Network Connectivity Center 是一種協調架構,可簡化連線至中央管理資源 (稱為「中樞」) 的「輪輻」資源之間的網路連線。Network Connectivity Center 支援下列類型的輪輻:
- 虛擬私有雲 (VPC) 輪輻
- 供應商虛擬私有雲輪輻
- NCC 閘道輪輻
- 混合式輪輻,包括:
- 高可用性 VPN 通道
- Cloud Interconnect VLAN 連結
- 路由器設備 VM
透過中樞輻射型連線,您可以執行下列操作:
- 將多個虛擬私有雲網路彼此連線。虛擬私有雲網路可以位於相同 Google Cloud 機構或不同機構中的不同專案。
- 將多個虛擬私有雲網路連線至內部部署或其他雲端供應商網路。這些外部網路可透過任何類型的混合式 Spoke 存取。 這種做法稱為「網站到雲端的連線」。
- 使用路由器設備 VM 管理虛擬私有雲網路之間的連線。
- 使用 Google Cloud 虛擬私有雲網路做為企業廣域網路 (WAN),連線至 Google Cloud外部的網路。您可以使用任何類型的混合式 Spoke,在外部網站之間建立連線。這種做法稱為「站對站連線」。
運作方式
中樞使用虛擬私有雲輪輻時,您可以透過在部分或所有虛擬私有雲網路之間交換子網路路徑,設定連線至中樞的虛擬私有雲網路之間的連線。
如果中樞同時使用虛擬私有雲輪輻和混合式輪輻,所有輪輻之間都支援任意對任意連線。
如果中心使用位於單一虛擬私有雲網路中的混合式輻射,您也可以設定站對站資料移轉,讓下一個躍點為混合式輻射的動態路徑 (例如 Cloud Interconnect VLAN 附件),由該虛擬私有雲網路中其他混合式輻射的 BGP 工作階段通告至內部部署網路。
如需中樞和輪輻的詳細說明,請參閱下列各節。
中樞
Network Connectivity Center 中樞是全域資源,用來連接輪輻。單一中樞可包含多個區域的輪輻。不過,如果中樞的任何輪輻使用站對站資料移轉功能,與這些輪輻相關聯的資源就必須位於同一個虛擬私有雲網路。未使用站對站資料移轉的輪輻可以與專案中的任何虛擬私有雲網路建立關聯。
輪輻
輪輻代表一或多個 Google Cloud 網路資源,這些資源會連線至中樞。
建立 Spoke 時,必須將其與至少一個支援的連線資源建立關聯,這也稱為支援資源。
輪輻可以使用下列任一 Google Cloud 資源做為支援資源。
虛擬私有雲輪輻
您可以透過虛擬私有雲輪輻,將兩個以上的虛擬私有雲網路連結至中樞,接著這些網路就能交換子網路路由。附加至單一中繼站的虛擬私有雲支點,可以參照相同專案或不同專案中的虛擬私有雲網路 (包括不同機構中的專案)。
虛擬私有雲輪輻會將子網路路徑匯出至中樞,並從中樞匯入子網路路徑和動態路徑。
如要進一步瞭解虛擬私有雲輪輻,請參閱虛擬私有雲輪輻總覽。
虛擬私有雲輪輻可提供多個虛擬私有雲網路的 IPv4 和 IPv6 子網路範圍之間的連線。您可以按照下列方式,設定每個虛擬私有雲輪輻匯出子網路範圍:
- 僅限 IPv4 子網路範圍
- IPv4 和 IPv6 子網路範圍
- 僅限 IPv6 子網路範圍
假設某個節點的虛擬私有雲網路混合使用子網路堆疊類型。如果您將輻射網路設為只匯出 IPv6 子網路範圍,系統就會交換雙重堆疊和僅支援 IPv6 子網路的 IPv6 子網路範圍,但不會交換僅支援 IPv4 和雙重堆疊子網路的 IPv4 子網路範圍。
供應商虛擬私有雲輪輻
如果您現有的虛擬私有雲輪輻會透過虛擬私有雲網路對接,使用其他專案內供應商網路中的服務,那麼建立供應商虛擬私有雲輪輻之後,Network Connectivity Center 中樞的其他輪輻即可連上該項服務。
如要進一步瞭解供應商虛擬私有雲輪輻,請參閱供應商虛擬私有雲輪輻。
閘道輪輻
NCC 閘道是附加至 Network Connectivity Center 中樞的區域輪輻類型。確保 Cross-Cloud Network 流量安全無虞。NCC Gateway 可啟用第三方安全服務邊緣 (SSE) 檢查。
如要進一步瞭解 NCC 閘道輪輻,請參閱 NCC 閘道總覽。
混合式輪輻
混合式輪輻代表連線至中樞的一或多個網路連線資源。混合型子網路可以是與子網路相關聯的下列任一資源:
- 路由器設備 VM
- 高可用性 VPN 通道
- Cloud Interconnect VLAN 連結
單一混合輪輻可與多個相同類型的資源建立關聯。舉例來說,混合式輪輻可以參照兩個以上的高可用性 VPN 通道,但不能同時參照路由器設備 VM 或 Cloud Interconnect VLAN 連結。混合輪輻必須與 Network Connectivity Center 中樞位於同一專案。
使用混合輪輻進行站對站資料移轉時,輪輻必須位於同一個虛擬私有雲網路。詳情請參閱「站對站資料移轉總覽」。
路由器設備輪輻
與路由器設備 VM 執行個體相關聯的輪輻支援下列用途:
- IPv4 網站對雲端連線:在外部網站與 VPC 網路資源之間建立連線。
- IPv4 網站對網站資料移轉:在廣域網路 (WAN) 中使用 Google 網路,其中包含您的外部網站,以便在所有網站之間移動資料。
- 虛擬私有雲網路之間的 IPv4 連線:使用第三方網路虛擬設備,在虛擬私有雲網路之間建立連線。
連線至同一個中樞的所有站對站輪輻,其所有支援資源都必須位於同一個虛擬私有雲網路。
高可用性 VPN 通道輪輻
與 Cloud VPN (高可用性 VPN) 通道相關聯的輪輻支援下列用途:
- IPv4 網站到雲端連線:在外部網站與 VPC 網路資源之間建立連線。
- IPv4 網站對網站資料移轉:在廣域網路 (WAN) 中使用 Google 網路,其中包含您的外部網站,以便在所有網站之間移動資料。
從單一輪輻連結的所有設備,以及所有 Cloud VPN 通道、VLAN 連結,都必須位於同一個 VPC 網路。
Cloud Interconnect VLAN 連結輪輻
與 Cloud Interconnect VLAN 連結相關聯的輪輻支援下列用途:
- IPv4 站對雲端連線:連結至單一輪輻的所有設備都必須位於同一個虛擬私有雲網路。
- IPv4 站對站資料移轉:所有 Cloud VPN 通道、VLAN 連結或兩者都必須位於同一個虛擬私有雲網路。
透過虛擬私有雲連線交換路徑
Network Connectivity Center 虛擬私有雲輪輻支援交換下列子網路範圍:
- 使用私人位址的 IPv4 子網路範圍,不包括私用公開 IPv4 位址
- IPv6 子網路範圍
IPv4 動態路徑 (也就是混合式 Spoke 透過 BGP 取得的路徑) 也可以與 VPC Spoke 或其他混合式 Spoke 交換。
為混合式輪輻匯入中樞子網路
如要透過 BGP 自動向地端和其他雲端服務供應商網路通告虛擬私有雲輪輻 IP 子網路範圍,請為混合型輪輻啟用中繼站子網路匯入功能。啟用後,系統會自動匯入在中心路徑表建立或刪除的任何新 VPC 子網路,並透過 BGP 向遠端對等互連網路通告這些子網路。
如要自動將 VPC 輪輻子網路 IP 位址範圍宣傳至混合式輪輻,請在建立輪輻時,將 --include-import-ranges 標記與 ALL_IPV4_RANGES 欄位搭配使用。根據預設,--include-import-ranges 欄位為空白,這表示除非指定 ALL_IPV4_RANGES,否則不會將任何中樞子網路匯入新的或現有的混合式輪輻。混合式輪輻也可以將私用公開 IP 位址範圍傳送至 Network Connectivity Center 中樞。
如要進一步瞭解如何建立混合型 Spoke,請參閱「使用 Spoke」。
自訂路徑通告
Cloud Router 中的自訂路徑通告可讓您手動控管混合式輪輻通告的前置字元。如果您不需要自動通告 VPC 輪輻子網路,可以為所有 BGP 工作階段指定自訂通告路徑 (包括預設路徑,IPv4 路徑為 0.0.0.0/0,IPv6 路徑為 ::/0)。根據預設,系統不會公告其他 VPC 支點子網路,這表示內部部署位置不會自動瞭解這些 IP 位址範圍的可連線性。
匯入中樞子網路的注意事項
使用匯入中樞子網路功能時,請注意下列事項。
- 如果混合式輪輻在
--include-import-ranges欄位中指定ALL_IPV4_RANGES,系統預設會將中樞路由表中的所有虛擬私有雲輪輻子網路通告至混合式輪輻。 - 系統會依序採用目的地 VPC 網路子網路、中樞子網路和 Cloud Router 自訂路徑的優先順序。
- Network Connectivity Center 可避免轉送 VPC 子網路與其他 VPC 輪輻的中心子網路重疊。
- 如果 Cloud Router 自訂路徑與登陸 VPC 子網路或中樞子網路完全相同或重疊,系統會忽略該 Cloud Router 的自訂路徑。
- 中繼站子網路的 BGP 屬性與混合式輪輻的登陸 VPC 子網路相同。
- BGP 工作階段的 Cloud Router 政策也會套用至 Network Connectivity Center 匯入的中心子網路。
- 如果混合式 Spoke 的轉送 VPC 網路將動態轉送模式設為
regional,系統只會通告與混合式 Spoke 位於相同區域的 Hub 子網路。
應用實例
以下各節說明 Network Connectivity Center 的主要用途。
使用 Network Connectivity Center 連線至不同的虛擬私有雲網路
將兩個以上的虛擬私有雲輪輻連結至中樞後,Network Connectivity Center 會透過子網路路由,在輪輻代表的所有虛擬私有雲網路之間提供連線。使用中樞可簡化大規模網狀子網路連線的管理作業。如要瞭解可連線至中樞的虛擬私有雲網路數量,請參閱配額。
下圖顯示兩個 VPC 輪輻。
虛擬私有雲輪輻的內部部署連線
虛擬私有雲輻可使用位於其他 (路由) 虛擬私有雲網路的混合式輻,連線至內部部署網路。每個 Network Connectivity Center 中樞都支援多個虛擬私有雲輪輻和 Cloud Interconnect VLAN 連結、高可用性 VPN 通道,或新增為混合式輪輻的路由器設備 VM。
使用路由器設備 VM 連線至網路
在下列兩種 IPv4 連線情況下,Network Connectivity Center 可以使用路由器設備 VM:
- 使用動態路徑將 VPC 網路連線至內部部署或其他雲端服務供應商的網路
- 使用動態路徑將兩個虛擬私有雲網路互相連線
使用這個選項時,Cloud Router 會管理路由器設備 VM 的 BGP 工作階段。
將外部網路連線至 Google Cloud
下圖使用具備路由器設備 VM 的混合型輻射網路,將兩個 VPC 網路連線至外部網路。Cloud Router VM 在每個 VPC 網路中都有一個網路介面 (NIC)。
如要進一步瞭解這個用途,請參閱使用第三方裝置的網站對雲端拓撲。
管理虛擬私有雲網路之間的連線
下圖使用混合式輪輻,並透過執行專用防火牆或封包檢查軟體的 Router 設備 VM,連線至兩個 VPC 網路。
詳情請參閱使用第三方設備的虛擬私有雲對虛擬私有雲拓撲。
透過 Google 網路進行資料移轉 (站對站)
資料移轉功能可透過 Google Cloud 虛擬私有雲網路和混合式輪輻,在外部網路之間提供 IPv4 連線。您可以在多個內部部署網路之間,或與其他雲端網路之間轉移資料。
建立混合型子網時,您可以為該子網啟用資料移轉選項。為連線至相同中樞的混合式輪輻啟用資料移轉功能後,每個路由器設備 VM、Cloud VPN 通道或 Cloud Interconnect VLAN 連結所學到的動態路徑,都會重新宣傳至與連線至相同中樞的任何混合式輪輻相關聯的其他 VM、通道或 VLAN 連結。如要移轉資料,所有混合式 Spoke 都必須參照單一虛擬私有雲網路中的路由器設備 VM、Cloud VPN 通道或 Cloud Interconnect VLAN 連結。
舉例來說,假設您在紐約、雪梨和東京都有資料中心。使用支援的資源將 VPC 網路連線至各個網站後,您就可以建立代表各個網路的 Spoke。完成這項設定後,網路連線中心就會在所有三個網站之間提供完整網狀連線。
如下圖所示,您可以建立輪輻,並使用 Cloud VPN、Cloud Interconnect 和路由器設備等連線資源。
圖中未顯示 Cross-Cloud Interconnect,但您也可以使用 Cross-Cloud Interconnect VLAN 連結。
如要進一步瞭解這個用途,請參閱「站對站資料移轉總覽」。
Network Connectivity Center 注意事項
設定 Network Connectivity Center 前,請先詳閱下列各節。
IP 位址
IP 版本支援取決於 Spoke 類型:
虛擬私有雲輪輻:Network Connectivity Center 支援下列 IP 版本:
IPv4 和 IPv6,用於交換子網路範圍。
您可以設定虛擬私有雲 Spoke,只交換 IPv4 子網路範圍、只交換 IPv6 子網路範圍,或同時交換 IPv4 和 IPv6 子網路範圍。
僅限用於交換動態路徑的 IPv4 位址。
混合式輪輻:Network Connectivity Center 僅支援 IPv4。例如:
如果輪輻已啟用站對站資料移轉,與輪輻相關聯的資源就只支援 IPv4 流量。這項聲明適用於所有混合輪輻類型:路由器設備、VLAN 連結和 VPN 輪輻。
站點對雲端路由器設備的 Spoke 僅支援 IPv4 流量。
建立路由器設備 VM 時,VM 的主要內部 IPv4 位址必須是 RFC 1918 位址。
轉送
Network Connectivity Center 混合式輪輻安裝的路徑會視為動態路徑。
如要瞭解動態路徑與其他類型路徑的處理方式比較,請參閱 VPC 說明文件中的「適用範圍與順序」一節。
| 資源 | 適用用途 |
|---|---|
| 優先順序 | 所有混合式 Spoke 資源都會使用 Cloud Router。如要進一步瞭解 Cloud Router 如何處理已知的路徑,在虛擬私有雲網路或 Network Connectivity Center 中樞建立動態路徑,請參閱 Cloud Router 說明文件中的「已知的路徑」。 |
| ASN | 與單一 Spoke 相關聯的所有非 Google 對等互連路由器,在向 Cloud Router 通告前置字串時,都必須使用相同的 ASN。這點很重要,因為如果兩個對等互連裝置宣傳相同前置字元,但 ASN 或 AS 路徑不同,則只有一個對等互連裝置的 ASN 和 AS 路徑會針對該前置字元重新宣傳。不同的輻射網路必須有不同的 ASN。也就是說,如果兩個 BGP 工作階段屬於不同的 Spoke,就必須有不同的 ASN。此外,如果您使用資料移轉功能,則必須按照「網站對網站資料移轉的 ASN 規定」一文所述指派 ASN。 |
| BGP 工作階段 | 系統不支援 BGP 社群。 |
使用站對站資料移轉時,廣告變更的傳送路徑
將 Cloud Interconnect VLAN 連結或 Cloud VPN 通道新增至混合式輪輻時,網路連線中心會更新 VLAN 連結或 Cloud VPN 通道的對應 BGP 工作階段,以便重新宣傳其他 Cloud Interconnect VLAN 連結或 Cloud VPN 通道的 BGP 工作階段所學到的前置字元,這些連結或通道會連線至任何已啟用網站對網站資料移轉選項的混合式輪輻。
其他產品支援
以下各節說明 Network Connectivity Center 如何與其他網路產品和功能搭配運作。
虛擬私有雲支點和虛擬私有雲網路對等互連
Network Connectivity Center 虛擬私有雲輪輻支援交換下列項目:
- 使用私有位址的有效 IPv4 子網路範圍,不包括私用公開 IPv4 位址
- IPv6 子網路範圍
- IPv4 動態路徑
虛擬私有雲輪輻不支援交換下列項目:
- 對等互連子網路路徑
- 採用私用公開 IPv4 位址的本機路徑
- 採用 IPv6 位址的本機子網路路徑
虛擬私有雲輪輻不會交換靜態路徑,但可以從位於同一個 Network Connectivity Center 中樞的混合式輪輻,匯入 Network Connectivity Center IPv4 動態路徑。
如要進一步瞭解 Network Connectivity Center 虛擬私有雲輪輻,請參閱虛擬私有雲輪輻總覽。
如要進一步瞭解如何透過虛擬私有雲網路對等互連交換路徑,請參閱虛擬私有雲網路對等互連說明文件中的路徑交換選項。
即使 Network Connectivity Center 虛擬私有雲輪輻不支援交換靜態路徑,輪輻虛擬私有雲網路仍可透過虛擬私有雲網路對等互連,從另一個虛擬私有雲網路匯入靜態路徑和路徑。
此外,VPC 輪輻仍可使用 VPC 網路對等互連,從其他 VPC 網路匯入動態路徑。如果其他虛擬私有雲網路的動態路徑下一個躍點是 Cloud Interconnect VLAN 連結或 Cloud VPN 通道,且這些資源連線至內部部署網路,您可以使用 Cloud Router 自訂路徑通告和 VPC 網路對等互連路徑交換選項,將輻射虛擬私有雲網路連線至內部部署網路,詳情請參閱 VPC 網路對等互連文件中的轉送網路範例。
共用虛擬私有雲網路
使用共用 VPC 網路時,必須在主專案中建立中樞。這項限制僅適用於混合型 Spoke。
建議您將networkconnectivity.googleapis.com/spokeAdmin角色指派給服務專案的管理員。如要進一步瞭解這個角色和其他 Network Connectivity Center 角色,請參閱「角色和權限」。
舊版網路
輪輻資源無法屬於舊版網路。
VPN 通道
系統不支援傳統版 VPN 通道。
資料移轉
如果您使用資料移轉功能,請參閱站對站資料移轉總覽中的「注意事項」一節。
服務水準協議
如要瞭解 Network Connectivity Center 服務水準協議,請參閱 Network Connectivity Center 服務水準協議 (SLA)。
定價
如需定價資訊,請參閱 Network Connectivity Center 定價。
後續步驟
- 如要瞭解如何管理中樞和輪輻,請參閱「使用中樞和輪輻」。
- 如要瞭解如何使用 Cloud VPN 輪輻,請參閱「使用 Cloud VPN 輪輻連結兩個網站」。
- 如要查看與 Network Connectivity Center 整合的合作夥伴解決方案清單,請參閱「Network Connectivity Center 合作夥伴」。
- 如要查看 Network Connectivity Center 配額和限制,請參閱配額和限制。