NCC 閘道總覽

NCC 閘道是一種輪輻類型,可連結至 Network Connectivity Center 中樞。這項區域產品可保護 Cross-Cloud Network 流量安全。NCC Gateway 可讓您啟用安全防護功能,例如第三方安全服務邊緣 (SSE),這是安全存取服務邊緣 (SASE) 的雲端安全防護元件,並終止互連連線。

NCC 閘道提供下列功能:

  • 簡化 SSE 整合:您可以順暢整合 SSE,並透過透明的導向功能,提升使用者對應用程式的保護和效能。
  • 區域部署:您可以根據與資料中心或其他雲端服務供應商的實際距離,在不同區域部署 NCC 閘道。
  • 安全地連線至遠端工作者:您可以安全地將遠端工作者 (例如分公司、資料中心和遠端辦公室的工作者) 連線至 Google Cloud、地端部署環境或其他雲端供應商的私人應用程式,以及 Palo Alto Networks Prisma Access 和 Symantec Cloud Secure Web Gateway (Cloud SWG) 等公開應用程式。
  • 強化安全性:您可以為多雲流量啟用 SSE 等安全防護功能。
  • 簡化管理:NCC 閘道可協助您降低管理虛擬私有雲網路,以及連線至遠端網路的複雜度和營運成本。
  • 掌握效能:NCC Gateway 可提供指標和遙測資料,協助您深入瞭解網路效能。

優點

NCC 閘道具備下列優勢:

  • 減少延遲,提供最佳應用程式體驗:透過 NCC Gateway 消耗高頻寬的雲端優先 SSE 服務,並透過 Google 私人骨幹提升效能。

  • 為所有使用者流量提供統一的安全防護:透過單一整合式安全防護堆疊提升安全防護機制,並限制進入和離開點,減少攻擊面。

  • 透過 Network Connectivity Center 簡化管理作業。

重要詞彙

如要瞭解 NCC 閘道,請先熟悉下列術語:

混合式連結:您設定的混合式連線,可直接連上 NCC 閘道。

安全服務功能:附加至 NCC 閘道的服務。舉例來說,如要保護使用者與應用程式之間的連線,您必須將 SSE 服務附加至 NCC Gateway。

應用程式或工作負載 VPC 網路:工作負載 VPC 網路通常是使用 Compute Engine 虛擬機器 (VM) 或 Google Kubernetes Engine (GKE) 容器做為工作負載的網路。工作負載虛擬私有雲網路可以是正規虛擬私有雲網路,也可以是具有主專案和多個服務專案的共用虛擬私有雲。工作負載虛擬私有雲網路必須在中樞中設定為輪輻。

輪輻群組:在 Network Connectivity Center 中樞內分組輪輻的方式。您可以透過 Spoke 群組,將 Spoke 分隔到不同的路由網域。 輪輻群組可以包含多個輪輻,但輪輻只能屬於一個群組。如要進一步瞭解不同拓撲的輪輻群組,請參閱「預設連線拓撲」。

混合式檢查拓撲:可讓您將 NCC 閘道輪輻新增至群組,以套用政策。如要瞭解混合式檢查拓撲,請參閱「混合式檢查拓撲」。

Secure Access Connect:可將第三方 SSE 產品連線至 NCC Gateway,以進行安全處理及安全網際網路輸出。如要瞭解 Secure Access Connect,請參閱「Secure Access Connect 總覽」。

支援的 SSE 產品

NCC Gateway 支援連線至下列 SSE 產品:

用途

NCC Gateway 非常適合想保護混合型工作團隊應用程式存取權的機構。NCC Gateway 透過整合式合作夥伴生態系統,為混合型工作團隊提供安全防護,讓您能夠與自己選擇的 SSE 供應商連線。透過 NCC Gateway,您可以安全存取 Google Cloud、地端部署環境、其他雲端供應商和網際網路上託管的私人應用程式,以及 SaaS 應用程式。NCC Gateway 可讓您建立區域部署,盡量靠近資料中心,並在 Google Cloud的私人骨幹上管理跨區域流量。

Google Cloud 使用者的用途包括:

  • 將使用者導向網際網路
  • 將 Branch 使用者導向私人應用程式
  • 私人應用程式連上網際網路

部分支援的合作夥伴提供下列一或多個用途:

  • 行動裝置使用者連上網際網路
  • 行動裝置使用者存取私人應用程式
  • 將使用者導向合作夥伴應用程式
  • 私有應用程式到合作夥伴應用程式

流量

本節說明 NCC Gateway 中的流量路徑,視各用途而定。

Google Cloud 使用者用途的流量流程

將使用者導向網際網路

在下圖中,流量會從地端分支機構使用者,透過 NCC 閘道和第三方 SSE 堆疊傳輸至網際網路。

將使用者導向網際網路流量流程。
分支使用者至網際網路流量流程 (按一下可放大)。

將 Branch 使用者導向私人應用程式

在下圖中,流量會從內部部署分支機構使用者流經 NCC 閘道,再經過第三方 SSE,然後透過 NCC 閘道返回私人應用程式。

將使用者導向私人應用程式流量流程。
將使用者導向私人應用程式 流量流程 (按一下可放大)。

私人應用程式連上網際網路

在下圖中,流量會從 Google Cloud透過 NCC Gateway 傳輸,經過第三方 SSE,然後再透過 NCC Gateway 返回網際網路。

私人應用程式的網際網路流量。
私人應用程式的網際網路流量流程 (按一下可放大)。

支援合作夥伴使用案例中的流量流程

行動裝置使用者連上網際網路

在下圖中,行動裝置使用者流量會透過第三方 SSE 流向網際網路。在這種情況下,流量不會經過 NCC 閘道。

行動使用者到網際網路流量的流動。
行動裝置使用者至網際網路的流量流程 (按一下即可放大)。

行動裝置使用者存取私人應用程式

在下圖中,行動裝置使用者的流量會透過第三方 SSE 服務和 NCC 閘道,傳送至虛擬私有雲網路中代管的私人應用程式。

行動裝置使用者前往私人應用程式流量流程。
行動裝置使用者前往私人應用程式流量流程 (按一下即可放大)。

將使用者導向合作夥伴應用程式

在下圖中,流量會從內部部署分公司使用者流經 NCC 閘道,再經過第三方 SSE,然後透過 NCC 閘道返回內部部署分公司。

將使用者導向合作夥伴應用程式流量流程。
將分店使用者導向合作夥伴應用程式流量流程 (按一下即可放大)。

私有應用程式到合作夥伴應用程式

在下圖中,流量會從私人應用程式流經 NCC 閘道,穿過第三方 SSE,然後透過 NCC 閘道返回合作夥伴應用程式。

私人應用程式到合作夥伴應用程式的流量流程。
從私人應用程式到合作夥伴應用程式的流量流程 (按一下可放大)。

處理量

NCC 閘道輪輻的處理容量就是佈建的頻寬。您必須提供足夠的頻寬,以因應每個流量方向,並留意某些流量的封包可能會針對每個流量方向多次進出閘道 Spoke。

請參考下列範例,計算閘道 Spoke 的必要處理容量。

範例:將使用者導向網際網路

假設分公司的內部部署網路已連上網際網路,如「分公司使用者連上網際網路」使用案例所示。封包會在每個方向各周遊一次 NCC 閘道,而分支機構和網際網路需要 1 Gbps 全雙工頻寬:分支機構地端部署網路到網際網路的流量需要 1 Gbps,網際網路到分支機構網路的流量也需要 1 Gbps。在這種情況下,使用者需要 2 Gbps 的處理容量。這個範例也假設 SSE 合作夥伴不會捨棄任何封包。如果所選 SSE 合作夥伴建議的頻寬高於本範例的計算結果,請採用合作夥伴的建議。

範例:將使用者導向私人應用程式

假設分公司的內部部署網路已連線至Google Cloud ,如「分公司使用者存取私人應用程式」用途所示,且分公司和私人應用程式需要 1 Gbps 全雙工頻寬:分公司到應用程式的流量為 1 Gbps,應用程式到分公司的流量為 1 Gbps。這個範例也假設 SSE 合作夥伴不會捨棄任何封包。如果所選 SSE 合作夥伴建議的頻寬高於本範例計算結果,請採用合作夥伴的建議。

將分公司內部部署網路連線至 Network Connectivity Center 中樞的 NCC 閘道輪輻,需要兩個 1 Gbps 的 VLAN 連結,才能符合 Cloud Interconnect 服務等級協議規定。這樣一來,即使某個 VLAN 連結離線 (例如互連網路連線維護),一個 VLAN 連結仍可在分支機構和私人應用程式之間提供 1 Gbps 的全雙工頻寬。

閘道輪輻的必要處理容量為 4 Gbps,原因如下:

  • 從分公司地端部署網路到 Network Connectivity Center 中樞的流量需要 1 Gbps 的頻寬。由於閘道會在下列兩個位置處理這類流量,因此需要 2 Gbps 的閘道頻寬:

    • 1 Gbps,因為連線至分支機構的 VLAN 連結封包會進入閘道輪輻
    • 封包離開閘道輪輻並進入中樞時為 1 Gbps

  • 從 Network Connectivity Center 中樞到分支機構內部部署網路的流量,也需要 1 Gbps 的頻寬。由於閘道會在下列兩個位置處理這類流量,因此需要額外 2 Gbps 的閘道頻寬:

    • 封包離開中繼站並進入閘道 Spoke 時為 1 Gbps
    • 封包離開閘道輪輻並傳送至連線至分支機構的 VLAN 連結時,速率為 1 Gbps

建議您採用下列策略,設定閘道處理容量和 VLAN 連結頻寬:

  • 閘道處理容量是所有閘道 NIC 雙向所需的頻寬總和。
  • 與閘道處理容量不同,VLAN 連結頻寬是全雙工。即使使用相同互連網路連線的 VLAN 連結發生故障,也請務必佈建足夠數量的 VLAN 連結,以支援所需的頻寬。

注意事項

使用 NCC Gateway 時,請注意下列事項:

  • NCC Gateway 僅支援插入 SSE 服務。
  • 您只能將 VLAN 連結附加至 NCC Gateway 輪輻。不支援 Cloud VPN 和路由器設備。
  • 所有 NCC 閘道輪輻都必須位於同一個「gateways」輪輻群組。如要設定 NCC 閘道,Network Connectivity Center 中樞必須使用預設混合式檢查拓撲
  • NCC 閘道一次只能附加一項服務。
  • Cloud Router 必須連結至同一個地區的 NCC 閘道。
  • 只有透過連結至 NCC 閘道的 Cloud Router 建立的 VLAN 連結,才會連結至閘道。
  • 每個中樞的每個地區只能有一個 NCC 閘道輪輻。
  • NCC 閘道輪輻和中樞必須位於同一個專案。
  • 建立閘道 Spoke 時,您必須指定處理容量。日後可視需要變更處理容量。
  • 您無法變更已指派的 IP 位址範圍。部分 IP 位址範圍保留給 SSE 合作夥伴。
  • 沒有流量導向政策可略過 NCC 閘道的流量子集。
  • 閘道 advertise 路由不會顯示在虛擬私有雲路由表中。您可以在虛擬私有雲網路所屬輪輻群組的中心路由表中查看。
  • 系統會使用標準最佳路徑選取模式,設定閘道通告的路徑。
    • 中樞路徑表中的閘道通告路徑優先順序,會反映有效的 Andromeda 路徑優先順序,例如 6553665537。 計算有效的 Andromeda 路由優先順序時,系統會將建立閘道通告路由時的優先順序納入考量。
    • 靜態路徑的優先順序一律介於 0-65535 之間,因此對於相同目的地前置碼,靜態路徑的優先順序高於閘道通告路徑。因此,如果您想使用目的地為 0/0 的閘道 advertise 路由,將網際網路流量導向閘道,可能需要移除系統產生的預設路徑

閘道和中樞路徑資料表的有效路徑檢視畫面

您可以從區域的角度查詢中樞路徑表,選取路徑時會考量區域間的費用,無論路徑是否經過閘道。如果您從特定區域傳送封包,這項查詢可讓您查看哪個特定閘道執行個體會接收流量。

使用者歷程範例

如果沒有預先建立的連線設定,請參閱 NCC 閘道設定總覽

定價

如需定價資訊,請參閱 Network Connectivity Center 定價

後續步驟