 实例上运行 strongSwan VPN。然后,您可以在本地环境中终止那些经由 Cloud Interconnect 通往这些 VPN 网关的 IPsec 隧道。
如需了解详情,请参阅传输加密。
我可以通过专用互连创建 100 Gbps 的连接吗?
是的,您可以根据自己的需求将连接扩展至 Google。
Cloud Interconnect 连接由一个或多个部署为以太网端口通道链路 (LAG) 组的线路组成。一个连接中的线路可以是 10 Gbps 或 100 Gbps,但两者不能并存。
每个连接可以支持的最大容量为以下之一:
- 8 x 10 Gbps 线路(总共 80 Gbps)
- 2 x 100 Gbps 线路(总共 200 Gbps)
专用互连或合作伙伴互连支持 50 Mbps 到 50 Gbps 的 VLAN 连接容量。尽管合作伙伴互连支持的最大连接大小为 50 Gbps,但并非所有大小都可用,具体取决于所选服务提供商在所选位置提供的连接大小。
您可以订购多个连接,并利用 Cloud Router 路由器的边界网关协议 (BGP) 路由功能以“主动-主动”方式使用这些连接。
如需查看容量、配额和限制的详细列表,请参阅 Cloud Interconnect 价格以及配额和限制。
我可以通过 Cloud Interconnect 使用 IPv6 访问我的实例吗?
专用互连通过使用双栈(IPv4 和 IPv6)VLAN 连接,支持与本地网络的 IPv6 连接。
您可以通过两种方法在双栈 VLAN 连接中启用 IPv6 路由交换:一种是配置 IPv6 BGP 会话预览版,另一种是在 IPv4 BGP 会话中启用 IPv6 路由交换。如需了解如何创建双栈 VLAN 连接,请参阅创建 VLAN 连接。
如需了解如何通过 IPv4 BGP 会话启用 IPv6 路由交换,请参阅在 IPv4 或 IPv6 BGP 会话中配置多协议 BGP。
合作伙伴互连不支持 IPv6。
我可以指定 BGP 对等互连 IP 地址吗?
- 合作伙伴互连不可以指定。Google 会选择对等互连 IP 地址。
- 对于专用互连,您可以在创建 VLAN 连接时指定候选 IPv4 地址范围(CIDR 块)以供 Google 选择。此 CIDR 块必须位于 IPv4 链路本地地址范围
169.254.0.0/16内。您不能指定候选 IPv6 地址范围。Google 会从 Google 拥有的全球单播地址 (GUA) 范围2600:2d00:0:1::/64内选择一个范围。IPv6 BGP 对等互连目前为预览版。
我可以从本地通过 Cloud Interconnect 访问 Google API 吗?有哪些服务或 API 可用?
您可以通过两种方法访问 Google API:
选项 1:您可以为 VPC 网络中的一个或多个子网启用专用 Google 访问通道,并在这些子网中部署一个或多个反向代理实例。这些反向代理仅配置了 VPC 专用 IP,因此只能从本地通过 Cloud Interconnect 链路访问。使用此解决方案,可以授予对 Google Cloud API、Developer API 和大多数 Google Cloud 服务的大多数访问权限。
如需了解详情(包括专用 Google 访问通道支持的 Google Cloud 服务列表),请参阅配置专用 Google 访问通道。
选项 2:您可以为本地主机使用专用 Google 访问通道。在这种情况下,来自本地主机的请求必须发送到
restricted.googleapis.com,该网域会持续解析为 IPv4 范围199.36.153.4/30(也称为受限 VIP 范围)。要通告受限 VIP 范围,请在 Cloud Router 路由器上添加自定义路由。这可确保将发送到受限 VIP(作为目的地)的流量从本地通过 Cloud Interconnect 路由到 API 端点。如果使用这种解决方案,将只能访问那些支持受限 VIP 的 Google API 和服务。
如需了解配置详情和所支持服务的最新信息,请参阅为本地主机配置专用 Google 访问通道。
我可以将 Cloud Interconnect 用作专用通道,通过浏览器访问所有 Google Workspace 服务吗?
无法通过 Cloud Interconnect 访问 Google Workspace 应用。
为什么我的 BGP 会话在一定时间间隔后连续波动?
请检查本地 BGP IP 范围内是否有错误的子网掩码。
例如,您可能配置了 169.254.10.0/30,而不是 169.254.10.0/29。
我可以通过 L3 合作伙伴互连连接发送和获知 MED 值吗?
如果您使用的是合作伙伴互连连接(第 3 层服务提供商为您处理 BGP),则 Cloud Router 路由器将无法从本地路由器获知 MED 值,也无法向该路由器发送 MED 值。这是因为 MED 值无法通过自治系统。通过这种类型的连接,您无法为 Cloud Router 路由器通告到本地路由器的路由设置优先级。您也无法为本地路由器通告到 VPC 网络的路由设置路由优先级。
Cloud Interconnect 架构
本部分介绍在设计或使用 Cloud Interconnect 架构时的常见问题。
我可以重命名专用互连连接或将其迁移至其他项目吗?
不能。对专用互连连接进行命名后,您无法重命名该连接,也无法将其迁移至其他 Google Cloud 项目。而是必须删除连接,然后使用新名称或在其他项目中重新创建连接。
我可以使用 Cloud Interconnect 连接到公共互联网吗?
Cloud Interconnect 不会通告互联网路由。
如果我所在的 PoP 位置没有列在对接网点位置中,我该如何连接到 Google Cloud?
您可以采用两种方法,在此之后,即可进行专用互连的正常订购和预配流程:
- 选项 1:您可以从运营商处订购租用线路,以从您的入网点 (PoP) 位置连接到 Google 的一个 Cloud Interconnect 对接网点。通常,最好是联系您现有的对接网点提供商并获取联网的提供商列表。联网提供商是在您所在的建筑中已拥有基础设施的提供商。与必须构建基础设施才能在您所在的 PoP 位置与您连接的其他提供商相比,使用联网提供商更为实惠快捷。
- 选项 2:您可以使用合作伙伴互连,与可以提供最后一公里线路与您连接的服务提供商合作。对接网点提供商通常无法提供此类服务,因为其位置固定,您必须已经位于这些固定位置。
如果我使用合作伙伴互连,我是否会在创建 VLAN 连接的项目中看到此连接?
使用合作伙伴互连服务时,连接的对象在服务提供商项目中创建,在您的项目中看不到此对象。VLAN 连接 (interconnectAttachment) 您的项目内部仍然可见,这和在 Cloud Interconnect 中一样。
如何创建使用 Cloud Interconnect 的冗余架构?
根据所需的 SLA,您必须为专用互连和合作伙伴互连实现特定架构。
如需了解 SLA 承诺 99.99% 可用性的生产级架构拓扑以及 SLA 承诺 99.9% 可用性的非关键应用拓扑,请参阅 Cloud Interconnect 教程。
这些服务等级协议 (SLA) 级别指的是 Cloud Interconnect 连接的可用性,即本地位置与 VPC 网络之间的路由连接的可用性。例如,如果您在可通过 Cloud Interconnect 访问的 Compute Engine 实例上创建服务,则该服务的可用性取决于 Cloud Interconnect 服务和 Compute Engine 服务的综合可用性。
- 对于专用互连,单个连接(LACP 捆绑包)无正常运行时间服务等级协议 (SLA)。
- 对于合作伙伴互连,单个 VLAN 连接无正常运行时间服务等级协议 (SLA)。
单个连接/软件包故障的问题按照不高于“P3:中度影响 - 服务受到部分影响”的支持案例优先级进行处理,因此您不能期望能够快速解决此问题或进一步分析根本原因。
由于计划内或计划外的维护,单个链路或链路捆绑甚至有可能长时间中断,例如数小时或数天。
我可以在本地应用和内部负载均衡器后端之间通过 Cloud Interconnect 转发流量吗?
在此场景中,您部署了一个由两个层级组成的应用:尚未迁移到 Google Cloud 的本地层级(旧版层级)以及在 VPC 实例(这些实例也是 Google Cloud 内部负载均衡器的后端)上运行的云端层级。
只要在 Cloud Router 路由器与您的本地路由器之间实现必要的路由,就可以使用 Cloud Interconnect 在这两个应用层级之间转发流量。请考虑项目两种情况:
第 1 种情况:Cloud Router 和负载均衡器后端位于同一区域中。
由于用于处理此应用的流量的 VLAN 连接的 Cloud Router 路由器与包含负载均衡器后端的子网位于同一区域中,因此可以转发流量,而无需进行其他设置。
第 2 种情况:Cloud Router 和负载均衡器后端位于不同的区域中。
在此场景中,由于 Cloud Router 路由器和负载均衡器后端位于不同的区域中,因此您需要配置以下内容:
- 在 VPC 中启用全球动态路由模式。
- 在负载均衡器中启用全球访问模式。
详情请参阅以下内容:
我可以在 Google Cloud 项目或组织之间迁移一个或多个 Cloud Interconnect 实例吗?
如果您想将项目迁移到新的 Google Cloud 组织,请创建支持请求,Google Cloud 支持可以帮助您进行迁移。
只要项目保持不变,组织变更不会影响专用互连和 VLAN 连接。
对于项目变更,如果您正在执行 Cloud Interconnect 激活并且具有授权书 (LOA),但尚未完成激活,请取消当前激活并在正确的项目中创建新的激活。Google 会为您颁发新的授权书 (LOA),然后您可以将其提供给 Cloud Interconnect 连接提供商。如需了解相关步骤,请参阅订购连接和检索 LOA-CFA。
活跃 Cloud Interconnect 连接无法在项目之间移动,因为它是项目的子对象,系统无法在项目之间自动迁移对象。如有可能,您应该开始申请新的 Cloud Interconnect 连接。
如何使用同一个 Cloud Interconnect 连接来连接同一 Google Cloud 组织内多个项目中的多个 VPC 网络?
对于专用互连或合作伙伴互连,您可以使用共享 VPC 或 VPC 网络对等互连在多个 VPC 网络之间共享单个连接。如需了解相关步骤,请参阅用于连接到多个 VPC 网络的选项。
对于合作伙伴互连
如果您因为某些原因(例如,您需要隔离各个 VPC 网络)而无法使用共享 VPC 或 VPC 网络对等互连,则必须创建额外的 VLAN 连接。创建更多连接可能会产生额外费用。
如果您有多个 VLAN 连接(包括不同项目中的连接),则可以将它们与来自同一服务提供商或不同服务提供商的合作伙伴互连连接配对。
对于专用互连
您可以创建多个连接,并为每个项目或每个要连接的 VPC 网络使用一个连接。
如果您有多个项目,则可为每个项目提供各自的 VLAN 连接和 Cloud Router 路由器,同时将所有连接配置为使用指定项目中的同一个物理专用互连连接。
VLAN 连接除了是具有 802.1q ID 的 VLAN 之外,还是项目中存在的 Cloud Interconnect 连接的子对象。
在此模型中,每个 VPC 网络都有自己的路由配置。如果要集中管理路由政策,您可以查看共享 VPC 模型和共享 VPC 注意事项。然后,您可以在共享 VPC 宿主项目的 VPC 网络中终止 VLAN 连接。对于每个连接的 VLAN 连接数量上限,宿主项目都有配额。如需了解详情,请参阅 Cloud Interconnect 配额和限制。
我可以使用单个 Cloud Interconnect 连接将多个本地站点连接到我的 VPC 网络吗?
您可以轻松执行此操作。例如,如果有多个站点是自行管理或由运营商管理的 MPLS VPN 网络的一部分,则可以使用类似于跨域 MPLS VPN Option A(如需了解详情,请参阅 RFC 4364,第 10 段)的方法将 VPC 网络以逻辑方式添加为额外站点。
关于“令 VPC 网络显示在合作伙伴的 MPLS VPN 服务中”的回答对这个解决方案进行了说明。利用 Cloud Router 的 BGP 功能,可以使用类似于导入互联网路由的技巧和架构,在现有 IP 核心架构内注入 VPC 路由。
如何将 Google Cloud 连接到其他云服务提供商?
Cross-Cloud Interconnect 可帮助您在 Google Cloud 和以下受支持的云服务提供商之间建立专用连接:
- Amazon Web Services (AWS)
- Microsoft Azure
- Oracle Cloud Infrastructure (OCI)
- 阿里云
如需了解详情,请参阅 Cross-Cloud Interconnect 概览。
如果您使用的另一个云服务商不受 Cross-Cloud Interconnect 支持,则云服务商之间不存在一致认可的配置来物理拼接两个连接。但是,如果另一个云服务商提供网络互连服务,您可以在 VPC 网络的专用地址空间和另一个云服务商的网络之间进行路由。
如果另一个云服务商的服务连接点与 Cloud Interconnect 位于同一位置,您可以在该位置预配您自己的路由器来终结这两个连接服务。然后,路由器将在 VPC 网络和另一个云服务商的网络之间进行路由。借助此配置,您将能够以最低的延迟直接从两个云网络路由到本地网络。
一些合作伙伴互连运营商能够基于虚拟路由器将此配置作为托管式服务提供。如果 Google Cloud 和另一个云服务商在不同位置终结连接服务,您必须提供连接这两个位置的线路。
如果不将设备部署在 Google 网络边缘附近的对接网点,该如何连接到 Google Cloud?
对于不希望将硬件部署在 Google 边缘附近的 Google Cloud 客户,某些网络服务提供商提供了自己的 Cloud Router 路由器和基于合作伙伴互连的解决方案。
如需了解如何为 Google Cloud 设置 Equinix 解决方案,请参阅 Equinix 配置说明。
如需了解如何使用 Google Cloud 设置 Megaport,请参阅 Megaport 配置说明。
如需了解如何使用 Google Cloud 设置 Console Connect,请参阅 Console Connect 配置说明。
VLAN 连接
本部分介绍有关 VLAN 连接的问题。
如何选择用于 VLAN 连接的 VLAN ID?
对于使用合作伙伴互连创建的 VLAN 连接,服务提供商会在连接创建过程中选择 VLAN ID,或者允许您自行选择该 ID。请咨询您的服务提供商,确定是否允许您为 VLAN 连接选择 VLAN ID。
对于使用专用互连创建的 VLAN 连接,您可以将 gcloud compute interconnects attachments create 命令与 --vlan 标志结合使用,也可以按照 Google Cloud 控制台说明操作。
以下示例展示了如何使用 gcloud 命令将 VLAN ID 更改为 5:
gcloud compute interconnects attachments dedicated create my-attachment \ --router my-router \ --interconnect my-interconnect \ --vlan 5 \ --region us-central1
如需查看完整说明,请参阅以下某个文档:
我可以将一个 Cloud Router 路由器与多个 VLAN 连接一起使用吗?
可以,这是受支持的配置。
我可以配置总带宽超过 Cloud Interconnect 连接带宽的连接吗?
可以,但创建总带宽超过 Cloud Interconnect 连接的连接,并不能让总带宽超过支持的连接带宽上限。
如何更新现有合作伙伴互连连接设置以传输 IPv6 流量?
如果您使用第 3 层服务提供商,请与您的合作伙伴互连提供商联系,让他们帮助您完成设置更新。
MPLS
本部分介绍有关 Cloud Interconnect 和多协议标签交换 (MPLS) 的问题。
我可以使用 Cloud Interconnect 在我的 VPC 网络内终止 MPLS LSP 吗?
VPC 不提供在 Google Cloud 中终止 MPLS LSP 的内置功能。
对于自行管理的 MPLS VPN 服务,我可以将我的 VPC 网络显示为额外站点吗?
如果您有自行管理的 MPLS VPN 服务,则可以将 VPC 网络显示为由自行管理的 VPN 组成的额外站点。
此场景假设您不是从提供商处购买 MPLS VPN 服务,而是拥有一个 MPLS VPN 环境,您可以在该环境中自行管理和配置 MPLS 网络的 P 和 PE 路由器。
要使您的 VPC 网络在自行管理的 MPLS VPN 服务中显示为额外站点,请执行以下操作:
使用与跨域 MPLS VPN Option A(请参阅 RFC 4364,第 10 段)类似的模型,针对专用互连将您的一个 MPLS VPN PE 边缘设备连接到您的对等互连边缘设备。换句话说,您可以在 PE 边缘设备上终止所需的 MPLS-VPN VPN(例如 VRF_A),然后使用 VLAN 到 VRF 的映射将 Google Cloud VLAN 连接“加入”到此 VPN 中,实质上就是在 PE 边缘设备上将 VLAN 映射到 VRF_A。
在 PE 路由器和 Cloud Router 路由器之间创建一个标准的 IPv4 BGP 会话,以确保这两种路由器之间的路由交换。Cloud Router 路由器发送的路由只出现在 VPN 路由表中(在 VRF_A 中),而不会出现在 PE 边缘设备的全局路由表中。
您可以通过创建多个独立的 VPN 来管理重叠的 IP 范围。 例如,VRF_A 和 VRF_B 均与特定 VPC 网络(例如 VPC_A 和 VPC_B)中的 Cloud Router 路由器建立了一个 BGP 会话。此过程不需要针对专用互连在 PE 边缘设备与对等互连边缘设备之间进行任何 MPLS 封装。
如果我的 MPLS VPN 由运营商提供,该运营商同时也是合作伙伴互连的服务提供商,我是否可以将我的 VPC 网络显示为 MPLS VPN 中的额外站点?
如果您的 MPLS VPN 服务是从运营商购买的,该运营商同时为合作伙伴互连的官方服务提供商,那么您可以将您的 VPC 网络显示为 MPLS VPN 中的额外站点。
在这种情况下,由运营商管理和配置其 MPLS 网络的 P 和 PE 路由器。由于合作伙伴互连使用与专用互连完全相同的连接模型,因此运营商可以使用与跨域 MPLS VPN Option A(请参阅 RFC 4364,第 10 段)类似的模型。
从本质上讲,运营商向您提供第 3 层合作伙伴互连服务,然后在运营商的边缘设备上将您的 VLAN 连接与正确的 MPLS VPN“绑定”。由于这是第 3 层服务模型,因此您的 Cloud Router 路由器与 VRF 之间在运营商边缘设备内建立 BGP 会话。如需了解详情,请参阅合作伙伴互连概览。
基础架构维护事件
什么是基础架构维护事件?
Cloud Interconnect 可能需要定期执行可能会影响网络的计划性维护。此外,也可能会发生可能会导致线路停机的紧急或非计划性维护事件。Google 建议创建高可用性混合网络拓扑。
计划性基础架构维护事件多久进行一次?
基础架构维护事件相隔的时间不固定,但通常是一年几次。
如何知道基础架构维护事件何时发生?
大多数通知仅适用于潜在中断,并且可以调整维护事件。在此类情况下,您可能无法执行流量重定向等操作。如需降低流量中断的可能性,请参阅最佳实践页面。
在计划性基础架构维护事件发生之前,专用互连用户会收到以下通知:
- 在计划好有影响的维护后,系统会立即向所有专用互连连接项目所有者发送电子邮件。
电子邮件会发送到 Cloud Interconnect 对象的 nocContactEmail 字段中列出的地址。您可以在 Google Cloud 控制台上的 Cloud Interconnect 详细信息页面或使用以下
gcloud命令找到和修改此对象:gcloud compute interconnects describe my-interconnect
系统会向列出的用于托管专用互连连接的项目的任何技术联系人发送电子邮件。
一则通知会显示在 Google Cloud 控制台的活动标签页和通知区域中。
合作伙伴互连用户会收到以下通知:
- 系统会向用于托管 VLAN 连接的项目的任何技术联系人发送电子邮件。
- 系统会向用于托管 VLAN 连接的项目的所有项目所有者发送电子邮件。
对于合作伙伴互连用户,通知不会显示在 Google Cloud 控制台中。
除了通知项目所有者之外,Cloud Interconnect 还会使用 Essential Contacts API 发送有关即将进行的维护事件的通知。如果您没有为项目分配技术联系人,则通知将基于 IAM 角色发送到后备联系人。
为确保您能够接收有关维护事件的适当通知,请为托管专用互连连接或 VLAN 连接的任何项目指定至少一个技术联系人。
如需详细了解如何为项目分配技术联系人,请参阅管理通知联系人。
一个边缘可用性网域的单个链路没有服务等级协议 (SLA)。为防止在维护期间失去服务的访问权限,请确保在不同的边缘可用性网域中预配两个链路。
Cloud Interconnect 连接管理
如何暂时断开或停用 Cloud Interconnect 连接?
如果您要暂时关停专用互连连接或合作伙伴互连连接(以进行故障切换测试或警报测试等操作),可以使用以下命令。
gcloud compute interconnects update my-interconnect --no-admin-enabled
如需重新启用连接,请使用以下命令:
gcloud compute interconnects update my-interconnect --admin-enabled
如果您需要物理分离连接,请与您的提供商联系,以在对接网点处插入 MMR 的交叉连接。您可以向提供商提供原始提供的授权书 (LOA),以请求断开连接。
如果您不再有权访问授权书 (LOA),请发送电子邮件至 cloud-interconnect-sd@google.com。
Cloud Interconnect 边缘可用性网域
专用互连:如何确认互连连接位于不同的边缘可用性网域?
如需确认互连连接位于不同的边缘可用性网域,请使用以下命令。术语“都市可用性区域”和“边缘可用性网域”可以互换。如需了解详情,请参阅 Cloud Interconnect 位置。
gcloud compute interconnects describe INTERCONNECT_NAME
在输出中,查看 location 字段,该字段会显示一个网址,如 https://www.googleapis.com/compute/...<example>.../sin-zone1-388.。该网址的最后一部分是位置的名称 (sin-zone1-38)。
现在,描述 LOCATION_NAME 以查看其所在的边缘可用性网域。
gcloud compute interconnects locations describe LOCATION_NAME
此命令的输出包含一行,指示互连连接所在的边缘可用性网域。
availabilityZone: zone1
如需查看给定都市区域的所有边缘可用性网域,请参阅位置表。
合作伙伴互连:如何确认两个链路位于不同的边缘可用性网域?
使用以下命令确认两个链路位于不同的边缘可用性网域:
gcloud compute interconnects attachments describe VLAN_ATTACHMENT_NAME /
--region REGION
此命令的输出包含如下所示的一行。
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
对这两个连接运行该命令,以确保边缘可用性网域不同。