Network Connectivity Center – Übersicht

Network Connectivity Center ist ein Orchestrierungs-Framework, das Netzwerkverbindungen zwischen Spoke-Ressourcen herstellt, die mit einer zentralen Verwaltungsressource verbunden sind, die als Hub bezeichnet wird. Network Connectivity Center unterstützt zwei Arten von Spokes:

  • VPC-Spokes (Virtual Private Cloud)
  • Hybrid-Spokes, die aus Folgendem bestehen:
    • HA VPN-Tunnel
    • Cloud Interconnect-VLAN-Anhänge
    • Router-Appliance-Spokes

Ein Network Connectivity Center-Hub unterstützt entweder VPC-Spokes oder Hybrid-Spokes, aber nicht beides.

Mit diesen Funktionen haben Sie folgende Möglichkeiten:

  • Verbinden Sie mehrere VPC-Netzwerke miteinander. Die VPC-Netzwerke können sich in Projekten in derselben Google Cloud-Organisation oder in verschiedenen Organisationen befinden.
  • Verbinden Sie ein externes Netzwerk über Router-Appliance-VMs mit einem Google Cloud-VPC-Netzwerk. Dieser Ansatz wird als Site-to-Cloud-Konnektivität bezeichnet.
  • Verwenden Sie Router-Appliance-VMs, um die Verbindung zwischen Ihren VPC-Netzwerken zu verwalten.
  • Verwenden Sie ein Google Cloud-VPC-Netzwerk als Wide Area Network (WAN), um Netzwerke außerhalb von Google Cloud zu verbinden. Sie können die Verbindung zwischen Ihren externen Standorten mithilfe von Cloud VPN-Tunneln, Cloud Interconnect-VLAN-Anhängen oder Router-Appliance-VMs herstellen. Dieser Ansatz wird als Site-to-Site-Datenübertragung bezeichnet.

Funktionsweise

Wenn ein Hub Hybrid-Spokes in einem einzelnen VPC-Netzwerk verwendet, können Sie die Site-to-Site-Datenübertragung so konfigurieren, dass die dynamischen Routen, deren nächste Hops ein Hybrid-Spoke sind (z. B. ein Cloud Interconnect-VLAN-Anhang) in einem lokalen Netzwerk durch die BGP-Sitzungen der anderen Hybrid-Spokes im VPC-Netzwerk beworben werden. Sie können auch Hybrid-Spokes verwenden, um zwei VPC-Netzwerke zu verbinden und so in jedem Netzwerk dynamische Routen zu erstellen.

Wenn ein Hub VPC-Spokes verwendet, können Sie die Mesh-Konnektivität zwischen allen VPC-Netzwerken konfigurieren, die mit dem Hub verbunden sind, indem Sie Subnetzrouten zwischen den Netzwerken austauschen.

Spokes

Ein Spoke steht für eine oder mehrere Google Cloud-Netzwerkressourcen, die mit einem Hub verbunden sind. Wenn Sie einen Spoke erstellen, müssen Sie ihn mindestens einer unterstützten Verbindungsressource zuordnen. Diese wird manchmal als Sicherungsressource bezeichnet.

Ein Spoke kann jede der folgenden Google Cloud-Ressourcen als Sicherungs-Ressource verwenden.

Ressource

Geeignete Anwendungsfälle

VPC-Spokes
  • Konnektivität zwischen IPv4-Subnetzbereichen aus mehreren VPC-Netzwerken
Router-Appliance
  • IPv4-Site-to-Cloud-Konnektivität (alle Appliances, die mit einem einzelnen Spoke verknüpft sind, müssen sich im selben VPC-Netzwerk befinden)
  • IPv4-Site-to-Site-Datenübertragung (Alle Spokes, die mit demselben Hub verbunden sind, müssen alle Sicherungsressourcen im selben VPC-Netzwerk haben.)
  • IPv4-Konnektivität zwischen VPC-Netzwerken
Cloud VPN-Tunnel (HA VPN),
Cloud Interconnect-VLAN-Anhänge
  • IPv4-Site-to-Site-Datenübertragung (alle Cloud VPN-Tunnel, VLAN-Anhänge oder beides müssen sich im selben VPC-Netzwerk befinden)

VPC-Spokes

Mit VPC-Spokes können Sie zwei oder mehr VPC-Netzwerke mit einem Hub verbinden, sodass die Netzwerke IPv4-Subnetzrouten austauschen. VPC-Spokes, die an einen einzelnen Hub angehängt sind, können auf VPC-Netzwerke im selben Projekt oder in einem anderen Projekt verweisen (einschließlich eines Projekts in einer anderen Organisation).

Ausführliche Informationen zu VPC-Spokes finden Sie unter VPC-Spokes.

Hybrid-Spokes

Ein einzelner Hybrid-Spoke kann mehr als einer Ressource desselben Typs zugeordnet sein. Beispiel: Ein Hybrid-Spoke kann auf zwei oder mehr HA VPN-Tunnel verweisen, aber derselbe Hybrid-Spoke kann nicht auch auf Router-Appliance-VMs oder Cloud Interconnect-VLAN-Anhänge verweisen.

Für die Site-to-Site-Datenübertragung mit Hybrid-Spokes müssen sich die Spokes im selben VPC-Netzwerk befinden. Weitere Informationen finden Sie unter Übersicht über die Site-zu-Site-Datenübertragung.

Routenaustausch mit VPC-Konnektivität

Network Connectivity Center-VPC-Spokes unterstützen nur den Austausch von Subnetz-IPv4-Adressbereichen, die private Adressen verwenden. Ausgenommen sind privat verwendete öffentliche IPv4-Adressen. Statische und dynamische Routen in einem Spoke-VPC-Netzwerk können nicht mit anderen VPC-Spokes im Hub ausgetauscht werden.

Aus diesem Grund müssen Sie eine der folgenden Optionen verwenden, wenn Sie ein VPC-Netzwerk mit einem lokalen Netzwerk verbinden müssen:

  • Erstellen Sie die Cloud VPN-Tunnel oder Cloud Interconnect-VLAN-Anhänge direkt im Spoke-VPC-Netzwerk oder
  • Verbinden Sie das Spoke-VPC-Netzwerk mithilfe von VPC-Netzwerk-Peering mit einem anderen VPC-Netzwerk und konfigurieren Sie die Peering-Verbindung wie unter VPC-Spokes und VPC-Netzwerk-Peering beschrieben.

Anwendungsfälle

In den folgenden Abschnitten werden die wichtigsten Anwendungsfälle von Network Connectivity Center beschrieben.

Verschiedene VPC-Netzwerke mit Network Connectivity Center verbinden

Wenn Sie zwei oder mehr VPC-Spokes an einen Hub anhängen, bietet Network Connectivity Center IPv4-Subnetzverbindungen zwischen allen VPC-Netzwerken, die durch die Spokes dargestellt werden. Die Verwendung eines Hubs vereinfacht die Verwaltung umfangreicher Mesh-Subnetzverbindungen. Informationen zur Anzahl der VPC-Netzwerke, die mit einem Hub verbunden werden können, finden Sie unter Kontingente.

Das folgende Diagramm zeigt zwei VPC-Spokes.

Spokes mit einem VPC-Netzwerk verbinden
Spokes mit einem VPC-Netzwerk verbinden (zum Vergrößern klicken)

Netzwerke über Router-Appliance-VMs verbinden

Network Connectivity Center kann Router-Appliance-VMs in den folgenden beiden IPv4-Konnektivitätsszenarien verwenden:

  • VPC-Netzwerk mit dynamischen Routen mit einem lokalen oder anderen Netzwerk eines Cloud-Anbieters verbinden
  • Zwei VPC-Netzwerke über dynamische Routen miteinander verbinden

Mit dieser Option verwaltet Cloud Router die BGP-Sitzungen für Router-Appliance-VMs für den nächsten Hop.

Externes Netzwerk mit Google Cloud verbinden

Im folgenden Diagramm wird ein Hybrid-Spoke mit einer Router-Appliance-VM verwendet, um zwei VPC-Netzwerke mit einem externen Netzwerk zu verbinden. Die Cloud Router-VM hat in jedem VPC-Netzwerk eine Netzwerkschnittstelle (NIC).

Externes Netzwerk mit Google Cloud verbinden.
Externes Netzwerk mit Google Cloud verbinden (zum Vergrößern klicken)

Weitere Informationen zu diesem Anwendungsfall finden Sie unter Site-to-Cloud-Topologien, die eine Appliance eines Drittanbieters verwenden.

Verbindungen zwischen VPC-Netzwerken verwalten

Das folgende Diagramm verwendet einen Hybrid-Spoke mit einer Router-Appliance-VM, auf der spezielle Firewall- oder Paketinspektionssoftware zum Verbinden von zwei VPC-Netzwerken ausgeführt wird.

Firewall eines Drittanbieters verwenden
Firewall eines Drittanbieters verwenden (zum Vergrößern klicken)

Weitere Informationen finden Sie unter VPC-zu-VPC-Topologie, die eine Appliance eines Drittanbieters verwendet.

Daten über das Google-Netzwerk übertragen

Die Datenübertragung bietet IPv4-Verbindungen zwischen externen Netzwerken über ein Google Cloud-VPC-Netzwerk und Hybrid-Spokes. Sie können Daten zwischen mehreren lokalen Netzwerken oder in andere Cloud-Netzwerke übertragen.

Wenn Sie einen Hybrid-Spoke erstellen, können Sie die Datenübertragungsoption für diesen Spoke aktivieren. Wenn die Datenübertragung für Hybrid-Spokes aktiviert ist, die mit demselben Hub verbunden sind, werden die dynamischen Routen, die von jeder Router-Appliance-VM, jedem Cloud VPN-Tunnel oder jedem Cloud Interconnect-VLAN-Anhang erlernt werden, noch einmal beworben – gegenüber den anderen VMs, Tunneln oder VLAN-Anhängen, die mit einem beliebigen Hybrid-Spoke verknüpft sind, der mit demselben Hub verbunden ist. Für die Datenübertragung müssen alle Hybrid-Spokes auf Router-Appliance-VMs, Cloud VPN-Tunnel oder Cloud Interconnect-VLAN-Anhänge in einem einzelnen VPC-Netzwerk verweisen.

Angenommen, Sie haben Rechenzentren in New York, Sydney und Tokio. Nachdem Sie unterstützte Ressourcen verwendet haben, um Ihr VPC-Netzwerk mit jedem dieser Standorte zu verbinden, können Sie einen Spoke für jedes Netzwerk erstellen. Nachdem Sie diese Einrichtung abgeschlossen haben, bietet das Network Connectivity Center vollständige Mesh-Konnektivität zwischen allen drei Standorten.

Wie im folgenden Diagramm dargestellt, können Sie Spokes erstellen, die auf Konnektivitätsressourcen wie Cloud VPN, Cloud Interconnect und der Router-Appliance basieren.

Im Diagramm wird keine Cross-Cloud Interconnect-Verbindung angezeigt. Sie können aber auch Cross-Cloud Interconnect-VLAN-Anhänge verwenden.

Grafik: Datenübertragung über das Google-Netzwerk
Datenübertragung über das Google-Netzwerk (zum Vergrößern klicken)

Weitere Informationen zu diesem Anwendungsfall finden Sie unter Übersicht über die Site-to-Site-Datenübertragung.

Hinweise

Lesen Sie die folgenden Abschnitte, bevor Sie Network Connectivity Center einrichten.

IP-Adressierung

Das Network Connectivity Center unterstützt IPv4-Adressierung. IPv6 wird nicht unterstützt. Beispiel:

  • Wenn ein Spoke mit Site-to-Site-Datenübertragung aktiviert ist, unterstützen die mit den Spokes verknüpften Ressourcen IPv4-Traffic. Diese Spokes können keinen IPv6-Traffic austauschen. Diese Anweisung gilt für alle Spoke-Typen: Router-Appliance, VLAN-Anhang und VPN-Spokes.

  • Site-to-Cloud-Router-Appliances-Spokes unterstützen IPv4-Traffic. IPv6-Traffic wird nicht unterstützt.

  • Wenn Sie eine Router-Appliance-VM erstellen, muss die primäre interne IPv4-Adresse der VM eine RFC 1918-Adresse sein.

  • Wenn VPC-Spokes sowohl IPv4- als auch IPv6-Subnetze enthalten, werden zwischen ihnen nur IPv4-Subnetze ausgetauscht.

Routen

Von einem Network Connectivity Center-Hub installierte Routen werden als dynamische Routen behandelt.

Informationen zum Umgang mit dynamischen Routen im Vergleich zu anderen Routentypen finden Sie in der VPC-Dokumentation unter Anwendbarkeit und Reihenfolge.

Priorisierung

Alle Hybrid-Spoke-Ressourcen verwenden Cloud Router. Weitere Informationen zur Verwendung des Pfadauswahlmodells durch Cloud Router finden Sie in der Cloud Router-Übersicht unter AS-Pfadvoranstellung und AS-Pfadlänge.

ASNs

Alle Nicht-Google-Peering-Router, die mit einem einzelnen Spoke verknüpft sind, müssen beim Bewerben von Präfixen an den Cloud Router dieselbe ASN verwenden. Dies ist wichtig, denn wenn zwei Peers dasselbe Präfix mit unterschiedlichen ASNs oder AS-Pfaden bewerben, werden nur die ASN und der AS-Pfad eines einzelnen Peers für dieses Präfix neu beworben. Unterschiedliche Spokes müssen unterschiedliche ASNs haben. Das heißt, wenn zwei BGP-Sitzungen zu verschiedenen Spokes gehören, müssen sie unterschiedliche ASNs haben.

Wenn Sie das Datenübertragungsfeature verwenden, müssen Sie ASNs zuweisen, wie unter ASN-Anforderungen für die Site-to-Site-Datenübertragung beschrieben.

BGP-Sitzungen

BGP-Communities werden nicht unterstützt.

Änderungen des Route Advertisements bei Verwendung der Site-to-Site-Datenübertragung

Wenn Sie einem Hybrid-Spoke einen Cloud Interconnect-VLAN-Anhang oder einen Cloud VPN-Tunnel hinzufügen, aktualisiert Network Connectivity Center die entsprechende BGP-Sitzung für den VLAN-Anhang oder den Cloud VPN-Tunnel, sodass die Präfixe noch einmal beworben werden, die von BGP-Sitzungen der anderen Cloud Interconnect-VLAN-Anhängen oder Cloud VPN-Tunneln gelernt wurden, die mit einem der Hybrid-Spokes des Hubs verbunden sind, für die die Site-to-Site-Datenübertragung aktiviert ist.

Unterstützte Spoke-Typen

Unterstützung für andere Produkte

In den folgenden Abschnitten wird beschrieben, wie Network Connectivity Center mit anderen Netzwerkprodukten und -features funktioniert.

VPC-Spokes und VPC-Netzwerk-Peering

Network Connectivity Center-VPC-Spokes unterstützen nur den Austausch von gültigen Subnetz-IPv4-Adressbereichen, die private Adressen verwenden. Ausgenommen sind privat verwendete öffentliche IPv4-Adressen, IPv6-Subnetzbereiche sowie statische und dynamische Routen.

Obwohl Network Connectivity Center-VPC-Spokes den Austausch statischer oder dynamischer Routen nicht unterstützen, kann ein Spoke-VPC-Netzwerk die statischen und dynamischen Routen aus einem anderen VPC-Netzwerk mithilfe von VPC-Netzwerk-Peering importieren. Wenn das andere VPC-Netzwerk dynamische Routen mit Cloud Interconnect-VLAN-Anhängen oder Cloud VPN-Tunneln mit nächstem Hop hat, die eine Verbindung zu einem lokalen Netzwerk herstellen, können Sie das Spoke-VPC-Netzwerk mit dem lokalen Netzwerk verbinden. Verwenden Sie dazu benutzerdefinierten Route Advertisements von Cloud Router und Routenaustauschoptionen für VPC-Netzwerk-Peering, wie im Beispiel zum Transitnetzwerk in der VPC-Netzwerk-Peering-Dokumentation beschrieben.

Freigegebene VPC-Netzwerke

Wenn Sie freigegebene VPC-Netzwerke verwenden, müssen Sie den Hub im Hostprojekt erstellen. Diese Einschränkung gilt nur für Hybrid-Spokes.

Wir empfehlen Administratoren von Dienstprojekten die Rolle networkconnectivity.googleapis.com/spokeAdmin. Weitere Informationen zu dieser Rolle und anderen Network Connectivity Center-Rollen finden Sie unter Rollen und Berechtigungen.

Legacy-Netzwerke

Spoke-Ressourcen können nicht Teil eines Legacy-Netzwerks sein.

VPN-Tunnel

Klassische VPN-Tunnel werden nicht unterstützt.

Datenübertragung

Wenn Sie Datenübertragungen verwenden, lesen Sie den Abschnitt Hinweise in der Übersicht über die Site-to-Site-Datenübertragung.

Service Level Agreement

Informationen zum Service Level Agreement (SLA) für Network Connectivity Center finden Sie unter Service Level Agreement (SLA) für Network Connectivity Center.

Preise

Informationen zu den Preisen finden Sie unter Preise für Network Connectivity Center.

Nächste Schritte