Network Connectivity Center – Übersicht

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Network Connectivity Center ist ein Produkt für die Netzwerkverbindung, das eine Hub-and-Spoke-Architektur für die Konnektivitätsverwaltung verwendet. In dieser Architektur wird jede Verbindungsressource als Spoke dargestellt. Jeder Spoke ist mit einer zentralen Verwaltungsressource verbunden, die als Hub bezeichnet wird.

Das Network Connectivity Center enthält Router-Appliance. Mit diesem Feature können Sie eine virtuelle Appliance des Drittanbieters in Google Cloud installieren. Bei diesem Ansatz kann die Appliance mithilfe des Border Gateway Protocol (BGP) Routen mit Cloud Router austauschen.

Mit diesen Funktionen haben Sie folgende Möglichkeiten:

  • Verbinden Sie ein externes Netzwerk über einen Drittanbieter-SD-WAN-Router oder eine andere Appliance mit Google Cloud. Dieser Ansatz wird als Site-to-Cloud-Konnektivität bezeichnet.
  • Verwenden Sie eine virtuelle Appliance des Netzwerks, um die Verbindung zwischen Ihren Virtual Private Cloud-Netzwerken zu verwalten.
  • Verwenden Sie das Google-Netzwerk als Wide Area Network (WAN), um Standorte außerhalb von Google Cloud zu verbinden. Sie können eine vollständige Mesh-Verbindung zwischen Ihren externen Standorten herstellen, indem Sie Ressourcen wie Cloud VPN, Cloud Interconnect und virtuelle Netzwerk-Appliances von Drittanbietern verwenden. Dieser Ansatz wird als Site-to-Site-Datenübertragung bezeichnet.

Funktionsweise

Beim Network Connectivity Center wird jede Verbindungsressource als Spoke dargestellt. Jeder Spoke ist mit einer zentralen Verwaltungsressource verbunden, die als Hub bezeichnet wird.

Hubs

Ein Hub ist eine globale Verwaltungsressource, an die Sie Spokes anhängen.

Die Funktion des Hubs hängt davon ab, ob Ihre Spokes das Feature für den Site-to-Site-Datentransfer verwenden. Wenn Sie dieses Feature verwenden, bietet der Hub eine vollständige Mesh-Konnektivität zwischen allen Spokes, für die das Feature aktiviert ist.

Wenn die Datenübertragung nicht für Spokes aktiviert ist, bietet der Hub nur Konnektivität zu Google Cloud-Ressourcen. Der Hub stellt keine Verbindung zwischen diesen Spokes her.

Spokes

Ein Spoke steht für eine oder mehrere Google Cloud-Netzwerkressourcen, die mit einem Hub verbunden sind. Wenn Sie einen Spoke erstellen, müssen Sie ihn mindestens einer unterstützten Verbindungsressource zuordnen. Diese wird manchmal als Sicherungsressource bezeichnet.

Ein Spoke kann jede der folgenden Google Cloud-Ressourcen als Sicherungs-Ressource verwenden.

Ressource

Geeignete Anwendungsfälle

Router-Appliance
  • Site-to-Cloud-Konnektivität
  • Site-to-Site-Datenübertragung
  • Verbindungen zwischen VPC-Netzwerken
Cloud VPN-Tunnel (HA VPN),
Dedicated Interconnect-VLAN-Anhänge
und/oder Partner Interconnect-VLAN-Anhänge
  • Site-to-Site-Datenübertragung

Ein einzelner Spoke kann mehr als einer Ressource zugeordnet sein, aber alle Ressourcen müssen denselben Typ haben. Beispielsweise kann ein einzelner Spoke zwar mehreren VPN-Tunneln zugeordnet sein, er kann jedoch nicht sowohl VPN-Tunneln als auch Router-Appliance-Instanzen zugeordnet sein.

Jeder Spoke hat eine Datenübertragungsoption. Wenn Sie diese Option für mehrere Spokes aktivieren, bietet der Hub vollständige Mesh-Konnektivität zwischen diesen Spokes. Diese Option hat auch andere Auswirkungen. Wenn beispielsweise mehrere Spokes die Datenübertragung verwenden, müssen sich die Sicherungsressourcen für diese Spokes im selben VPC-Netzwerk befinden. Weitere Informationen finden Sie unter Übersicht über die Site-zu-Site-Datenübertragung.

Router-Appliance

Mit dem Router Appliance-Feature können Sie eine virtuelle Netzwerk-Appliance in Google Cloud installieren und als unterstützende Ressource für einen Spoke verwenden.

Um eine Router-Appliance-Instanz zu erstellen, installieren Sie ein virtuelles Appliance-Image auf einer virtuellen Compute Engine-Maschine (VM) und führen bestimmte andere Einrichtungsschritte aus. Diese Einrichtung umfasst den Aufbau des BGP-Peerings (BGP) zwischen der VM und einem Cloud Router. BGP ermöglicht den dynamischen Austausch von Routen zwischen dem Cloud Router und der Router-Appliance-Instanz. Mit dem Routenaustausch können Sie eine Verbindung zwischen Ihrem VPC-Netzwerk und anderen Netzwerken herstellen.

Weitere Informationen finden Sie unter Übersicht – Router-Appliance.

Anwendungsfälle

In den folgenden Abschnitten werden die wichtigsten Anwendungsfälle von Network Connectivity Center beschrieben.

Virtuelle Appliance des Drittanbieters verwenden

Mit dem Network Connectivity Center können Sie jede virtuelle Appliance des Netzwerks verwenden, die BGP unterstützt. Sie können die Appliance verwenden, um ein externes Netzwerk mit Ihrem VPC-Netzwerk oder mehrere VPC-Netzwerke miteinander zu verbinden. Die Appliance eines Drittanbieters verwenden Sie mit dem Feature "Router-Appliance". Die Ansätze werden in den folgenden Abschnitten beschrieben.

Sie können auch eine Appliance eines Drittanbieters als Teil einer Datenübertragungsstrategie verwenden. Weitere Informationen zu diesem Ansatz finden Sie unter Datenübertragung über das Google-Netzwerk durchführen.

Externes Netzwerk mit Google Cloud verbinden

Das folgende Diagramm zeigt eine externe Topologie, die einen Router-Appliance-Spoke verwendet, um eine Verbindung zu einem externen Standort mit zwei VPC-Netzwerken herzustellen. In diesem Szenario hat die VM, die das Router-Appliance-Image hostet, Schnittstellen in beiden Netzwerken. Sie verwenden jede Schnittstelle zum Erstellen eines Spokes – einen für jedes Netzwerk. Das externe Netzwerk kann dann Präfixe mit beiden VPC-Netzwerken austauschen.

Externes Netzwerk mit Google Cloud verbinden.
Externes Netzwerk mit Google Cloud verbinden (zum Vergrößern klicken)

Weitere Informationen zu diesem Anwendungsfall finden Sie unter Site-to-Cloud-Topologien, die eine Appliance eines Drittanbieters verwenden.

Verbindungen zwischen VPC-Netzwerken verwalten

Mit der Router Appliance-Funktion können Sie mehrere VPC-Netzwerke verbinden. Die Appliance kann ein SD-WAN-Router, eine Firewall, ein Load-Balancer oder etwas anderes sein.

Die folgende Topologie zeigt eine Router-Appliance-Instanz, auf der ein Firewall-Appliance-Image ausgeführt wird. Die Router-Appliance-VM hat Schnittstellen in beiden Netzwerken. Sie verwenden jede Schnittstelle zum Erstellen eines Spoke, einen für jedes Netzwerk. Die Firewall-Appliance kann dann die Konnektivität zwischen den Netzwerken vermitteln.

Obwohl diese Topologie eine Firewall-Appliance zeigt, können Sie dieselbe Topologie für einen anderen Appliance-Typ verwenden.

Firewall eines Drittanbieters verwenden
Firewall eines Drittanbieters verwenden (zum Vergrößern klicken)

Weitere Informationen finden Sie unter VPC-zu-VPC-Topologie, die eine Appliance eines Drittanbieters verwendet.

Daten über das Google-Netzwerk übertragen

Bei der Datenübertragung werden Daten zwischen zwei Standorten außerhalb von Google Cloud übermittelt. Mit dem Network Connectivity Center können Sie das Google-Netzwerk für die Datenübertragung zwischen mehreren lokalen Standorten oder anderen Cloud-Arbeitslasten verwenden. Mit diesem Ansatz können Sie die Reichweite und Zuverlässigkeit des Google-Netzwerks nutzen, wann immer Sie Daten verschieben müssen.

Wenn Sie einen Spoke erstellen, können Sie die Datenübertragung für diesen Spoke aktivieren oder deaktivieren. Wenn die Datenübertragung für einen oder mehrere Spokes aktiviert ist, die mit demselben Hub verbunden sind, können diese Spokes alle Daten untereinander übertragen.

Angenommen, Sie haben Rechenzentren in New York, Sydney und Tokio. Nachdem Sie unterstützte Ressourcen verwendet haben, um Ihr VPC-Netzwerk mit jedem dieser Standorte zu verbinden, können Sie einen Spoke für jedes Netzwerk erstellen. Nachdem Sie diese Einrichtung abgeschlossen haben, bietet das Network Connectivity Center vollständige Mesh-Konnektivität zwischen allen drei Standorten.

Wie im folgenden Diagramm dargestellt, können Sie Spokes erstellen, die auf Konnektivitätsressourcen wie Cloud VPN, Dedicated Interconnect, Partner Interconnect und der Router-Appliance basieren.

Grafik: Datenübertragung über das Google-Netzwerk
Datenübertragung über das Google-Netzwerk (zum Vergrößern klicken)

Weitere Informationen zu diesem Anwendungsfall finden Sie unter Übersicht über die Site-to-Site-Datenübertragung.

Hinweise

Lesen Sie die folgenden Abschnitte, bevor Sie Network Connectivity Center einrichten.

IP-Adressierung

Das Network Connectivity Center unterstützt IPv4-Adressierung. IPv6 wird nicht unterstützt. Beispiel:

  • Wenn ein Spoke mit Site-to-Site-Datenübertragung aktiviert ist, unterstützen die mit den Spokes verknüpften Ressourcen IPv4-Traffic. Diese Spokes können keinen IPv6-Traffic austauschen. Diese Anweisung gilt für alle Spoke-Typen: Router-Appliance, VLAN-Anhang und VPN-Spokes.

  • Site-to-Cloud-Router-Appliances-Spokes unterstützen IPv4-Traffic. IPv6-Traffic wird nicht unterstützt.

  • Wenn Sie eine VM zur Verwendung als Router-Appliance-Instanz erstellen, muss die VM eine IPv4-Adresse (insbesondere eine RFC 1918-Adresse) verwenden.

Routing

Von einem Network Connectivity Center-Hub installierte Routen werden als dynamische Routen behandelt.

Informationen zum Umgang mit dynamischen Routen im Vergleich zu anderen Routentypen finden Sie in der VPC-Dokumentation unter Anwendbarkeit und Reihenfolge.

Priorisierung

Alle Spoke-Ressourcen verwenden Cloud Router. Innerhalb einer einzelnen Cloud Router-Aufgabe wird der AS-Pfad für die Auswahl des besten Pfads verwendet. Andernfalls wird nur MED verwendet, um Routen zu priorisieren. Weitere Informationen finden Sie unter AS-Pfadvoranstellung und AS-Pfadlänge in der Cloud Router-Übersicht.

ASNs

Alle Nicht-Google-Peering-Router, die mit einem einzelnen Spoke verknüpft sind, müssen beim Bewerben von Präfixen an den Cloud Router dieselbe ASN verwenden. Dies ist wichtig, denn wenn zwei Peers dasselbe Präfix mit unterschiedlichen ASNs oder AS-Pfaden bewerben, werden nur die ASN und der AS-Pfad eines einzelnen Peers für dieses Präfix neu beworben.

Wenn Sie das Datenübertragungsfeature verwenden, müssen Sie ASNs zuweisen, wie unter ASN-Anforderungen für die Site-to-Site-Datenübertragung beschrieben.

BGP-Sitzungen

BGP-Communities werden nicht unterstützt.

Kompatibilität mit vorhandenen Netzwerkkonfigurationen

Wenn Sie einem Spoke einen VLAN-Anhang oder einen VPN-Tunnel hinzufügen, ändert sich an diesen Ressourcen nur, dass ihnen möglicherweise mehr Routen angeboten werden. Mit anderen Worten: Durch das Hinzufügen einer Ressource zu einem Spoke wird die vorhandene Routenverteilung zu dieser Ressource nicht reduziert oder verringert. Der einzige Unterschied besteht darin, dass zusätzliche Routen an die Ressource weitergegeben werden können, um die Konnektivität mit anderen Network Connectivity Center-Spokes zu unterstützen.

Unterstützung für andere Produkte

In den folgenden Abschnitten wird beschrieben, wie Network Connectivity Center mit anderen Netzwerkprodukten und -features funktioniert.

VPC-Netzwerk-Peering

Sie können das VPC-Netzwerk-Peering mit Network Connectivity Center so verwenden: Sie können ein mit dem Hub verknüpftes Netzwerk mit einem oder mehreren Ihrer anderen VPC-Netzwerke verbinden. Damit das Netzwerk, das mit dem Hub-Netzwerk verbunden ist, Traffic an die lokalen, mit dem Hub verbundenen Netzwerke senden und von ihnen empfangen kann, müssen Sie außerdem Folgendes tun:

  1. Verwenden Sie benutzerdefinierte Route Advertisements, um Peer-VPC-Subnetze für lokale Netzwerke freizugeben, die mit dem Hub verbunden sind.
  2. Aktivieren Sie den Import und Export benutzerdefinierter Routen. Durch diese Einrichtung werden Routen aus den lokalen Netzwerken, die an den Hub angehängt sind, in den Subnetzen der verbundenen VPC-Netzwerke sichtbar.

Freigegebene VPC-Netzwerke

Wenn Sie freigegebene VPC-Netzwerke verwenden, müssen Sie den Hub im Hostprojekt erstellen.

Wir empfehlen Administratoren von Dienstprojekten die Rolle networkconnectivity.googleapis.com/spokeAdmin. Weitere Informationen zu dieser Rolle und anderen Network Connectivity Center-Rollen finden Sie unter Rollen und Berechtigungen.

VPC-Netzwerke

Spoke-Ressourcen können nicht Teil eines Legacy-VPC-Netzwerks sein.

VPN-Tunnel

Klassische VPN-Tunnel werden nicht unterstützt.

Datenübertragung

Wenn Sie Datenübertragungen verwenden, lesen Sie den Abschnitt Hinweise in der Übersicht über die Site-to-Site-Datenübertragung.

Nächste Schritte