Network Connectivity Center ist ein Orchestrierungs-Framework, das Netzwerkverbindungen zwischen Spoke-Ressourcen bietet, die mit einer zentralen Verwaltungsressource verbunden sind, die als Hub bezeichnet wird. Network Connectivity Center unterstützt zwei Arten von Spokes:
- VPC-Spokes (Virtual Private Cloud)
- Hybrid-Spokes, die aus Folgendem bestehen:
- HA VPN-Tunnel
- Cloud Interconnect-VLAN-Anhänge
- Router-Appliance-VMs
Mit diesen Funktionen haben Sie folgende Möglichkeiten:
- Verbinden Sie mehrere VPC-Netzwerke miteinander. Die VPC-Netzwerke können sich in verschiedenen Projekten in derselben Google Cloud-Organisation oder in verschiedenen Organisationen befinden.
- Verbinden Sie mehrere VPC-Netzwerke mit lokalen oder anderen Netzwerken des Cloud-Anbieters. Diese externen Netzwerke können über jede Art von Hybrid-Spoke erreichbar sein. Dieser Ansatz wird als Site-to-Cloud-Konnektivität bezeichnet.
- Verwenden Sie Router-Appliance-VMs, um die Verbindung zwischen Ihren VPC-Netzwerken zu verwalten.
- Verwenden Sie ein Google Cloud-VPC-Netzwerk als Enterprise Wide Area Network (WAN), um Netzwerke außerhalb von Google Cloud zu verbinden. Sie können eine Verbindung zwischen Ihren externen Standorten mit einem beliebigen Hybrid-Spoke herstellen. Dieser Ansatz wird als Site-to-Cloud-Konnektivität bezeichnet.
Funktionsweise
Wenn ein Hub VPC-Spokes verwendet, können Sie die Mesh-Konnektivität zwischen allen VPC-Netzwerken konfigurieren, die mit dem Hub verbunden sind, indem Sie Subnetzrouten zwischen allen VPC-Netzwerken austauschen.
Wenn ein Hub sowohl VPC-Spokes als auch Hybrid-Spokes verwendet, wird die „Any-to-Any“-Konnektivität über all diese Spokes unterstützt.
Wenn ein Hub Hybrid-Spokes in einem einzelnen VPC-Netzwerk verwendet, können Sie die Site-to-Site-Datenübertragung auch so konfigurieren, dass die dynamischen Routen, deren nächste Hops ein Hybrid-Spoke sind – z. B. ein Cloud Interconnect-VLAN-Anhang – in einem lokalen Netzwerk durch die BGP-Sitzungen der anderen Hybrid-Spokes im VPC-Netzwerk beworben werden. In einigen Fällen können Sie auch Hybrid-Spokes verwenden, um zwei VPC-Netzwerke zu verbinden und so in jedem Netzwerk dynamische Routen zu erstellen.
Spokes
Ein Spoke steht für eine oder mehrere Google Cloud-Netzwerkressourcen, die mit einem Hub verbunden sind. Wenn Sie einen Spoke erstellen, müssen Sie ihn mindestens einer unterstützten Verbindungsressource zuordnen. Diese wird auch als Sicherungsressource bezeichnet.
Ein Spoke kann jede der folgenden Google Cloud-Ressourcen als Sicherungs-Ressource verwenden.
Ressource |
Geeignete Anwendungsfälle |
|---|---|
| VPC-Spokes |
|
| Router-Appliance |
|
| Cloud VPN-Tunnel (HA VPN), Cloud Interconnect-VLAN-Anhänge |
|
VPC-Spokes
Mit VPC-Spokes können Sie zwei oder mehr VPC-Netzwerke mit einem Hub verbinden, sodass die Netzwerke IPv4-Subnetzrouten austauschen. VPC-Spokes, die an einen einzelnen Hub angehängt sind, können auf VPC-Netzwerke im selben Projekt oder in einem anderen Projekt verweisen (einschließlich eines Projekts in einer anderen Organisation).
Ausführliche Informationen zu VPC-Spokes finden Sie unter VPC-Spokes.
Hybrid-Spokes
Ein einzelner Hybrid-Spoke kann mehr als einer Ressource desselben Typs zugeordnet sein. Beispiel: Ein Hybrid-Spoke kann auf zwei oder mehr HA VPN-Tunnel verweisen, aber derselbe Hybrid-Spoke kann nicht auch auf Router-Appliance-VMs oder Cloud Interconnect-VLAN-Anhänge verweisen.
Für die Site-to-Site-Datenübertragung mit Hybrid-Spokes müssen sich die Spokes im selben VPC-Netzwerk befinden. Weitere Informationen finden Sie unter Übersicht über die Site-zu-Site-Datenübertragung.
Routenaustausch mit VPC-Konnektivität
Network Connectivity Center-VPC-Spokes unterstützen nur den Austausch von Subnetz-IPv4-Adressbereichen, die private Adressen verwenden. Ausgenommen sind privat verwendete öffentliche IPv4-Adressen. Dynamische Routen, also Routen, die von Hybrid-Spokes über BGP erlernt werden, können auch mit VPC-Spokes oder anderen Hybrid-Spokes ausgetauscht werden. Statische Routen in einem Spoke-VPC-Netzwerk können nicht mit anderen VPC-Spokes im Hub ausgetauscht werden.
Anwendungsfälle
In den folgenden Abschnitten werden die wichtigsten Anwendungsfälle von Network Connectivity Center beschrieben.
Verschiedene VPC-Netzwerke mit Network Connectivity Center verbinden
Wenn Sie zwei oder mehr VPC-Spokes an einen Hub anhängen, bietet Network Connectivity Center IPv4-Subnetzverbindungen zwischen allen VPC-Netzwerken, die durch die Spokes dargestellt werden. Die Verwendung eines Hubs vereinfacht die Verwaltung umfangreicher Mesh-Subnetzverbindungen. Informationen zur Anzahl der VPC-Netzwerke, die mit einem Hub verbunden werden können, finden Sie unter quotas.
Das folgende Diagramm zeigt zwei VPC-Spokes.
Lokale Verbindung für VPC-Spokes
VPC-Spokes können sich mit lokalen Netzwerken verbinden, indem sie Hybrid-Spokes verwenden, die sich in anderen (Routing-) VPC-Netzwerken befinden. Jeder Network Connectivity Center-Hub unterstützt mehrere VPC-Spokes und Cloud Interconnect-VLAN-Anhänge, HA VPN-Tunnel oder Router-Appliance-VMs, die als Hybrid-Spokes hinzugefügt wurden. Das folgende Diagramm zeigt einen Beispiel-Hub mit VPC-Spokes und Hybrid-Spokes.
Netzwerke über Router-Appliance-VMs verbinden
Network Connectivity Center kann Router-Appliance-VMs in den folgenden beiden IPv4-Konnektivitätsszenarien verwenden:
- VPC-Netzwerk mit dynamischen Routen mit einem lokalen oder anderen Netzwerk eines Cloud-Anbieters verbinden
- Zwei VPC-Netzwerke über dynamische Routen miteinander verbinden
Mit dieser Option verwaltet Cloud Router die BGP-Sitzungen für Router-Appliance-VMs für den nächsten Hop.
Externes Netzwerk mit Google Cloud verbinden
Im folgenden Diagramm wird ein Hybrid-Spoke mit einer Router-Appliance-VM verwendet, um zwei VPC-Netzwerke mit einem externen Netzwerk zu verbinden. Die Cloud Router-VM hat in jedem VPC-Netzwerk eine Netzwerkschnittstelle (NIC).
Weitere Informationen zu diesem Anwendungsfall finden Sie unter Site-to-Cloud-Topologien, die eine Appliance eines Drittanbieters verwenden.
Verbindungen zwischen VPC-Netzwerken verwalten
Das folgende Diagramm verwendet einen Hybrid-Spoke mit einer Router-Appliance-VM, auf der spezielle Firewall- oder Paketinspektionssoftware zum Verbinden von zwei VPC-Netzwerken ausgeführt wird.
Weitere Informationen finden Sie unter VPC-zu-VPC-Topologie, die eine Appliance eines Drittanbieters verwendet.
Daten über das Google-Netzwerk übertragen
Die Datenübertragung bietet IPv4-Verbindungen zwischen externen Netzwerken über ein Google Cloud-VPC-Netzwerk und Hybrid-Spokes. Sie können Daten zwischen mehreren lokalen Netzwerken oder in andere Cloud-Netzwerke übertragen.
Wenn Sie einen Hybrid-Spoke erstellen, können Sie die Datenübertragungsoption für diesen Spoke aktivieren. Wenn die Datenübertragung für Hybrid-Spokes aktiviert ist, die mit demselben Hub verbunden sind, werden die dynamischen Routen, die von jeder Router-Appliance-VM, jedem Cloud VPN-Tunnel oder jedem Cloud Interconnect-VLAN-Anhang erlernt werden, noch einmal beworben – gegenüber den anderen VMs, Tunneln oder VLAN-Anhängen, die mit einem beliebigen Hybrid-Spoke verknüpft sind, der mit demselben Hub verbunden ist. Für die Datenübertragung müssen alle Hybrid-Spokes auf Router-Appliance-VMs, Cloud VPN-Tunnel oder Cloud Interconnect-VLAN-Anhänge in einem einzelnen VPC-Netzwerk verweisen.
Angenommen, Sie haben Rechenzentren in New York, Sydney und Tokio. Nachdem Sie unterstützte Ressourcen verwendet haben, um Ihr VPC-Netzwerk mit jedem dieser Standorte zu verbinden, können Sie einen Spoke für jedes Netzwerk erstellen. Nachdem Sie diese Einrichtung abgeschlossen haben, bietet das Network Connectivity Center vollständige Mesh-Konnektivität zwischen allen drei Standorten.
Wie im folgenden Diagramm dargestellt, können Sie Spokes erstellen, die auf Konnektivitätsressourcen wie Cloud VPN, Cloud Interconnect und der Router-Appliance basieren.
Das Diagramm zeigt keine Cross-Cloud Interconnect-Verbindungen, aber Sie können auch Cross-Cloud Interconnect-VLAN-Anhänge verwenden.
Weitere Informationen zu diesem Anwendungsfall finden Sie unter Übersicht über die Site-to-Site-Datenübertragung.
Hinweise
Lesen Sie die folgenden Abschnitte, bevor Sie Network Connectivity Center einrichten.
IP-Adressierung
Das Network Connectivity Center unterstützt IPv4-Adressierung. IPv6 wird nicht unterstützt. Beispiel:
Wenn ein Spoke mit Site-to-Site-Datenübertragung aktiviert ist, unterstützen die mit den Spokes verknüpften Ressourcen IPv4-Traffic. Diese Spokes können keinen IPv6-Traffic austauschen. Diese Anweisung gilt für alle Spoke-Typen: Router-Appliance, VLAN-Anhang und VPN-Spokes.
Site-to-Cloud-Router-Appliances-Spokes unterstützen IPv4-Traffic. IPv6-Traffic wird nicht unterstützt.
Wenn Sie eine Router-Appliance-VM erstellen, muss die primäre interne IPv4-Adresse der VM eine RFC 1918-Adresse sein.
Wenn VPC-Spokes sowohl IPv4- als auch IPv6-Subnetze enthalten, werden zwischen ihnen nur IPv4-Subnetze ausgetauscht.
Routing
Informationen zum Umgang mit dynamischen Routen im Vergleich zu anderen Routentypen finden Sie in der VPC-Dokumentation unter Anwendbarkeit und Reihenfolge.
Priorisierung
Alle Hybrid-Spoke-Ressourcen verwenden Cloud Router. Weitere Informationen zur Verwendung des Pfadauswahlmodells durch Cloud Router finden Sie in der Cloud Router-Übersicht unter AS-Pfadvoranstellung und AS-Pfadlänge.
ASNs
Alle Nicht-Google-Peering-Router, die mit einem einzelnen Spoke verknüpft sind, müssen beim Bewerben von Präfixen an den Cloud Router dieselbe ASN verwenden. Dies ist wichtig, denn wenn zwei Peers dasselbe Präfix mit unterschiedlichen ASNs oder AS-Pfaden bewerben, werden nur die ASN und der AS-Pfad eines einzelnen Peers für dieses Präfix neu beworben. Unterschiedliche Spokes müssen unterschiedliche ASNs haben. Wenn also zwei BGP-Sitzungen zu unterschiedliche Spokes gehören, müssen sie unterschiedliche ASNs haben.Wenn Sie das Datenübertragungsfeature verwenden, müssen Sie ASNs zuweisen, wie unter ASN-Anforderungen für die Site-to-Site-Datenübertragung beschrieben.
BGP-Sitzungen
BGP-Communitys werden nicht unterstützt.
Änderungen des Route Advertisements bei Verwendung der Site-to-Site-Datenübertragung
Wenn Sie einem Hybrid-Spoke einen Cloud Interconnect-VLAN-Anhang oder einen Cloud VPN-Tunnel hinzufügen, aktualisiert Network Connectivity Center die entsprechende BGP-Sitzung für den VLAN-Anhang oder den Cloud VPN-Tunnel, sodass die Präfixe noch einmal beworben werden, die von BGP-Sitzungen der anderen Cloud Interconnect-VLAN-Anhängen oder Cloud VPN-Tunneln gelernt wurden, die mit einem der Hybrid-Spokes des Hubs verbunden sind, für die die Site-to-Site-Datenübertragung aktiviert ist.
Unterstützung für andere Produkte
In den folgenden Abschnitten wird beschrieben, wie Network Connectivity Center mit anderen Netzwerkprodukten und -features funktioniert.
VPC-Spokes und VPC-Netzwerk-Peering
Network Connectivity Center-VPC-Spokes unterstützen nur den Austausch von gültigen Subnetz-IPv4-Adressbereichen, die private Adressen verwenden. Ausgenommen sind privat verwendete öffentliche IPv4-Adressen, IPv6-Subnetzbereiche sowie statische und dynamische Routen.
- Weitere Informationen zu Network Connectivity Center-VPC-Spokes finden Sie unter VPC-Spokes – Übersicht.
- Weitere Informationen zum Austausch von Routen mithilfe von VPC-Netzwerk-Peering finden Sie unter Optionen für den Routenaustausch in der Dokumentation zum VPC-Netzwerk-Peering.
Auch wenn Network Connectivity Center-VPC-Spokes nicht für den Austausch statischer oder dynamischer Routen eingerichtet sind, kann ein Spoke-VPC-Netzwerk die statischen und dynamischen Routen aus einem anderen VPC-Netzwerk mithilfe von VPC-Netzwerk-Peering importieren. Wenn das andere VPC-Netzwerk dynamische Routen mit Cloud Interconnect-VLAN-Anhängen oder Cloud VPN-Tunneln mit nächstem Hop hat, die eine Verbindung zu einem lokalen Netzwerk herstellen, können Sie das Spoke-VPC-Netzwerk mit dem lokalen Netzwerk verbinden. Verwenden Sie dazu benutzerdefinierten Route Advertisements von Cloud Router und Routenaustauschoptionen für VPC-Netzwerk-Peering, wie im Beispiel zum Transitnetzwerk in der VPC-Netzwerk-Peering-Dokumentation beschrieben.
Freigegebene VPC-Netzwerke
Wenn Sie freigegebene VPC-Netzwerke verwenden, müssen Sie den Hub im Hostprojekt erstellen. Diese Einschränkung gilt nur für Hybrid-Spokes.
Wir empfehlen Administratoren von Dienstprojekten die Rolle networkconnectivity.googleapis.com/spokeAdmin. Weitere Informationen zu dieser Rolle und anderen Network Connectivity Center-Rollen finden Sie unter Rollen und Berechtigungen.
Legacy-Netzwerke
Spoke-Ressourcen können nicht Teil eines Legacy-Netzwerks sein.
VPN-Tunnel
Klassische VPN-Tunnel werden nicht unterstützt.
Datenübertragung
Wenn Sie Datenübertragungen verwenden, lesen Sie den Abschnitt Hinweise in der Übersicht über die Site-to-Site-Datenübertragung.
Service Level Agreement
Informationen zum Service Level Agreement (SLA) für Network Connectivity Center finden Sie unter Service Level Agreement (SLA) für Network Connectivity Center.
Preise
Informationen zu den Preisen finden Sie unter Preise für Network Connectivity Center.
Nächste Schritte
- Informationen zum Verwalten von Hubs und Spokes finden Sie unter Mit Hubs und Spokes arbeiten.
- Informationen zur Verwendung von Cloud VPN-Spokes finden Sie unter Zwei Standorte über Cloud VPN-Spokes verbinden.
- Eine Liste der Partner, deren Lösungen in Network Connectivity Center eingebunden sind, finden Sie unter Network Connectivity Center-Partner.
- Kontingente und Limits für das Network Connectivity Center finden Sie unter Kontingente und Limits.