Network Connectivity Center 概览

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

Network Connectivity Center 是一款网络连接产品,它采用中心辐射型架构来管理混合连接。使用此架构,每个连接资源都表示为一个 Spoke。并且,每个 Spoke 都会连接到一个称为 Hub 的中央管理资源。

Network Connectivity Center 包含路由器设备。通过此功能,您可以在 Google Cloud 中安装第三方网络虚拟设备。使用此方法时,设备可以使用边界网关协议 (BGP) 与 Cloud Router 路由器交换路由。

您可以使用这些功能来执行以下操作:

  • 使用第三方 SD-WAN 路由器或其他设备将外部网络连接到 Google Cloud。此方法称为站点到云连接
  • 使用第三方网络虚拟设备管理您的虚拟私有云网络之间的连接。
  • 使用 Google 的网络作为广域网 (WAN) 来连接 Google Cloud 外部的站点。您可以使用 Cloud VPN、Cloud Interconnect 和第三方网络虚拟设备等资源在外部站点之间建立全网状连接。此方法称为站点到站点数据传输

工作原理

使用 Network Connectivity Center,每个连接资源都表示为一个 spoke。每个 Spoke 都会连接到一个称为 Hub 的中央管理资源。

Hub

Hub 是 Spoke 将要连接到的全球性管理资源。

Hub 的作用因 Spoke 是否要使用站点到站点数据传输功能而异。使用此功能时,hub 会在启用了该功能的所有 spoke 之间提供全网状连接。

如果任何 spoke 均未启用数据传输,则 hub 仅会提供与 Google Cloud 资源的连接。hub 不会在这些 spoke 之间建立连接。

Spoke

spoke 表示连接到 hub 的一个或多个 Google Cloud 网络资源。创建 spoke 时,您必须将其与至少一个受支持的连接资源(有时称为“支持性资源”)相关联。

spoke 可以使用以下任一 Google Cloud 资源作为其支持性资源。

资源

适用的使用场景

路由器设备
  • 站点到云连接
  • 站点到站点数据传输
  • VPC 网络之间的连接
Cloud VPN(高可用性 VPN)隧道、
专用互连 VLAN 连接
和/或合作伙伴互连 VLAN 连接
  • 站点到站点数据传输

一个 spoke 可以与多个资源关联,但所有资源的类型必须相同。例如,一个 spoke 可能与多个 VPN 隧道关联,但不能同时与 VPN 隧道和路由器设备实例关联。

每个 spoke 都有一个数据传输方案。为多个 spoke 启用此方案时,hub 会在这些 spoke 之间提供全网状连接。此方案还有其他影响。例如,如果多个 spoke 使用数据传输,则这些 spoke 的支持性资源必须位于同一 VPC 网络。如需了解详情,请参阅站点到站点数据传输概览

路由器设备

借助路由器设备功能,您可以在 Google Cloud 中安装网络虚拟设备并将其用作 spoke 的支持性资源。

如需创建路由器设备实例,请在 Compute Engine 虚拟机 (VM) 上安装虚拟设备映像,然后完成某些其他设置步骤。此设置包括在虚拟机和 Cloud Router 路由器之间建立边界网关协议 (BGP) 对等互连。BGP 支持在 Cloud Router 路由器和路由器设备实例之间动态交换路由。通过交换路由,您可以在 VPC 网络和其他网络之间建立连接。

如需了解详情,请参阅路由器设备概览

使用场景

以下部分介绍 Network Connectivity Center 的主要使用场景。

使用第三方网络虚拟设备

通过 Network Connectivity Center,您可以使用支持 BGP 的任何第三方网络虚拟设备。您可以使用设备将外部网络连接到 VPC 网络或将多个 VPC 网络相互连接。如需配置第三方设备,请使用路由器设备功能。以下个部分介绍了这些方法。

您还可以在数据转移策略中使用第三方设备。如需详细了解该方法,请参阅通过 Google 网络进行数据转移

将外部网络连接到 Google Cloud

下图展示了一个外部拓扑,它使用路由器设备 spoke 连接到具有两个 VPC 网络的外部站点。在此场景中,托管路由器设备映像的虚拟机在这两个网络中都有接口。您可以使用每个接口创建一个 Spoke,即每个网络对应一个 Spoke。然后,外部网络能够与两个 VPC 网络交换前缀。

将外部网络连接到 Google Cloud。
将外部网络连接到 Google Cloud(点击可放大)

如需详细了解此用例,请参阅使用第三方设备的站点到云拓扑

管理 VPC 网络之间的连接

您可以使用路由器设备功能连接多个 VPC 网络。设备可以是 SD-WAN 路由器、防火墙、负载均衡器或其他内容。

以下拓扑显示了运行防火墙设备映像的路由器设备实例。路由器设备虚拟机在两个网络中都有接口。您可以使用每个接口创建一个 Spoke,即每个网络对应一个 Spoke。之后,防火墙设备便能够调解网络之间的连接。

虽然此拓扑显示防火墙设备,但您可以将同一拓扑用于其他类型的设备。

使用第三方防火墙
使用第三方防火墙(点击可放大)

如需了解详情,请参阅使用第三方设备的 VPC 到 VPC 拓扑

通过 Google 网络进行数据传输

数据传输是在 Google Cloud 外部的两个站点之间传输数据。通过 Network Connectivity Center,您可以使用 Google 网络在多个本地站点或其他云工作负载之间传输数据。此方法让您每当需要移动数据时都可以充分利用 Google 网络的范围和可靠性。

创建 spoke 时,您可以为该 spoke 启用或停用数据传输。如果为连接到同一 hub 的一个或多个 spoke 启用数据传输,则这些 spoke 全都可以相互之间传输数据。

例如,假设您的数据中心分别位于纽约、悉尼和东京。在使用受支持的资源将 VPC 网络连接到上述每个站点后,您便可以创建 Spoke 来表示每个网络。完成此设置后,Network Connectivity Center 将在所有三个站点之间提供全网状连接。

如下图所示,您所创建的 Spoke 可以依赖于诸如 Cloud VPN、专用互连、合作伙伴互连和路由器设备等各种连接资源。

通过 Google 网络进行数据传输。
通过 Google 网络传输数据(点击可放大)

如需详细了解此使用场景,请参阅站点到站点数据传输概览

注意事项

在设置 Network Connectivity Center 之前,请查看以下部分。

IP 寻址

Network Connectivity Center 支持 IPv4 寻址,不支持 IPv6。例如:

  • 如果一个 Spoke 启用了站点到站点数据传输,则与该 Spoke 关联的资源支持 IPv4 流量。这些 Spoke 无法交换 IPv6 流量。这适用于所有 Spoke 类型:路由器设备、VLAN 连接和 VPN Spoke。

  • 站点到云路由器设备 Spoke 支持 IPv4 流量,不支持 IPv6 流量。

  • 创建用作路由器设备实例的虚拟机时,该虚拟机必须使用 IPv4 地址(具体是指 RFC 1918 地址)。

路由

由 Network Connectivity Center hub 安装的路由被视为动态路由。

如需了解与其他类型的路由相比动态路由的处理方式,请参阅 VPC 文档中的适用范围和顺序

确定优先级

所有 spoke 资源都使用 Cloud Router。在单个 Cloud Router 路由器任务中,AS 路径用于最佳路径选择。否则,系统将仅使用 MED 来确定路由的优先级。如需了解详情,请参阅 Cloud Router 路由器概览中的 AS 路径前置和 AS 路径长度

ASN

向 Cloud Router 路由器通告前缀时,与单个 spoke 关联的所有非 Google 对等互连路由器都必须使用相同的 ASN。这一点很重要,因为如果两个对等体使用不同的 ASN 或 AS 路径通告相同的前缀,则系统仅会针对该前缀重新通告一个对等体的 ASN 和 AS 路径。

此外,如果您使用数据传输功能,则必须按照站点到站点数据传输的 ASN 要求中所述分配 ASN。

BGP 会话

不支持 BGP 社区。

与现有网络配置的兼容性

向 Spoke 添加 VLAN 连接或 VPN 隧道时,对这些资源的唯一更改是可能会向它们通告更多路由。换句话说,向 Spoke 添加资源不会减少或降低到该资源的现有路由传播。唯一的变化是可以将其他路由传播到资源,以支持与其他 Network Connectivity Center Spoke 的连接。

针对其他产品的支持

以下部分介绍了 Network Connectivity Center 如何与其他网络产品和功能结合使用。

VPC 网络对等互连

您可以按以下方式将 VPC 网络对等互连与 Network Connectivity Center 结合使用:您可以将与 hub 关联的网络与您的一个或多个其他 VPC 网络建立对等互连。但是,为了使与 hub 网络对等互连的网络可以将流量发送到与 hub 连接的本地网络以及从其中接收流量,您还必须执行以下操作:

  1. 使用自定义路由通告向连接到该中心的本地网络通告对等 VPC 子网。
  2. 启用自定义路由的导入和导出。此设置可使连接到 hub 的本地网络中的路由在对等互连的 VPC 网络的子网中可见。

共享 VPC 网络

使用共享 VPC 网络时,您必须在宿主项目中创建该 Hub。

我们建议将 networkconnectivity.googleapis.com/spokeAdmin 角色分配给服务项目的管理员。如需详细了解此角色和其他 Network Connectivity Center 角色,请参阅角色和权限

VPC 网络

Spoke 资源不能用于旧版 VPC 网络。

VPN 隧道

不支持传统 VPN 隧道。

数据转移

如果您使用数据传输,请查看站点到站点数据传输概览中的注意事项部分。

后续步骤