Cloud Router 總覽

Cloud Router 是一個全分散式和代管的 Google Cloud 服務,可隨著您的網路流量進行調整。這不是實體裝置,因此不會造成效能瓶頸。

當您將內部部署網路延伸至 Google Cloud 時,可使用 Cloud Router 在 Google Cloud 網路與內部部署網路之間動態交換路徑。Cloud Router 會與內部部署 VPN 閘道或路由器對等互連。路由器會透過邊界閘道協定 (BGP) 交換拓撲資訊。拓撲變更後,會自動在 VPC 網路和內部部署網路之間傳播,因此您無需設定靜態路徑。

Cloud Router 可搭配舊有網路和虛擬私人雲端 (VPC) 網路使用。

靜態與動態轉送的比較

使用靜態路徑時,您必須建立或維護一份路由表,只要任一網路的拓撲有所變更,您就需要手動更新靜態路徑。此外,如果連結故障,靜態路徑將無法自動重新轉送流量。

靜態轉送適合採用穩定拓撲的小型網路,也可以讓您嚴格控制路由表。路由器不會在網路之間傳送通告。

有了 Cloud Router,您就可以使用 BGP 在網路之間交換轉送資訊。您不需要手動設定靜態路徑,網路會透過 BGP 自動快速地發現拓撲變更,並在不中斷流量的狀態下無縫實作變更。這種透過 BGP 交換路徑的方法稱為「動態轉送」

動態轉送適合任何網路規模,並能讓您省下維護靜態路徑的工作。此外,如果連結故障,動態轉送可以視情況自動重新轉送流量。如要啟用動態轉送,請建立 Cloud Router 雲端路由器。然後,在雲端路由器和內部部署閘道或路由器之間設定 BGP 工作階段

在 VPN 通道使用靜態轉送

若沒有 Cloud Router,您只能使用靜態路徑設定 VPN。使用靜態路徑的缺點如下:

  • 只要 VPN 通道任一端的網路設定有所變更,就必須手動建立和刪除這些變更對應到的靜態路徑。此外,靜態路徑的收斂速度很慢。
  • 建立與靜態路徑搭配運作的 VPN 通道時,您必須先指定通道任一端的 IP 前置碼清單,再建立這個通道。也就是說,每當路徑需要變更時,就必須以新路徑更新 (刪除並重建) VPN 通道,這會中斷現有的流量。
  • 設定靜態路徑沒有標準方式,不同的廠商會使用不同的指令。

在以下範例中,您的複合網路包含 Google Cloud 網路,以及 VPN 通道另一端內部部署網路上的 29 個子網路 (每個機架一個)。這個範例假設您的事業正在起飛,所以您每週都需要新增一個機器子網路。您本週要加入的是子網路 10.0.30.0/24,如下圖所示:

使用 VPC 網路的 VPN 如何與 Cloud Router 搭配運作 (按一下可放大圖片)
沒有 Cloud Router 的 VPN (按一下可放大圖片)

在本情境中,以靜態路徑為基礎的 VPN 需要進行下列變更:

  1. 靜態路徑必須新增至 Google Cloud Platform,才能連上新的內部部署子網路。
  2. 拆掉 VPN 通道並重建,以納入新的內部部署子網路。

您可透過部署 Cloud Router 來避免變更靜態路徑和 VPN 通道的設定。Cloud Router 使用 BGP 與 VPN 閘道進行對等互連,以交換拓撲資訊。實際上,Google Cloud Platform 網路的網路拓撲變更會透過 BGP 自動傳播至您自己的網路 (反之亦然),所以您無需為 VPN 通道設定靜態路徑。

在 VPC 網路中的 VPN 通道使用動態轉送

使用 VPC 網路可將網路 IP 空間依地區分段,分屬不同前置碼 (子網路),並控管哪個 VM 執行個體的內部 IP 位址會分配到哪個前置碼。如要避免靜態管理這些子網路,解除為 VPN 新增和移除相關靜態路徑的負擔,請使用 Cloud Router 為 VPN 通道啟用動態轉送。

Cloud Router 屬於特定 VPC 網路和地區。Cloud Router 會透過 BGP 從 VPC 網路將子網路通告至內部部署閘道,並根據 VPC 網路的動態轉送模式,在其本地地區或網路中所有的子網路中通告子網路。Cloud Router 也會透過 BGP 取得內部部署路徑,讓網路基礎架構選取最佳路徑,來連線到關聯的前置碼。

以下範例顯示 Cloud Router 搭配自訂模式 VPC 網路。如果您使用自動模式虛擬私人雲端網路,Cloud Router 會自動公告地區的 /20 前置碼

下圖顯示一個 VPC 網路中兩個不同的地區子網路,以及內部部署網路中的 30 個子網路。這兩個網路透過 Cloud VPN 通道連接。在本情境中,我們將在兩個網路中加入新的子網路:

  1. 在 GCP 網路的 us-east-1 地區新增 192.168.1.0/24 子網路。
  2. 新的內部部署 10.0.30.0/24 子網路,用於處理資料中心日益增加的流量。
使用 VPC 網路的 VPN 如何與 Cloud Router 搭配運作 (按一下可放大圖片)
使用 VPC 網路的 VPN 如何與 Cloud Router 搭配運作 (按一下可放大圖片)

為了自動傳播網路設定的變更,VPN 通道使用 Cloud Router 在內部部署 VPN 閘道之間建立 BGP 工作階段,換言之,這些 VPN 閘道必須支援 BGP。系統會在網路之間無縫通告新的子網路。新子網路中的執行個體可立即開始傳送和接收流量。

如要設定 BGP,必須將額外的 IP 位址指派到 VPN 通道的兩端。這兩個 IP 位址必須是連結-本機 IP 位址,並屬於 IP 位址範圍 169.254.0.0/16。這些位址不屬於任一網路的 IP 位址空間,而是專門用於建立 BGP 工作階段。由於這些位址無法路由,因此不能與常見的網路測試工具搭配使用。舉例來說,Traceroute 就無法運作,且只有在要求是來自對等連結-本機位址專用的連結本機位址時,才能進行連線偵測 (ping) 測試。

在舊有網路中的 VPN 通道使用動態轉送

在舊有網路中,網路設定變更會自動傳播,不需要重新設定靜態路徑和重新啟動 VPN 通道 (類似於上方範例)。

BGP 工作階段會向每個路由器通知本機的變更。如要設定 BGP,必須將額外的 IP 位址指派到 VPN 通道的兩端。這兩個 IP 位址必須是連結-本機 IP 位址,並屬於 IP 位址範圍 169.254.0.0/16。這兩個位址不屬於通道任一端的 IP 位址空間,而是專門用於設定 BGP 對等體以建立 BGP 工作階段。

您必須在通道的兩端設定兩個來自同一子網路的連結本機 IP 位址和一個網路遮罩。在通道的兩端設定這些變更之後,系統便會建立 BGP 工作階段。

同樣地,如果網路在多個地區有 VPN 通道,則必須在每個需要動態轉送的地區都建立一個 Cloud Router。單一 Cloud Router 可以用於路由器所屬網路地區的多個 VPN 閘道和多個通道。

動態轉送模式

VPC 網路的動態轉送模式決定 Cloud Router 能看到哪些子網路。您可將動態轉送模式設為全球性或地區性:

  • Cloud Router 可利用全球動態轉送功能,將 VPC 網路中的所有子網路通告至內部部署路由器。Cloud Router 會將來自內部部署路由器的已知路徑傳播至所有地區。
  • 設為地區動態轉送時,Cloud Router 會通告並傳播其本地地區的路徑。

動態轉送模式是在 VPC 網路上設定。當您建立或編輯 VPC 網路時,可將動態轉送模式設為全球性或地區性。VPC 網路中所有的 Cloud Router 執行個體都使用網路的動態轉送模式,模式預設為地區性。

如果您變更 VPC 網路的動態轉送模式,有一些注意事項需要考量,例如中斷現有連線或啟用非預期的路徑。舉例來說,若您改用地區動態轉送,原本連線到另一個地區的 VPN 通道和互連網路的 VM 執行個體可能會失去連線。若您改用全球動態轉送,Cloud Router 可能會通告非預期地區中的 VM 執行個體。如要查看或設定動態轉送模式,請參閱設定地區或全球動態轉送

地區動態轉送範例

透過地區動態轉送,您可以在單一 GCP 地區有一個 Cloud VPN 通道和多個 VM 執行個體。通道會將內部部署網路延伸至 VPC 網路。其他地區中的 VM 執行個體可能需要連線至內部部署網路,但這些 VM 執行個體無法連到通道。如要解決這項限制,您可以建立靜態路徑。不過,維護靜態路徑容易出錯,並且可能會讓流量中斷。

以下範例中的 Cloud Router 只能看到 us-west1 地區中的資源。其他地區中的 VM 執行個體 (例如 us-central1) 無法連到 Cloud VPN 通道。

Cloud Router 地區動態轉送 (按一下可放大圖片)
Cloud Router 地區動態轉送 (按一下可放大圖片)

全球動態轉送範例

透過全球動態轉送,Cloud Router 能看到所有地區中的資源。舉例來說,如果您在一個地區有多個 VM 執行個體,這些 VM 執行個體可以自動連到另一個地區中的 Cloud VPN 通道,而不需要維護靜態路徑。

以下範例顯示使用全球動態轉送的 VPC 網路。位於 us-west1 的 Cloud Router 會通告兩個不同地區的子網路:us-west1us-central1;這兩個地區中的 VM 執行個體會動態取得內部部署主機資訊。

Cloud Router 全球動態轉送 (按一下可放大圖片)
Cloud Router 全球動態轉送 (按一下可放大圖片)

對於備援拓撲,動態轉送 (BGP) 提供足夠的資訊給 VPC 和內部部署網路,所以當路徑故障時,系統會重新轉送流量。如果某個地區中的連線有問題,流量可以容錯移轉至另一個地區。

以下範例顯示位於兩個不同地區的兩個 Cloud VPN 通道。VM 執行個體 (10.128.0.0/20) 使用 us-west1 地區的 tunnel-us-west1 連到內部部署網路的兩個子網路。同樣地,us-central1 中的 VM 執行個體 (10.138.0.0/20) 會使用通道 tunnel-us-central1

Cloud Router 全球動態轉送 (按一下可放大圖片)
Cloud Router 全球動態轉送 (按一下可放大圖片)

路徑設定成讓 VM 執行個體優先使用本地通道 (VM 執行個體所在地區的通道)。針對具有相同目的地的本機和遠端路徑,Cloud Router 會設定不同的權重。如果某個通道故障,Cloud Router 可以視情況重新轉送流量。

在以下範例中,tunnel-us-west1 故障,進出 VM 執行個體 (10.128.0.0/20) 的流量會經由 tunnel-us-central1 重新轉送,不會遭到捨棄。

Cloud Router 全球動態轉送 (按一下可放大圖片)
Cloud Router 全球動態轉送 (按一下可放大圖片)

路徑通告

透過 BGP,Cloud Router 會通告內部部署網路中的用戶端可以連線的 IP 位址。內部部署網路會傳送封包至符合通告 IP 範圍目的地 IP 位址的 VPC 網路。連到 GCP 之後,VPC 網路的防火牆規則和路徑會決定 GCP 如何處理封包。

您可以使用 Cloud Router 的預設通告或明確指定要通告哪些 CIDR 範圍。如果您沒有指定通告,Cloud Router 會使用預設值。

預設

根據預設,Cloud Router 會通告自己地區中的子網路以進行地區動態轉送,或通告 VPC 網路中的所有子網路來進行全球動態轉送。Cloud Router 會自動通告新的子網路。此外,如果子網路有用來設定別名 IP 位址的次要 IP 範圍,Cloud Router 會通告主要和次要 IP 位址。

Cloud Router 的每個 BGP 工作階段也有預設通告。根據預設,Cloud Router 會將它的路徑通告傳播至自己所有的 BGP 工作階段。如果您在 Cloud Router 上設定自訂路徑通告,其 BGP 工作階段會沿用這些自訂通告。

如果要在子網路範圍之外 (例如保留的外部 IP 位址) 通告 IP 位址,您必須指定自訂通告。使用自訂通告時,您也可以選擇通告子網路或子網路的其中一部分。如此一來,即可不通告特定子網路。如果您不需要這些功能,請使用預設通告。

自訂

設定自訂路徑通告時,請明確指定 Cloud Router 要通告的路徑。在大多數情況下,自訂通告可以用來在預設子網路通告加入自訂 IP 位址。自訂 IP 位址是子網路 IP 範圍之外的位址,例如保留的外部 IP 位址。如果沒有自訂路徑通告,您將需要建立並維護自訂 IP 位址的靜態路徑。

設定自訂路徑通告時,您可以選擇通告所有子網路。這會模擬預設行為。您可以選擇不通告所有子網路,而是通告特定子網路或子網路內的特定 CIDR 區塊。例如,您可能想防止 Cloud Router 通告特定子網路,這時,您就可以只通告想要公開的子網路。不過,當您選擇性地通告子網路時,必須將新的子網路手動新增至自訂路徑通告。Cloud Router 不會自動通告新的子網路。

您可以在 Cloud Router 或 BGP 工作階段上指定自訂路徑通告。Cloud Router 上的自訂路徑通告適用於其所有的 BGP 工作階段。不過,如果您在 BGP 工作階段上指定自訂路徑通告,系統會忽略 Cloud Router 的路徑通告,改用工作階段的通告。

您最多可以為每個 Cloud Router 雲端路由器指定 200 個 CIDR 範圍。此外,每個 BGP 工作階段的限制皆為 200 個 CIDR 範圍。

範例

下列範例顯示 Cloud Router 的預設行為和自訂路徑通告的適用情境。這些範例假設 VPC 與內部部署網路之間有一個現有連線,例如 IPsec VPN 通道或專屬互連網路。

預設路徑通告

對於地區動態轉送,Cloud Router 會通告其地區中的子網路。在以下範例中,Cloud Router 會通告 us-central1 地區的子網路,也會通告 alias-subnet 的次要 IP 範圍。如果您在 us-central1 建立新的子網路,Cloud Router 會自動通告這些子網路。Cloud Router 不會通告子網路 IP 範圍未涵蓋的 IP 位址,例如外部 IP 位址。

Cloud Router 預設路徑通告 (按一下可放大圖片)
Cloud Router 預設路徑通告 (按一下可放大圖片)

針對在內部部署網路中提供用戶端的 GCP 應用程式,您可以使用外部靜態 IP 位址。在應用程式上執行維護時,您可將靜態 IP 位址重新對應至另一個 VM 執行個體,以縮短停機時間。使用 Cloud Router 的預設通告時,您需要設定並維護靜態路徑。您也可以改用自訂通告,透過 BGP 通告外部 IP 位址。

在以下範例中,Cloud Router 會通告 Proxy 伺服器的外部 IP 位址 1.2.3.4。這個外部 IP 位址對應至伺服器的內部 IP 位址 10.20.0.2。Cloud Router 不會通告 Proxy 伺服器的內部 IP 位址或 my-subnet 子網路中的任何 VM 執行個體。內部部署用戶端只會知道 Proxy 伺服器的外部 IP 位址。

外部 IP 位址通告 (按一下可放大圖片)
外部 IP 位址通告 (按一下可放大圖片)

詳情請參閱通告自訂 IP 範圍

限制子網路通告

您可以防止系統通告執行個體,將這些執行個體隱藏起來。在以下範例中,Cloud Router 會通告 subnet-1subnet-2。內部部署網路中的用戶端可以連到這些子網路的 VM 執行個體,但無法連到 unadvertised-subnet 子網路中的執行個體。

在 Cloud Router 上通告特定子網路 (按一下可放大圖片)
在 Cloud Router 上通告特定子網路 (按一下可放大圖片)

詳情請參閱通告特定 VPC 子網路

根據 BGP 工作階段通告路徑

假設您的 VPC 和內部部署網路中有實際運作資源和測試資源,且您已在不同子網路中整理了這些資源,並據此設定兩個 BGP 工作階段,通告不同的 IP 位址範圍。使用兩個不同的 BGP 工作階段,預定要流向某個子網路的流量不會意外地流到另一個子網路。以下範例顯示兩個 BGP 工作階段:prod-bgp 僅通告 prod-subnettest-bgp 僅通告 test-subnet

在 BGP 工作階段上通告特定子網路 (按一下可放大圖片)
在 BGP 工作階段上通告特定子網路 (按一下可放大圖片)

詳情請參閱「通告自訂 IP 範圍」或「通告特定虛擬私人雲端子網路」說明文章。

從 GCP 至內部部署網路的輸出流量最佳路徑

如果 Cloud Router 收到多個路徑皆通往同個目的地,GCP 會使用路徑指標,並在某些情況下使用 AS 路徑長度來決定最佳路徑。以下清單說明用於輸出流量的演算法,其中使用一或多個 Cloud Router 雲端路由器管理一個 VPC 網路的動態路徑。

  1. 如果單一 Cloud Router 中有多個 BGP 工作階段,第一個符合的條件會決定輸出。
    1. 所有輸出流量會傳送至 AS 路徑長度最短的路徑。
    2. 如果路徑有相同的 AS 路徑長度,所有輸出流量會傳送至多出口鑑別屬性 (MED) 值最低 (最低路徑指標) 的路徑。
    3. 如果路徑的 AS 路徑長度和 MED 值皆相同 (相同路徑指標),則會使用等價多路徑路由 (ECMP),在所有路徑之間平衡輸出流量。
  2. 如果您在同個地區使用多個 Cloud Router,GCP 只會使用路徑指標來決定最佳路徑,不會使用 AS 路徑長度。第一個符合的條件會決定輸出:
    1. 所有輸出流量會傳送至多出口鑑別屬性 (MED) 值最低 (最低路徑指標) 的路徑。
    2. 如果路徑的 MED 值相同 (相同路徑指標),則使用 ECMP 在所有路徑之間平衡輸出流量。
  3. 如有衝突,則靜態路徑優先於 Cloud Router 動態路徑。靜態路徑的前置碼和路徑指標與動態路徑相同時,一律優先使用靜態路徑,忽略任何衝突的動態路徑。

VPC 子網路與內部部署路徑通告之間 IP 範圍重疊

如果您的 VPC 子網路與內部部署路徑通告有重疊的 IP 範圍,GCP 會根據 IP 範圍引導輸出流量。

如果子網路 IP 範圍大於或等於內部部署路徑通告,GCP 會忽略內部部署通告。所有目的地在子網路 IP 範圍的 GCP 輸出流量都會導向至 VPC 子網路。例如,假設子網路的 IP 範圍為 10.2.0.0/16,內部部署路由器通告 10.2.1.0/24,則 GCP 會忽略內部部署通告,並將 10.2.0.0/16 流量導向至 VPC 子網路。

如果子網路 IP 範圍小於內部部署路徑通告,只要目的地 IP 在子網路的 IP 範圍內,GCP 輸出流量便會導向至 VPC 子網路。符合內部部署通告的其他輸出流量都會導向至內部部署網路。例如,假設子網路的 IP 範圍為 10.2.0.0/16,內部部署路由器通告 10.0.0.0/8,則 GCP 會將目的地為 10.0.0.0/8 的流量導向至內部部署網路,除非目的地符合 10.2.0.0/16,GCP 才會將流量導向至子網路。

路徑指標

Cloud Router 通告或傳播路徑時,會使用路徑指標來指定路徑優先順序。當您在 VPC 網路與內部部署網路之間有多個路徑時,路徑指標會決定要使用哪一個路徑。這個值等同多出口鑑別 (MED) 值。路徑指標 (MED) 越低,優先順序越高。

路徑指標由通告路徑基本優先順序和地區成本組成。基本優先順序是使用者指定的值,而地區成本是 Google 產生的值,無法修改。地區成本是 VPC 網路中兩個地區之間的通訊成本,Cloud Router 會將這兩個值相加,產生出路徑指標。

對於地區動態轉送,由於 Cloud Router 只處理其地區中的路徑,所以不會在路徑指標中加入任何地區成本。Cloud Router 只使用通告路徑基本優先順序。

對於全球動態轉送,所有 Cloud Router 雲端路由器都會通告和傳播相同的路徑。不過,每個 Cloud Router 可能會因為地區成本而使用不同的路徑指標。

通告路徑基本優先順序

計算路徑指標時,Cloud Router 會從通告路徑基本優先順序值開始,然後加入地區成本。這個基本值是通告路徑的最小路徑指標。當您設定 Cloud Router 上的 BGP 工作階段時,可指定通告路徑基本優先順序。此設定會套用至該工作階段的所有路徑。根據預設,通告基本優先順序值為 100。

通告路徑基本優先順序可讓您設定路徑的優先順序。例如,您可能有 VPN 通道和專屬互連網路在連接您的 VPC 和內部部署網路,您可設定通告路徑基本優先順序,讓流量優先使用專屬互連網路。如果互連網路無法使用,流量就會通過通道。詳情請參閱範例拓撲

地區成本

當 Cloud Router 從自身地區以外的地區通告路徑 (從遠端 GCP 地區轉送) 或傳播路徑至遠端地區時,會加入地區成本。

地區成本介於從 201 到 9999 (包含頭尾兩個數字) 的範圍內,這個值取決於兩個地區間的距離、延遲及其他因素。Google 會產生地區成本值,您無法修改這個值。如需進一步瞭解地區成本,請參閱範例拓撲

地區成本可根據地區鄰近性協助決定路徑的優先順序。例如,想像您在 VPC 與內部部署網路之間有兩個連線,例如兩個 VPN 通道,各有其自己的 Cloud Router。其中一個連線位於 us-central1,另一個位於 europe-west1。藉由將地區成本新增至路徑指標,us-central1 中的網路間流量會優先使用 us-central1 通道。同樣地,europe-west1 中的網路間流量會優先使用 europe-west1 通道。如果沒有地區成本,會將流量均分到兩個連線,導致不一致的網路效能。

對於已知路徑,Cloud Router 會在傳播已知路徑至遠端 GCP 地區時,加上地區成本。這有助於在 VPC 與內部部署網路之間,維持對稱的輸入和輸出流量。Cloud Router 會將地區成本新增至內部部署路由器通告的 MED 值。

建議的基本優先順序值

如要調整單一地區中路徑之間的優先順序,請使用低於 201 的值。這可確保地區成本不會影響全球路徑優先順序。來自其他地區 (遠端地區) 的路徑不能使用低於 201 的優先順序值。如果您使用較高的值,地區成本可能會影響路徑優先順序。例如,假設您有一個主要和備用連線。如果您將備用連線的基本優先順序設得太高,可能會意外地優先使用來自其他地區的路徑,而不使用備用連線。

如果要全面降低 VPC 網路中路徑的優先順序,請使用高於 10,200 的值。如此可確保值低於 201 的其他路徑,不論其地區成本,都有較高的優先順序。

如果某個地區中所有路徑的優先順序皆相等,您可以使用預設值 100。

範例拓撲

下列範例說明使用全球動態轉送時,地區成本如何影響路徑指標。

假設您有一個 VPC 網路,具有兩個 VPN 通道,這兩個通道各自有自己的 Cloud Router。其中一個通道位於 us-central1,另一個位於 us-west1。根據預設,這些地區的輸入流量會使用其所屬地區中的對應通道。不過,如果您想連到不在這些地區中的 VM 執行個體 (例如位於 europe-west1 中的執行個體),會發生什麼事?下圖顯示地區成本如何影響路徑指標。

通告路徑的 Cloud Router 路徑指標 (按一下可放大圖片)
通告路徑的 Cloud Router 路徑指標 (按一下可放大圖片)

兩個 Cloud Router 都將路徑通告至 europe-west1,但路徑指標不同。us-central1 中的 Cloud Router 將路徑通告至 europe-west1,由於距離、延遲及其他因素,其路徑指標低於 us-west1。這個範例假設透過 us-central1 連到 europe-west1 的地區成本為 300,透過 us-west1 連到 europe-west1 的地區成本則為 350。輸入流量使用路徑指標較低的 us-central1 通道 (路徑指標為 350),若使用 us-west1 通道則為 400。

同樣地,Cloud Router 會將地區成本加到已知路徑的 MED 值 (由內部部署路由器指定)。根據預設,europe-west1 地區的輸出流量也會使用 us-central1 通道,因為其路徑指標較低。如此一來,輸入和輸出流量即維持對稱。

已知路徑的 Cloud Router 路徑指標 (按一下可放大圖片)
已知路徑的 Cloud Router 路徑指標 (按一下可放大圖片)

地區內的路徑優先順序

針對 us-west1 中的備援性,假設您建立了備用通道,並為備用通道指定較高的基本優先順序,使 us-west1 的輸入流量優先使用主要通道,如以下範例所示:

地區內路徑基本優先順序 (按一下可放大圖片)
地區內路徑基本優先順序 (按一下可放大圖片)

如果主要通道故障,us-west1 的輸入流量會優先使用路徑指標為 51 的備用通道,而非 us-central1 通道 (路徑指標為 400):

地區內路徑基本優先順序 (按一下可放大圖片)
地區內路徑基本優先順序 (按一下可放大圖片)

同樣地,對於從 VPC 網路輸出至內部部署網路的流量,請使用低於 201 的 MED 值來決定路徑的優先順序。否則,VPC 網路輸出至內部部署網路的流量可能無法與輸入流量形成對稱。

如果地區中的所有通道或互連網路有相同的優先順序,您可以使用預設的基本路徑優先順序 100。

全球優先路徑

假設您在不同地區有一個專屬互連網路和一個 VPN 通道。您要優先使用專屬互連網路,因為它的工作負載成本效益高於 VPN 通道。請將基本優先順序 10,051 指定給 VPN 通道路徑,以降低其優先順序。如此一來,無論地區成本為何,所有輸入流量都會使用專屬互連網路。專屬互連網路的路徑指標不會超過 10,051。只有在互連網路故障時,流量才會使用 VPN 通道。

全球路徑的基本優先順序 (按一下可放大圖片)
全球路徑的基本優先順序 (按一下可放大圖片)

您也需要對內部部署路由器進行同樣的調整,讓 VPC 網路輸出至內部部署網路的流量始終優先使用專屬互連網路。

如要進一步瞭解如何設定基本優先順序,請參閱「建立 BGP 工作階段」或「更新通告路徑基本優先順序」說明文章。

預設路徑

若特定 IP 目的地沒有指定路徑,流量會傳送至預設路徑,這是在沒有其他選項時採用的方法。例如,GCP VPC 網路會自動包括預設路徑 (0.0.0.0/0),這會傳送流量至網際網路閘道。

在某些情況下,您可能會希望系統預設為將流量引導至內部部署網路。為此,您可以通告從內部部署路由器連至 Cloud Router 的預設路徑。有了 Cloud Router,您就不需要建立並管理靜態路徑。如果您從內部部署網路通告預設路徑,請確認此路徑優先於其他自動建立的預設路徑 (具有較低的 MED 值)。 請前往路徑頁面,查看「Destination IP range」(目標 IP 範圍)0.0.0.0/0 且「Next hop」(下一個躍點) Default internet gateway 的路徑顯示的「Priority」(優先順序)

安全重新啟動

Cloud Router 已啟用安全重新啟動功能。安全重新啟動可讓內部部署 BGP 裝置離線,然後在安全重新啟動期間恢復,而不中斷流量。當 BGP 代理程式需要進行軟體升級和其他類型的維護,或者短暫故障時,這項功能可防止作業中斷。

如果您的 BGP 裝置支援安全重新啟動,請啟用這項功能。

具有安全重新啟動功能的 Cloud VPN 通道

在以下範例中,如果 Cloud Router 需要進行維護更新,只要在安全重新啟動期間恢復上線,就能進行更新而不會導致任何流量中斷。

安全重新啟動和 Cloud Router (按一下可放大圖片)
安全重新啟動和 Cloud Router (按一下可放大圖片)

BGP 計時器設定

Cloud Router 及您的內部部署路由器會透過下列計時器設定來維持通訊:

保持運作計時器:此為 Cloud Router 及相對應的內部部署對等互連路由器規律交換 BGP 活動訊號的間隔時間。此保持運作計時器若搭配保留計時器,即可得知這兩個路由器對彼此的可用性。Google 建議在內部部署路由器上,將保持運作計時器設定為 20 秒。

保留計時器:此計時器會追蹤前一次成功偵測到保持運作活動訊號之後的最短時間,即為 Cloud Router 或內部部署路由器在取得對方路由器的路徑後,應等待多久才可移除該路徑。Google 建議在內部部署路由器上,將保留計時器設定為 60 秒。

安全重新啟動計時器:在沒有規律保持運作活動訊號的情形下,您的內部部署路由器從相對應 Cloud Router 接收安全重新啟動通知訊息後且尚未傳來保持運作活動訊號前將等待的時間。若未收到新的保持運作活動訊號,您的內部部署路由器將移除其從 Cloud Router 取得的路徑。Google 建議將此計時器設定為 60 秒。

過時路徑計時器:此設定會決定從對方路由器收到記錄結束 (EOR) 訊息之後,路由器要等待多久時間,才能刪除已知路徑。此計時器會在 BGP 工作階段安全重新啟動後重新初始化時開始計時,但有問題的前置詞尚未經過更新訊息予以處理。Google 建議將此設定為 300 秒,藉以配合 Cloud Router 的設定。

備援 Cloud VPN 通道

如果內部部署閘道不支援安全重新啟動,則 BGP 工作階段任一端發生故障時,都會導致工作階段失敗,造成流量中斷。在超過 BGP 逾時之後 (Cloud Router 使用逾時 60 秒),便會從兩端撤銷路徑。動態轉送的 VPN 流量將不再進入通道,但仍會繼續提供通道的靜態路徑。

若系統不支援安全重新啟動,您可以部署兩個內部部署閘道,各閘道有一個通道,以提供備援和容錯移轉。這個設定可讓一個通道及其裝置離線,在不中斷流量的情況下進行軟體更新或維護。此外,如果一個通道故障,另一個通道能維持有效的路徑,並讓流量繼續流動。

以下範例將 Cloud Router 顯示為一個方塊,但有兩個 IP 位址,這兩個位址是同一個 Cloud Router 工作中的不同乙太網路介面。每個介面透過不同的內部部署閘道,用於不同的 BGP 工作階段。在這個特定的使用案例中,由於這些 VPN 通道是為了提供備援而建立,所以兩個 BGP 工作階段會交換一組完全相同的路徑前置碼,但使用指向不同 VPN 通道的下一個躍點。

沒有安全重新啟動功能的備援 (按一下可放大圖片)
沒有安全重新啟動功能的備援 (按一下可放大圖片)

升級週期

Cloud Router 會定期更新,所需時間不到 60 秒。升級期間,您無法使用 Cloud Router。BGP 保留計時器會決定當對等的 BGP 路由器無法使用時,已知路徑要保留多久的時間。BGP 保留計時器經過交涉,以兩端數值中較低者為準。Cloud Router 會將 BGP 保留計時器的值設為 60 秒。我們建議您將對等 BGP 保留計時器設為 60 秒以上 (預設值為 3 分鐘)。如此一來,在升級期間兩個路由器便會保留路徑,而流量可持續流動。

在單一 VPN 閘道的 VPN 閘道維護週期期間,使用 Cloud Router 會使通道復原時間增加約 20 秒,因為 BGP 工作階段會重設且必須重新取得路徑。VPN 閘道復原時間通常是一分鐘。如有備援 VPN 閘道,流量就不會受到影響,因為系統一次只會關閉一個 VPN 閘道。

後續步驟

如要進一步瞭解如何使用靜態和動態轉送搭配支援的服務,請參閱以下說明文件:

產品 轉送 說明文件
專屬互連網路 靜態 不支援
專屬互連網路 動態 建立 VLAN 連結
Cloud VPN 政策型 使用政策型路徑建立 VPN 通道
Cloud VPN 靜態 使用靜態路徑建立 VPN 通道
Cloud VPN 動態 使用動態路徑建立 VPN 通道
本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
雲端路由器