Network Connectivity Center 概览

Network Connectivity Center 是一个编排框架,用于在连接到名为 hub 的集中管理资源的 spoke 资源之间提供网络连接。Network Connectivity Center 支持两种类型的 spoke:

  • Virtual Private Cloud (VPC) spoke
  • 混合 spoke,包括:
    • 高可用性 VPN 隧道
    • Cloud Interconnect VLAN 连接
    • 路由器设备 spoke

Network Connectivity Center hub 支持 VPC spoke 或混合 spoke,但不能同时支持两者。

您可以使用这些功能来执行以下操作:

  • 将多个 VPC 网络相互连接。VPC 网络可位于同一 Google Cloud 组织或不同组织的项目中。
  • 使用路由器设备虚拟机将外部网络连接到 Google Cloud VPC 网络。此方法称为站点到云连接
  • 使用路由器设备虚拟机来管理 VPC 网络之间的连接。
  • 使用 Google Cloud VPC 网络作为广域网 (WAN) 来连接 Google Cloud 外部的网络。您可以使用 Cloud VPN 隧道、Cloud Interconnect VLAN 连接或路由器设备虚拟机在外部站点之间建立连接。此方法称为站点到站点数据传输

运作方式

当 hub 使用位于单个 VPC 网络中的混合 spoke 时,您可以配置站点到站点数据传输,以使下一个跃点是混合 spoke(例如 Cloud Interconnect VLAN 连接)的动态路由会由该 VPC 网络中其他混合 spoke 的 BGP 会话通告到本地网络。您还可以使用混合 spoke 来连接两个 VPC 网络,并在每个网络中创建动态路由。

当 hub 使用 VPC spoke 时,您可以在 VPC 网络之间交换子网路由,从而在连接到该 hub 的所有 VPC 网络之间配置网格连接。

Spoke

spoke 表示连接到 hub 的一个或多个 Google Cloud 网络资源。创建 spoke 时,您必须将其与至少一个受支持的连接资源(有时称为“支持性资源”)相关联。

spoke 可以使用以下任一 Google Cloud 资源作为其支持性资源。

资源

适用的使用场景

VPC spoke
  • 多个 VPC 网络中的 IPv4 子网范围之间的连接
路由器设备
  • IPv4 站点到云连接(从单个 spoke 关联到的所有设备必须位于同一 VPC 网络中)
  • IPv4 站点到站点数据传输(连接到同一 hub 的所有 spoke 必须在同一 VPC 网络中拥有其所有支持性资源)
  • VPC 网络之间的 IPv4 连接
Cloud VPN(高可用性 VPN)隧道、
Cloud Interconnect VLAN 连接
  • IPv4 站点到站点数据传输(所有 Cloud VPN 隧道和/或 VLAN 连接必须位于同一 VPC 网络中)

VPC spoke

VPC spoke 可让您将两个或更多 VPC 网络连接到 hub,以便网络交换 IPv4 子网路由。连接到单个 hub 的 VPC spoke 可以引用同一项目或不同项目(包括其他组织中的项目)中的 VPC 网络。

如需详细了解 VPC spoke,请参阅 VPC spoke 概览

混合 spoke

单个混合 spoke 可以与同一类型的多个资源关联。例如,混合 spoke 可以引用两个或更多高可用性 VPN 隧道,但同一混合 spoke 不能同时引用路由器设备虚拟机或 Cloud Interconnect VLAN 连接。

使用混合 spoke 进行站点到站点数据传输要求这些 spoke 位于同一 VPC 网络中。如需了解详情,请参阅站点到站点数据传输概览

使用 VPC 连接进行路由交换

Network Connectivity Center VPC spoke 支持交换使用专用地址的子网 IPv4 地址范围,不包括以非公开方式使用的公共 IPv4 地址。Spoke VPC 网络中的静态和动态路由无法与 hub 中的其他 VPC spoke 交换。

由于存在此限制条件,如果您需要将 VPC 网络连接到本地网络,则必须使用以下方法之一:

  • 在 spoke VPC 网络本身中创建 Cloud VPN 隧道或 Cloud Interconnect VLAN 连接,或者
  • 使用 VPC 网络对等互连将 spoke VPC 网络连接到另一个 VPC 网络,并配置对等互连连接,如 VPC spoke 和 VPC 网络对等互连中所述。

使用场景

以下部分介绍 Network Connectivity Center 的主要使用场景。

使用 Network Connectivity Center 连接不同的 VPC 网络

当您将两个或更多 VPC spoke 连接到 hub 时,Network Connectivity Center 会在 spoke 代表的所有 VPC 网络之间提供 IPv4 子网连接。使用 hub 可简化大规模网格子网连接的管理。如需了解可连接到 hub 的 VPC 网络的数量,请参阅配额

下图展示了两个 VPC spoke。

将 spoke 连接到 VPC 网络。
将 spoke 连接到 VPC 网络(点击可放大)

使用路由器设备虚拟机连接网络

Network Connectivity Center 可以在以下两种 IPv4 连接场景中使用路由器设备虚拟机:

  • 使用动态路由将 VPC 网络连接到本地网络或其他云服务提供商网络
  • 使用动态路由将两个 VPC 网络相互连接

使用此选项时,Cloud Router 路由器会管理下一个跃点路由器设备虚拟机的 BGP 会话。

将外部网络连接到 Google Cloud

下图使用具有路由器设备虚拟机的混合 spoke 将两个 VPC 网络连接到外部网络。Cloud Router 路由器虚拟机在每个 VPC 网络中都有一个网络接口 (NIC)。

将外部网络连接到 Google Cloud。
将外部网络连接到 Google Cloud(点击可放大)

如需详细了解此用例,请参阅使用第三方设备的站点到云拓扑

管理 VPC 网络之间的连接

下图使用具有路由器设备虚拟机(运行专用防火墙或数据包检测软件)的混合 spoke 连接两个 VPC 网络。

使用第三方防火墙
使用第三方防火墙(点击可放大)

如需了解详情,请参阅使用第三方设备的 VPC 到 VPC 拓扑

通过 Google 网络进行数据传输

数据传输使用 Google Cloud VPC 网络和混合 spoke 在外部网络之间提供 IPv4 连接。您可以在多个本地网络之间传输数据,也可以将数据传输到其他云网络。

创建混合 spoke 时,您可以为该 spoke 启用数据传输选项。为连接到同一 hub 的混合 spoke 启用数据传输后,每个路由器设备虚拟机、Cloud VPN 隧道或 Cloud Interconnect VLAN 连接获知的动态路由会重新通告到与连接到同一 hub 的任何混合 spoke 关联的其他虚拟机、隧道或 VLAN 连接。数据传输要求所有混合 spoke 都引用单个 VPC 网络中的路由器设备虚拟机、Cloud VPN 隧道或 Cloud Interconnect VLAN 连接。

例如,假设您的数据中心分别位于纽约、悉尼和东京。在使用受支持的资源将 VPC 网络连接到上述每个站点后,您便可以创建 spoke 来表示每个网络。完成此设置后,Network Connectivity Center 将在所有三个站点之间提供全网状连接。

如下图所示,您所创建的 spoke 可以依赖于诸如 Cloud VPN、Cloud Interconnect 和路由器设备等各种连接资源。

该图未显示 Cross-Cloud Interconnect,但您也可以使用 Cross-Cloud Interconnect VLAN 连接。

通过 Google 网络进行数据传输。
通过 Google 网络传输数据(点击可放大)

如需详细了解此使用场景,请参阅站点到站点数据传输概览

注意事项

在设置 Network Connectivity Center 之前,请查看以下部分。

IP 寻址

Network Connectivity Center 支持 IPv4 寻址,不支持 IPv6。例如:

  • 如果一个 spoke 启用了站点到站点数据传输,则与该 spoke 关联的资源支持 IPv4 流量。这些 spoke 无法交换 IPv6 流量。这适用于所有 spoke 类型:路由器设备、VLAN 连接和 VPN spoke。

  • 站点到云路由器设备 spoke 支持 IPv4 流量,不支持 IPv6 流量。

  • 创建路由器设备虚拟机时,虚拟机的主要内部 IPv4 地址必须是 RFC 1918 地址。

  • 如果 VPC spoke 同时包含 IPv4 和 IPv6 子网,则只有 IPv4 子网会在它们之间交换。

路线

由 Network Connectivity Center hub 安装的路由被视为动态路由。

如需了解与其他类型的路由相比动态路由的处理方式,请参阅 VPC 文档中的适用范围和顺序

确定优先级

所有混合 spoke 资源都使用 Cloud Router 路由器。如需详细了解 Cloud Router 路由器如何使用路径选择模型,请参阅 Cloud Router 路由器概览中的 AS 路径前置和 AS 路径长度

ASN

向 Cloud Router 路由器通告前缀时,与单个 spoke 关联的所有非 Google 对等互连路由器都必须使用相同的 ASN。这一点很重要,因为如果两个对等体使用不同的 ASN 或 AS 路径通告相同的前缀,则系统仅会针对该前缀重新通告一个对等体的 ASN 和 AS 路径。 不同的 spoke 必须具有不同的 ASN。也就是说,如果两个 BGP 会话属于不同的 spoke,它们必须具有不同的 ASN。

此外,如果您使用数据传输功能,则必须按照站点到站点数据传输的 ASN 要求中所述分配 ASN。

BGP 会话

不支持 BGP 社区。

使用站点到站点数据传输时的路由通告更改

当您将 Cloud Interconnect VLAN 连接或 Cloud VPN 隧道添加到混合 spoke 时,Network Connectivity Center 会更新该 VLAN 连接或 Cloud VPN 隧道的相应 BGP 会话,以便重新通告连接到启用了站点到站点数据传输选项的任何 hub 混合 spoke 的其他 Cloud Interconnect VLAN 连接或 Cloud VPN 隧道的 BGP 会话获知的前缀。

支持的 spoke 类型

针对其他产品的支持

以下部分介绍了 Network Connectivity Center 如何与其他网络产品和功能结合使用。

VPC spoke 和 VPC 网络对等互连

Network Connectivity Center VPC spoke 仅支持交换使用专用地址的有效子网 IPv4 地址范围,不包括以非公开方式使用的公共 IPv4 地址,不包括 IPv6 子网范围,并且不包括静态和动态路由:

  • 如需详细了解 Network Connectivity Center VPC spoke,请参阅 VPC spoke 概览
  • 如需详细了解如何使用 VPC 网络对等互连交换路由,请参阅 VPC 网络对等互连文档中的路由交换选项

虽然 Network Connectivity Center VPC spoke 不支持交换静态或动态路由,但 spoke VPC 网络仍然可以使用 VPC 网络对等互连从其他 VPC 网络导入静态和动态路由。如果其他 VPC 网络的动态路由具有连接到本地网络的下一个跃点 Cloud Interconnect VLAN 连接或 Cloud VPN 隧道,您可以使用 Cloud Router 路由器自定义路由通告VPC 网络对等互连路由交换选项将 spoke VPC 网络连接到本地网络,如 VPC 网络对等互连文档的中转网络示例所述。

共享 VPC 网络

使用共享 VPC 网络时,您必须在宿主项目中创建该 hub。

我们建议将 networkconnectivity.googleapis.com/spokeAdmin 角色分配给服务项目的管理员。如需详细了解此角色和其他 Network Connectivity Center 角色,请参阅角色和权限

旧版网络

spoke 资源不能用于旧版网络

VPN 隧道

不支持传统 VPN 隧道。

数据转移

如果您使用数据传输,请查看站点到站点数据传输概览中的注意事项部分。

服务等级协议

如需了解 Network Connectivity Center 服务等级协议,请参阅 Network Connectivity Center 服务等级协议 (SLA)

价格

如需了解价格,请参阅 Network Connectivity Center 价格

后续步骤