Network Connectivity Center 概览

Network Connectivity Center 是 Google Cloud 中 Network Connectivity 管理的中心辐射型模型。中心资源通过一个简单的集中式连接管理模型来降低运营复杂性。该中心与 Google 的网络配对,以便按需提供可靠的连接。

如需查看 hub spoke 的定义,请参阅本文档后面的 Hub 和 spoke 部分。

借助 Network Connectivity Center,您可以将 Google 网络用作数据传输的网络,从而将本地网络连接在一起。 本地网络可以由本地数据中心和分支或远程办公室组成。

本地网络使用具有支持的 Google Cloud 辐射资源 辐射连接到 Network Connectivity Center 中心。例如,辐射可以包含本地网络附近的 Cloud VPN 网关的高可用性 VPN 隧道。

下面的图表显示了连接到 Network Connectivity Center 中心的几种不同类型的辐射资源。该中心与一个 VPC 网络相关联。

Network Connectivity Center 概念。
Network Connectivity Center 概念(点击可放大)

通过 Google 网络进行数据传输

Network Connectivity Center 支持使用 Google 网络作为广域网 (WAN) 连接 Google Cloud 外部的不同企业网站。此类流量被称为“数据传输”流量。

外部站点可以包括分支办公网络、私有数据中心和其他云提供商的工作负载。这些网站使用现有的云混合连接资源(例如 Cloud VPN、专用互连、合作伙伴互连或精选路由器设备合作伙伴)连接到 Network Connectivity Center。

利用 Network Connectivity Center,您可以即时访问 Google 网络的全球覆盖范围和可靠性。此功能可让您的企业从 Google 的深度可靠性和流量工程实践中受益。

通过 Google 网络进行数据传输。
通过 Google 网络传输数据(点击可放大)

工作原理

以下部分介绍了 Network Connectivity Center 的工作原理及其组件。

轮辐

Network Connectivity Center 由 hub 和 Spoke 资源组成。您可以为中心或 spoke 资源添加一个或多个标签进行标识。

Hub

Hub 是一种支持多个连接的 Spoke 的全球 Google Cloud 资源。它提供了一种简单的方法,让您将 Spoke 连接在一起,以便在它们之间传输数据。Hub 可通过其连接的 Spoke 在不同本地位置与虚拟私有云 (VPC) 网络之间进行数据传输。

Hub 资源使用简单集中的连接管理模型来降低运营复杂性。Hub 与 Google 网络相结合,可按需提供可靠的连接。

Spoke

Spoke 是连接到 Hub 的 Google Cloud 网络资源。它是 Hub 的一部分,在创建 Hub 之前,无法创建。Spoke 将流量路由到远程网络地址块,并启用多个远程网络的连接。

Spoke 只能有一个与每个 spoke 关联的资源类型。如要了解资源类型,请参阅下一部分。

Spoke 资源类型

Network Connectivity Center 支持将以下 Google Cloud 资源挂接到 Spoke。每个 spoke 只能包含一种资源类型,但您可以将同一资源类型的多个实例附加到同一 spoke。

  • 高可用性 VPN 隧道
  • VLAN 连接
  • 您或选定的合作伙伴在 Google Cloud 中部署的路由器设备实例

将路由器设备实例配置为 Cloud Router 的 BGP 对等方。通过配置 Compute Engine 虚拟机、启用与 Cloud Router 的 BGP 对等互连,以及运行您选择的映像(例如第三方网络虚拟设备),可以创建路由器设备实例。

用于 spoke 资源的高可用性(必需)

每种资源类型都有不同的高可用性要求。阅读以下部分中的信息,配置您计划使用的资源类型。

Cloud Interconnect 的高可用性

为了使 Network Connectivity Center 能够正确使用 Cloud Interconnect 资源,您必须配置多个互连连接,每个都在单独的边缘可用性域中。

如需详细了解如何配置 Cloud Interconnect 资源以实现高可用性,请参阅以下文档:

Cloud VPN 的高可用性

为了使 Network Connectivity Center 能够正确使用 Cloud VPN 资源,您必须配置多个高可用性 VPN 网关接口和隧道以实现 99.99% 的服务等级协议 (SLA)。如需获取指导,请参阅 Cloud VPN 概览

路由器设备的高可用性

为了使 Network Connectivity Center 能够正确使用附加到 spoke 上的路由器设备实例,您必须执行以下操作:

如果您将所有路由器设备实例放在单个 spoke 射中,请使用等价多路径 (ECMP) 从两个路由器设备实例通告同一前缀集。如要为每个 spoke 通告不同的前缀,请将每个路由器设备实例添加到不同的 spoke 中。

您不能在单个 spoke 中创建跨区域配置。

ECMP 是从两个或多个路由器设备实例通告的相同前缀结果,具有相同的 MED 和 AS 路径。与其他 Google Cloud 资源一样,VPC 网络中有关路由选择的指南也适用于路由器设备实例。

如需详细了解如何配置路由器设备实例以实现高可用性,请参阅99.9% 的可用性要求

路由交换

Network Connectivity Cente 通过将从其他 Spoke 挂接的某个 Spoke 的所有路由传播到同一 Hub,来提供与之相连的每个 Spoke 之间的全网状连接。

Network Connectivity Center 拓扑。
Network Connectivity Center 拓扑(点击可放大)

在上述拓扑中,Spoke ABC 挂接到同一个中 Hub,并使用 Cloud Router 将前缀通告到该 Hub。

如需通过 Hub 和 Spoke 启用跨区域站点到站点流量,您必须在与该 Hub 和 Spoke 相关联的 VPC 网络中启用全局路由。 如果所有 Spoke 都位于同一区域,则无需进行全局路由,因为在没有启用全局路由的情况下,站点到站点可以正常工作。

下表显示了此 Hub 如何将前缀广告传播到其他 Spoke。

从 Spoke A 路由 从 Spoke B 路由 从 Spoke C 路由
导出到 Spoke A 的路由 可通过 Spoke B 访问 10.3.0.0/16 可通过 Spoke C 访问 10.4.0.0/16
导出到 Spoke B 的路由 可通过 Spoke A 访问 10.2.0.0/16 可通过 Spoke C 访问 10.4.0.0/16
导出到 Spoke C 的路由 可通过 Spoke A 访问 10.2.0.0/16 可通过 Spoke B 访问 10.3.0.0/16

路由冲突

确定路由顺序时,请注意由 Network Connectivity Center 中心安装的路由被视为动态路由。如需详细了解如何解决路由冲突,请参阅 VPC 文档中的路由适用性和顺序

为了在接收广告的最佳路径时做出选择,Google Cloud 会使用 MED 来确定优先级。如需了解详情,请参阅路由注意事项部分以获取相关指导。

与现有网络配置的兼容性

Network Connectivity Center 仅影响 Spoke 之间的通信。不会影响 Cloud VPN 或 Cloud Interconnect 与 VPC 网络之间的通信。

  • 同一 VPC 网络中的所有虚拟机仍然能够获知 Cloud VPN 隧道或互连连接所通告的所有路由。
  • 同一 VPC 网络中的所有子网路由都会通告到该 VPC 网络中的所有 Cloud VPN 隧道和互连连接。
  • 使用 VPC 网络对等互连的网络间仍会发生上述路由传播。如需了解例外情况,请参阅路由注意事项

此外,Network Connectivity Center 不会影响使用 VPC 网络对等互连的网络间的路由通告方式。从 Cloud VPN 隧道或 VLAN 连接通告的所有路由仍可导出到对等互连网络。对等互连网络中的所有子网路由均通过 Cloud VPN 隧道或 VLAN 连接通告到本地网络。

注意事项

本部分介绍设置 Network Connectivity Center 之前需要了解的一般注意事项,以及适用于关联到 Hub 的资源及通过 Hub 和 Spoke 路由的资源的一些注意事项。

如需了解 Network Connectivity Center 配额和限制,请参阅配额和限制

Hub、Spoke 和 VPC 网络

向 Hub 添加第一个 Spoke 时,该 Hub 与 Spoke 的项目和网络相关联。一个 VPC 网络的 Hub 实例只能有一个。 与 Hub 关联的 VPC 网络不能是旧版 VPC 网络。

Cloud VPN 隧道和连接到 Spoke 的 VLAN 连接等资源必须全部属于此 Hub 所属的 VPC 网络。

共享 VPC 网络以不同方式支持 Hub 和 Spoke

以下注意事项也适用于 Hub 和 Spoke:

  • 只有高可用性 VPN 隧道才能作为 Spoke 的连接。不支持传统 VPN 隧道。
  • 在创建连接到 Network Connectivity Center Spoke 的高可用性 VPN 隧道时,系统不支持在同一 Google Cloud 项目的不同区域中创建 Google Cloud 到 Google Cloud 高可用性 VPN 网关。这是高可用性 VPN 的限制,而非 Network Connectivity Center 的限制。
  • 系统会尽量在网站之间转移流量,且没有带宽保证。
  • Network Connectivity Center 只能在受支持的位置使用(适用于一些例外情况)。

VPC 网络对等互连支持

您可以使用 VPC 网络对等互连将与该 Hub 相关联的网络与您的一个或多个其他 VPC 网络对等互连。 但是,为了使与中心网络对等互连的网络可从附加到 Hub 的本地网络发送和接收流量,您还必须执行以下操作:

  1. 使用自定义路由通告向连接到该中心的本地网络通告对等 VPC 子网。
  2. 启用自定义路由的导入和导出。这样,可使附加到该 Hub 的本地网络的路由在该 Hub 关联的 VPC 网络对等互连的 VPC 网络的子网中可见。

共享 VPC 网络的支持

使用共享 VPC 网络时,您必须在宿主项目中创建该 Hub。

如需了解您可以分配给服务项目管理员的 networkconnectivity.googleapis.com/spokeAdmin 角色,请参阅访问权限控制

API 注意事项

在公开预览版期间,本指南中列出的命令使用 Alpha 版 Network Connectivity API 和 Beta 版 Compute Egine API。

路由注意事项

  • 路由前缀必须只在 Hub 内或 Hub 外部通告。例如,如果两个 Cloud VPN 隧道通告一个前缀,其中一个位于 Hub,另一个位于 Hub 外,则当最佳路径选择选择 Hub 外隧道时,数据传输可能就不会发生。
  • AS-path 是单个 Cloud Router 任务中的最佳路径选择。否则,系统将仅使用 MED 来排定路由的优先级。如需了解详情,请参阅 Cloud Router 概览中的 AS-path 部分

将 ASN 分配给 Spoke

为了简化您的配置,我们建议您通过以下方式将 ASN 分配给 Spoke:

  • 在 Cloud Router 路由器上为挂接到单个 Hub 的所有 Spoke 资源使用单个 Google 自治系统编号 (ASN) (router.bgp.asn)。例如,挂接到 Spoke 的高可用性 VPN 隧道将在它们用于对等互联的 Cloud Router 路由器上使用该 Google ASN。按照有关创建 Cloud Router 路由器的文档中的 ASN 编号建议进行操作。
  • 为挂接到同一 Hub (router.bgpPeers.asn) 的每个 Spoke 分配一个唯一的对等 ASN。在每个 Spoke 中,请确保所有对等 ASN 都相同。这是因为,如果两个对等方使用不同的 ASN 或 AS 路径通告相同的前缀,则系统仅针对该前缀通告一个对等方的 ASN 和 AS 路径。
  • 我们建议您在对等路由器上配置 AS 路径循环检测,尽管此功能几乎默认处于启用状态。在某些情况下,无法停用此功能。例如,当对等路由器是 Cloud Router 时,或在使用其他云提供商的路由功能时。

    启用 AS 路径循环检测后,如果两个 spoke 配置了相同的对等 ASN,则某个 spoke 的对等路由器上的 AS 路径循环检测会丢弃来自其他 spoke 的前缀广告。

在以下示例中,以下 Spoke 中的对等路由器会通告以下前缀和不同的 ASN:

  • Spoke A:对等路由器 1,ASN 65001,通告前缀 10.1.0.0/1610.2.0.0/16
  • Spoke A:对等路由器 2,ASN 65002,通告前缀 10.1.0.0/1610.3.0.0/16
  • Spoke B:对等路由器 3,ASN 65003,通告前缀 10.1.0.0/1610.4.0.0/16

然后,Cloud Router 路由器将以下前缀通告给 Spoke C 上的对等方:

  • 10.1.0.0/16,但 AS 路径的开头可以是以下任何 ASN:650016500265003
  • 10.2.0.0/16,AS 路径的开头是 65001
  • 10.3.0.0/16,AS 路径的开头是 65002
  • 10.4.0.0/16,AS 路径的开头是 65003

通过确保每个前缀仅由一个 Spoke 通告,并且同一 Spoke 中的所有对等方都具有相同的 ASN,可以避免这种歧义。

路由通告

  • 如果具有相同优先级的相同子网的多 Spoke 中具有重复路由通告,则 Cloud Router 使用 ECMP 在所有下一个跃点之间分配流量。在这种情况下,互连连接收到的流量比 Cloud VPN 连接多,后者比作为路由器设备实例的虚拟机所接收的流量更多。
  • 已知问题。如果参与 Spoke 的资源(如高可用性 VPN 隧道)和 Spoke 外的类似资源有重复的路由通告,那么参与 Spoke 的流量可能使用 ECMP 到达所有可用的下一跳。即使下一个跃点没有参与 Hub 和 Spoke,也会发生这种情况。此行为将在后续的 Network Connectivity Center 版本内修复。
  • 如需获取在其中一个冗余互连连接通向不支持位置时如何配置路由通告的示例,请参阅 Network Connectivity Center 的最佳路由通告

BGP 会话

  • 高可用性 VPN 隧道的 BGP 会话通告相同的 IP 地址范围。
  • BGP 属性支持如下内容:
    • 支持将 AS 路径和 MED 传播到混合附件。
    • 不支持 BGP 社区。

后续步骤