Network Connectivity Center ist ein Orchestrierungs-Framework, das Netzwerkverbindungen zwischen Spoke-Ressourcen bietet, die mit einer zentralen Verwaltungsressource verbunden sind, Hub genannt. Network Connectivity Center unterstützt drei Arten von Spokes:
- VPC-Spokes (Virtual Private Cloud)
- Ersteller-VPC-Spokes (Vorabversion)
- Hybrid-Spokes, die aus Folgendem bestehen:
- HA VPN-Tunnel
- Cloud Interconnect-VLAN-Anhänge
- Router-Appliance-VMs
Mit der Hub-und-Spoke-Verbindung haben Sie folgende Möglichkeiten:
- Verbinden Sie mehrere VPC-Netzwerke miteinander. Die VPC-Netzwerke können sich in verschiedenen Projekten in derselben Google Cloud-Organisation oder in verschiedenen Organisationen befinden.
- Verbinden Sie mehrere VPC-Netzwerke mit lokalen oder anderen Netzwerken des Cloud-Anbieters. Diese externen Netzwerke können über jede Art von Hybrid-Spoke erreichbar sein. Dieser Ansatz wird als Site-to-Cloud-Konnektivität bezeichnet.
- Verwenden Sie Router-Appliance-VMs, um die Verbindung zwischen Ihren VPC-Netzwerken zu verwalten.
- Verwenden Sie ein Google Cloud-VPC-Netzwerk als Enterprise Wide Area Network (WAN), um Netzwerke außerhalb von Google Cloud zu verbinden. Sie können eine Verbindung zwischen Ihren externen Standorten mit einem beliebigen Hybrid-Spoke herstellen. Dieser Ansatz wird als Site-to-Cloud-Konnektivität bezeichnet.
Funktionsweise
Wenn ein Hub VPC-Spokes verwendet, können Sie die Verbindung zwischen den VPC-Netzwerken konfigurieren, die mit dem Hub verbunden sind, indem Sie Subnetzrouten zwischen allen oder einigen der VPC-Netzwerke austauschen.
Wenn ein Hub sowohl VPC-Spokes als auch Hybrid-Spokes verwendet, wird die „Any-to-Any“-Konnektivität über all diese Spokes unterstützt.
Wenn ein Hub Hybrid-Spokes in einem einzelnen VPC-Netzwerk verwendet, können Sie die Site-to-Site-Datenübertragung auch so konfigurieren, dass die dynamischen Routen, deren nächste Hops ein Hybrid-Spoke sind – z. B. ein Cloud Interconnect-VLAN-Anhang – in einem lokalen Netzwerk durch die BGP-Sitzungen der anderen Hybrid-Spokes im VPC-Netzwerk beworben werden.
In den folgenden Abschnitten finden Sie eine detaillierte Beschreibung von Hubs und Spokes.
Hubs
Ein Network Connectivity Center-Hub ist eine globale Ressource, an die Sie Spokes anhängen. Ein einzelner Hub kann Spokes aus mehreren Regionen enthalten. Wenn jedoch einer der Spokes eines Hubs die Site-to-Site-Datenübertragung verwendet, müssen sich die mit diesen Spokes verknüpften Ressourcen alle im selben VPC-Netzwerk befinden. Spokes, die keine Site-to-Site-Datenübertragung verwenden, können mit jedem VPC-Netzwerk in Ihrem Projekt verknüpft werden.
Spokes
Ein Spoke steht für eine oder mehrere Google Cloud-Netzwerkressourcen, die mit einem Hub verbunden sind.
Wenn Sie einen Spoke erstellen, müssen Sie ihn mindestens einer unterstützten Verbindungsressource zuordnen. Diese wird auch als Sicherungsressource bezeichnet.
Ein Spoke kann jede der folgenden Google Cloud-Ressourcen als Sicherungs-Ressource verwenden.
VPC-Spokes
Mit VPC-Spokes können Sie zwei oder mehr VPC-Netzwerke mit einem Hub verbinden, sodass die Netzwerke IPv4-Subnetzrouten austauschen. VPC-Spokes, die an einen einzelnen Hub angehängt sind, können auf VPC-Netzwerke im selben Projekt oder in einem anderen Projekt verweisen (einschließlich eines Projekts in einer anderen Organisation).
Ausführliche Informationen zu VPC-Spokes finden Sie unter VPC-Spokes.
VPC-Spokes bieten eine Konnektivität zwischen IPv4-Subnetzbereichen aus mehreren VPC-Netzwerken.
Ersteller-VPC-Spokes (Vorabversion)
Wenn Sie einen vorhandenen VPC-Spoke haben, der einen Dienst aus einem Erstellernetzwerk in einem anderen Projekt über VPC-Netzwerk-Peering nutzt, können Sie den Dienst für die anderen Spokes in Ihrem Network Connectivity Center-Hub erreichbar machen, indem Sie einen Ersteller-VPC-Spoke erzeugen.
Ausführliche Informationen zu Ersteller-VPC-Spokes finden Sie unter Ersteller-VPC-Spokes.
Hybrid-Spokes
Ein Hybrid-Spoke steht für eine oder mehrere Netzwerkkonnektivitätsressourcen, die mit einem Hub verbunden sind. Ein Hybrid-Spoke-Typ kann eine der folgenden Ressourcen sein, die einem Spoke zugeordnet sind:
- Router-Appliance-VMs
- HA VPN-Tunnel
- Cloud Interconnect-VLAN-Anhänge
Ein einzelner Hybrid-Spoke kann mehr als einer Ressource desselben Typs zugeordnet sein. Beispiel: Ein Hybrid-Spoke kann auf zwei oder mehr HA VPN-Tunnel verweisen, aber derselbe Hybrid-Spoke kann nicht auch auf Router-Appliance-VMs oder Cloud Interconnect-VLAN-Anhänge verweisen.
Für die Site-to-Site-Datenübertragung mit Hybrid-Spokes müssen sich die Spokes im selben VPC-Netzwerk befinden. Weitere Informationen finden Sie unter Übersicht über die Site-zu-Site-Datenübertragung.
Router-Appliance-Spokes
Ein Spoke, der mit einer VM-Instanz der Router-Appliance verknüpft ist, unterstützt die folgenden Anwendungsfälle:
- IPv4-Site-to-Cloud-Konnektivität: Sie können eine Verbindung zwischen einem externen Standort und Ihren VPC-Netzwerkressourcen herstellen.
- IPv4-Site-to-Site-Datenübertragung: Verwenden Sie das Google-Netzwerk als Teil eines Wide Area Network (WAN), das Ihre externen Websites umfasst, um Daten zwischen allen Standorten zu übertragen.
- IPv4-Konnektivität zwischen VPC-Netzwerken: Verwenden Sie eine virtuelle Appliance des Netzwerks, um eine Verbindung zwischen Ihren VPC-Netzwerken herzustellen.
Alle Site-to-Site-Spokes, die mit demselben Hub verbunden sind, müssen alle ihre unterstützenden Ressourcen im selben VPC-Netzwerk haben.
HA VPN-Tunnel-Spokes
Ein Spoke, der mit Cloud VPN-Tunneln (HA VPN) verknüpft ist, unterstützt die folgenden Anwendungsfälle:
- IPv4-Site-to-Cloud-Konnektivität: Sie können eine Verbindung zwischen einer externen Website und den Ressourcen Ihres VPC-Netzwerks herstellen.
- IPv4-Site-to-Site-Datenübertragung: Verwenden Sie das Google-Netzwerk als Teil eines Wide Area Network (WAN), das Ihre externen Websites umfasst, um Daten zwischen allen Standorten zu übertragen.
Alle Appliances, die von einem einzelnen Spoke aus verknüpft sind, und alle Cloud VPN-Tunnel und VLAN-Anhänge müssen sich im selben VPC-Netzwerk befinden.
Cloud Interconnect-VLAN-Anhang-Spokes
Ein Spoke, der mit Cloud Interconnect-VLAN-Anhängen verknüpft ist, unterstützt die folgenden Anwendungsfälle:
- IPv4-Site-to-Cloud-Konnektivität (alle Appliances, die mit einem einzelnen Spoke verknüpft sind, müssen sich im selben VPC-Netzwerk befinden)
- IPv4-Site-to-Site-Datenübertragung (alle Cloud VPN-Tunnel, VLAN-Anhänge oder beides müssen sich im selben VPC-Netzwerk befinden)
Routenaustausch mit VPC-Konnektivität
Network Connectivity Center-VPC-Spokes unterstützen nur den Austausch von Subnetz-IPv4-Adressbereichen, die private Adressen verwenden. Ausgenommen sind privat verwendete öffentliche IPv4-Adressen. Dynamische Routen, also Routen, die von Hybrid-Spokes über BGP erlernt werden, können auch mit VPC-Spokes oder anderen Hybrid-Spokes ausgetauscht werden. Statische Routen in einem Spoke-VPC-Netzwerk können nicht mit anderen VPC-Spokes im Hub ausgetauscht werden.
Hub-Subnetze für Hybrid-Spokes importieren
Sie können das automatische Advertising von VPC-Spoke-IP-Subnetzbereichen in lokalen und anderen Cloud-Anbieternetzwerken über BGP erreichen. Dazu aktivieren Sie den Import von Hub-Subnetzen für Hybrid-Spokes. Wenn diese Option aktiviert ist, werden alle neuen VPC-Subnetze, die erstellt oder gelöscht wurden und sich in der Hub-Routingtabelle befinden, automatisch von Hybrid-Spokes importiert und über BGP gegenüber ihren Remote-Peers beworben.
Wenn Sie IP-Adressbereiche des VPC-Spoke-Subnetzes automatisch in Hybrid-Spokes anbieten möchten, verwenden Sie während der Spoke-Erstellung das Flag --include-import-ranges
mit dem Feld ALL_IPV4_RANGES
. Standardmäßig ist das Feld --include-import-ranges
leer, was bedeutet, dass keine Hub-Subnetze in neue oder vorhandene Hybrid-Spokes importiert werden, bis ALL_IPV4_RANGES
angegeben ist.
Ausführliche Informationen zum Erstellen von Hybrid-Spokes finden Sie unter Mit Spokes arbeiten.
Benutzerdefiniertes Route Advertisement
Mit dem benutzerdefinierten Route Advertisement in Cloud Router können Sie die Präfixe manuell steuern, die von Hybrid-Spokes beworben werden.
Sie können benutzerdefinierte beworbene Routen (einschließlich Standardrouten, 0.0.0.0/0
für IPv4-Routen oder ::/0
für IPv6-Routen) für alle BGP-Sitzungen angeben, wenn Sie kein automatisches Advertising der VPC-Spoke-Subnetze benötigen. Standardmäßig werden andere VPC-Spoke-Subnetze nicht beworben. Das bedeutet, dass lokale Standorte nicht automatisch Informationen zur Erreichbarkeit dieser IP-Adressbereiche erhalten.
Hinweise zum Importieren von Hub-Subnetzen
Beachten Sie bei der Verwendung des Features zum Importieren von Hub-Subnetzen die folgenden Überlegungen.
- Alle VPC-Spoke-Subnetze in der Hub-Routingtabelle werden standardmäßig gegenüber einem Hybrid-Spoke beworben, wenn der Hybrid-Spoke
ALL_IPV4_RANGES
im Feld--include-import-ranges
angegeben hat. - Die Routenpriorität folgt in dieser Reihenfolge den Ziel-VPC-Netzwerksubnetzen, Hub-Subnetzen und benutzerdefinierten Cloud Router-Routen.
- Das Network Connectivity Center verhindert Überschneidungen zwischen dem Routing von VPC-Subnetzen und Hub-Subnetzen von anderen VPC-Spokes.
- Wenn eine benutzerdefinierte Cloud Router-Route genau mit den Landing-VPC-Subnetzen oder Hub-Subnetzen übereinstimmt oder sich mit ihnen überschneidet, wird die benutzerdefinierte Route dieses Cloud Routers ignoriert.
- Die BGP-Attribute von Hub-Subnetzen sind mit den Subnetzen des Hybrid-Spoke identisch.
- Cloud Router-Richtlinien für die BGP-Sitzung werden auch auf importierte Hub-Subnetze des Network Connectivity Centers angewendet.
- Wenn im Routing-VPC-Netzwerk des Hybrid-Spokes der dynamische Routingmodus auf
regional
festgelegt ist, werden nur Hub-Subnetze in derselben Region wie der Hybrid-Spoke beworben.
Beispielanwendungsfälle
In den folgenden Abschnitten werden die wichtigsten Anwendungsfälle von Network Connectivity Center beschrieben.
Verschiedene VPC-Netzwerke mit Network Connectivity Center verbinden
Wenn Sie zwei oder mehr VPC-Spokes an einen Hub anhängen, bietet Network Connectivity Center IPv4-Subnetzverbindungen zwischen allen VPC-Netzwerken, die durch die Spokes dargestellt werden. Die Verwendung eines Hubs vereinfacht die Verwaltung umfangreicher Mesh-Subnetzverbindungen. Informationen zur Anzahl der VPC-Netzwerke, die mit einem Hub verbunden werden können, finden Sie unter Kontingente.
Das folgende Diagramm zeigt zwei VPC-Spokes.
Lokale Verbindung für VPC-Spokes
VPC-Spokes können sich mit lokalen Netzwerken verbinden, indem sie Hybrid-Spokes verwenden, die sich in anderen (Routing-) VPC-Netzwerken befinden. Jeder Network Connectivity Center-Hub unterstützt mehrere VPC-Spokes und Cloud Interconnect-VLAN-Anhänge, HA VPN-Tunnel oder Router-Appliance-VMs, die als Hybrid-Spokes hinzugefügt wurden. Das folgende Diagramm zeigt einen Beispiel-Hub mit VPC-Spokes und Hybrid-Spokes im selben Network Connectivity Center-Hub.
Netzwerke über Router-Appliance-VMs verbinden
Network Connectivity Center kann Router-Appliance-VMs in den folgenden beiden IPv4-Konnektivitätsszenarien verwenden:
- VPC-Netzwerk mit dynamischen Routen mit einem lokalen oder anderen Netzwerk eines Cloud-Anbieters verbinden
- Zwei VPC-Netzwerke über dynamische Routen miteinander verbinden
Mit dieser Option verwaltet Cloud Router die BGP-Sitzungen für Router-Appliance-VMs.
Externes Netzwerk mit Google Cloud verbinden
Im folgenden Diagramm wird ein Hybrid-Spoke mit einer Router-Appliance-VM verwendet, um zwei VPC-Netzwerke mit einem externen Netzwerk zu verbinden. Die Cloud Router-VM hat in jedem VPC-Netzwerk eine Netzwerkschnittstelle (NIC).
Weitere Informationen zu diesem Anwendungsfall finden Sie unter Site-to-Cloud-Topologien, die eine Appliance eines Drittanbieters verwenden.
Verbindungen zwischen VPC-Netzwerken verwalten
Das folgende Diagramm verwendet einen Hybrid-Spoke mit einer Router-Appliance-VM, auf der spezielle Firewall- oder Paketinspektionssoftware zum Verbinden von zwei VPC-Netzwerken ausgeführt wird.
Weitere Informationen finden Sie unter VPC-zu-VPC-Topologie, die eine Appliance eines Drittanbieters verwendet.
Datenübertragung über das Google-Netzwerk (Site-to-Site)
Die Datenübertragung bietet IPv4-Verbindungen zwischen externen Netzwerken über ein Google Cloud-VPC-Netzwerk und Hybrid-Spokes. Sie können Daten zwischen mehreren lokalen Netzwerken oder in andere Cloud-Netzwerke übertragen.
Wenn Sie einen Hybrid-Spoke erstellen, können Sie die Datenübertragungsoption für diesen Spoke aktivieren. Wenn die Datenübertragung für Hybrid-Spokes aktiviert ist, die mit demselben Hub verbunden sind, werden die dynamischen Routen, die von jeder Router-Appliance-VM, jedem Cloud VPN-Tunnel oder jedem Cloud Interconnect-VLAN-Anhang erlernt werden, noch einmal beworben – gegenüber den anderen VMs, Tunneln oder VLAN-Anhängen, die mit einem beliebigen Hybrid-Spoke verknüpft sind, der mit demselben Hub verbunden ist. Für die Datenübertragung müssen alle Hybrid-Spokes auf Router-Appliance-VMs, Cloud VPN-Tunnel oder Cloud Interconnect-VLAN-Anhänge in einem einzelnen VPC-Netzwerk verweisen.
Angenommen, Sie haben Rechenzentren in New York, Sydney und Tokio. Nachdem Sie unterstützte Ressourcen verwendet haben, um Ihr VPC-Netzwerk mit jedem dieser Standorte zu verbinden, können Sie einen Spoke für jedes Netzwerk erstellen. Nachdem Sie diese Einrichtung abgeschlossen haben, bietet das Network Connectivity Center vollständige Mesh-Konnektivität zwischen allen drei Standorten.
Wie im folgenden Diagramm dargestellt, können Sie Spokes erstellen, die auf Konnektivitätsressourcen wie Cloud VPN, Cloud Interconnect und der Router-Appliance basieren.
Das Diagramm zeigt keine Cross-Cloud Interconnect-Verbindungen, aber Sie können auch Cross-Cloud Interconnect-VLAN-Anhänge verwenden.
Weitere Informationen zu diesem Anwendungsfall finden Sie unter Übersicht über die Site-to-Site-Datenübertragung.
Network Connectivity Center – Hinweise
Lesen Sie die folgenden Abschnitte, bevor Sie Network Connectivity Center einrichten.
IP-Adressierung
Das Network Connectivity Center unterstützt IPv4-Adressierung. IPv6 wird nicht unterstützt. Beispiel:
Wenn ein Spoke mit Site-to-Site-Datenübertragung aktiviert ist, unterstützen die mit den Spokes verknüpften Ressourcen IPv4-Traffic. Diese Spokes können keinen IPv6-Traffic austauschen. Diese Anweisung gilt für alle Spoke-Typen: Router-Appliance, VLAN-Anhang und VPN-Spokes.
Site-to-Cloud-Router-Appliances-Spokes unterstützen IPv4-Traffic. IPv6-Traffic wird nicht unterstützt.
Wenn Sie eine Router-Appliance-VM erstellen, muss die primäre interne IPv4-Adresse der VM eine RFC 1918-Adresse sein.
Wenn VPC-Spokes sowohl IPv4- als auch IPv6-Subnetze enthalten, werden zwischen ihnen nur IPv4-Subnetze ausgetauscht.
Routing
Von Network Connectivity Center-Hybrid-Spokes installierte Routen werden als dynamische Routen behandelt.
Informationen zum Umgang mit dynamischen Routen im Vergleich zu anderen Routentypen finden Sie in der VPC-Dokumentation unter Anwendbarkeit und Reihenfolge.
Ressource | Geeignete Anwendungsfälle |
---|---|
Priorisierung | Alle Hybrid-Spoke-Ressourcen verwenden Cloud Router. Weitere Informationen zur Verwendung des Pfadauswahlmodells durch Cloud Router finden Sie in der Cloud Router-Übersicht unter AS-Pfadvoranstellung und AS-Pfadlänge. |
ASN | Alle Nicht-Google-Peering-Router, die mit einem einzelnen Spoke verknüpft sind, müssen beim Bewerben von Präfixen an den Cloud Router dieselbe ASN verwenden. Dies ist wichtig, denn wenn zwei Peers dasselbe Präfix mit unterschiedlichen ASNs oder AS-Pfaden bewerben, werden nur die ASN und der AS-Pfad eines einzelnen Peers für dieses Präfix neu beworben. Unterschiedliche Spokes müssen unterschiedliche ASNs haben. Wenn also zwei BGP-Sitzungen zu unterschiedliche Spokes gehören, müssen sie unterschiedliche ASNs haben. Wenn Sie das Datenübertragungsfeature verwenden, müssen Sie ASNs zuweisen, wie unter ASN-Anforderungen für die Site-to-Site-Datenübertragung beschrieben. |
BGP-Sitzungen | BGP-Communitys werden nicht unterstützt. |
Änderungen des Route Advertisements bei Verwendung der Site-to-Site-Datenübertragung
Wenn Sie einem Hybrid-Spoke einen Cloud Interconnect-VLAN-Anhang oder einen Cloud VPN-Tunnel hinzufügen, aktualisiert Network Connectivity Center die entsprechende BGP-Sitzung für den VLAN-Anhang oder den Cloud VPN-Tunnel, sodass die Präfixe noch einmal beworben werden, die von BGP-Sitzungen der anderen Cloud Interconnect-VLAN-Anhängen oder Cloud VPN-Tunneln gelernt wurden, die mit einem der Hybrid-Spokes des Hubs verbunden sind, für die die Site-to-Site-Datenübertragung aktiviert ist.
Unterstützung für andere Produkte
In den folgenden Abschnitten wird beschrieben, wie Network Connectivity Center mit anderen Netzwerkprodukten und -features funktioniert.
VPC-Spokes und VPC-Netzwerk-Peering
Network Connectivity Center-VPC-Spokes unterstützen nur den Austausch von gültigen Subnetz-IPv4-Adressbereichen, die private Adressen verwenden. Ausgenommen sind privat verwendete öffentliche IPv4-Adressen, IPv6-Subnetzbereiche sowie statische und dynamische Routen.
Weitere Informationen zu VPC-Spokes des Network Connectivity Center finden Sie unter VPC-Spokes – Übersicht.
Weitere Informationen zum Austausch von Routen mithilfe von VPC-Netzwerk-Peering finden Sie unter Optionen für den Routenaustausch in der Dokumentation zum VPC-Netzwerk-Peering.
Obwohl Network Connectivity Center-VPC-Spokes den Austausch statischer oder dynamischer Routen nicht unterstützen, kann ein Spoke-VPC-Netzwerk die statischen und dynamischen Routen aus einem anderen VPC-Netzwerk mithilfe von VPC-Netzwerk-Peering importieren. Wenn das andere VPC-Netzwerk dynamische Routen mit Cloud Interconnect-VLAN-Anhängen oder Cloud VPN-Tunneln mit nächstem Hop hat, die eine Verbindung zu einem lokalen Netzwerk herstellen, können Sie das Spoke-VPC-Netzwerk mit dem lokalen Netzwerk verbinden. Verwenden Sie dazu benutzerdefinierten Route Advertisements von Cloud Router und Routenaustauschoptionen für VPC-Netzwerk-Peering, wie im Beispiel zum Transitnetzwerk in der VPC-Netzwerk-Peering-Dokumentation beschrieben.
Freigegebene VPC-Netzwerke
Wenn Sie freigegebene VPC-Netzwerke verwenden, müssen Sie den Hub im Hostprojekt erstellen. Diese Einschränkung gilt nur für Hybrid-Spokes.
Wir empfehlen Administratoren von Dienstprojekten die Rolle networkconnectivity.googleapis.com/spokeAdmin
. Weitere Informationen zu dieser Rolle und anderen Network Connectivity Center-Rollen finden Sie unter Rollen und Berechtigungen.
Legacy-Netzwerke
Spoke-Ressourcen können nicht Teil eines Legacy-Netzwerks sein.
VPN-Tunnel
Klassische VPN-Tunnel werden nicht unterstützt.
Datenübertragung
Wenn Sie Datenübertragungen verwenden, lesen Sie den Abschnitt Hinweise in der Übersicht über die Site-to-Site-Datenübertragung.
Service Level Agreement
Informationen zum Service Level Agreement (SLA) für Network Connectivity Center finden Sie unter Service Level Agreement (SLA) für Network Connectivity Center.
Preise
Informationen zu den Preisen finden Sie unter Preise für Network Connectivity Center.
Nächste Schritte
- Informationen zum Verwalten von Hubs und Spokes finden Sie unter Mit Hubs und Spokes arbeiten.
- Informationen zur Verwendung von Cloud VPN-Spokes finden Sie unter Zwei Standorte über Cloud VPN-Spokes verbinden.
- Eine Liste der Partner, deren Lösungen in Network Connectivity Center eingebunden sind, finden Sie unter Network Connectivity Center-Partner.
- Kontingente und Limits für das Network Connectivity Center finden Sie unter Kontingente und Limits.