VPC 网络对等互连

Google Cloud Platform (GCP) 虚拟私有云 (VPC) 网络对等互连允许跨两个 VPC 网络的专用 RFC 1918 连接(而不管它们是不是属于同一个项目或组织)。

概览

VPC 网络对等互连允许您在 GCP 中构建 SaaS(软件即服务)生态系统,从而在相同组织内及不同组织之间的不同 VPC 网络中以私密方式提供服务,使工作负载能够在专用 RFC 1918 空间内通信。

VPC 网络对等互连对于以下情况十分有用:

  • 拥有多个网络管理域的组织。
  • 希望与其他组织进行对等互连的组织。

如果您的组织中有多个网络管理域,则 VPC 网络对等互连允许您在专用 RFC 1918 空间内、在不同的 VPC 网络之间提供服务。如果您向其他组织提供服务,VPC 网络对等互连允许您在专用 RFC 1918 空间中将这些服务提供给这些组织。如果您希望向其他企业提供服务,则跨多个组织提供服务的能力非常有用;如果由于您自身的结构或合并或收购的结果而拥有多个不同的组织节点,那么在您的企业中使用该服务也非常有用。

与使用外部 IP 地址或 VPN 连接网络相比,VPC 网络对等互连有多项优势,其中包括:

  • 网络延迟:公开 IP 网络的延时高于专用网络。
  • 网络安全:服务所有者不需要将其服务公开给公共互联网,自然也无需应对相关风险。
  • 网络成本:对于使用外部 IP 通信的网络,即使流量处于相同地区内,GCP 也会按出站带宽价格扣款。但是,如果网络采用对等互连,则可以使用内部 IP 进行通信,从而节省下这笔出站费用。 常规网络价格仍然适用于所有流量。

关键属性

对等互连的 VPC 网络具有以下关键属性:

  • VPC 网络对等互连可与 Compute EngineGKEApp Engine 柔性环境配合使用。
  • 对等互连的 VPC 网络在管理上保持独立。路由、防火墙、VPN 和其他流量管理工具分别在各个 VPC 网络中加以管理和应用。
  • 对等互连关联资源的每一方都是独立设置的。只有当双方的配置匹配时,对等互连才是有效的。任何一方都可以随时选择删除对等互连关联资源。
  • 即使在创建其他 VPC 网络之前,也可以为一个 VPC 网络配置对等互连。
  • 给定的 VPC 网络可以与多个 VPC 网络对等互连,但是存在限制
  • 一个对等互连 VPC 网络中的子网 CIDR 前缀不能与另一个对等互连网络中的子网 CIDR 前缀重叠。这意味着仅有默认子网的两个自动模式 VPC 网络不能建立对等互连。GCP 会在下列情况下检查是否发生重叠:
    • 当您首次与 VPC 网络进行对等互连时
    • 当您在对等互连 VPC 网络中创建新子网时
  • 一个对等互连 VPC 网络中的子网 CIDR 范围不能与另一个对等互连网络中的路由重叠。此规则涵盖子网路由和自定义路由。GCP 会在下列情况下检查是否发生重叠;如果发生重叠,则生成错误。
    • 当您首次与 VPC 网络进行对等互连时
    • 当您在对等互连 VPC 网络中创建静态路由时
    • 当您在对等互连 VPC 网络中创建新子网时
  • VPC 网络对等互连仅支持 VPC 网络。旧版网络不支持对等互连。
  • IAM 权限:创建和删除 VPC 网络对等互连需要新的 IAM 权限。项目所有者/编辑者和网络管理员角色中包含这些权限。
  • 在网络建立对等互连之后,每个内部、专用 IP 均可在对等互连的网络之中进行访问。VPC 网络对等互连未提供精细的路由控件来过滤出可以通过对等互连网络访问哪些子网 CIDR。如果需要执行此类过滤,则必须使用防火墙规则来过滤流量。以下类型的端点/资源可通过直接对等互连的网络访问:
    • 所有子网中的虚拟机 (VM) 内部 IP
    • 所有子网中经过内部负载平衡处理的 IP
  • 以下类型的端点/资源不会传播到直接对等互连的网络:
    • 静态路由
    • VPN
  • 只有直接对等互连的网络才能进行通信。不支持传递性对等互连。换句话说,如果 VPC 网络 N1 与 N2 和 N3 对等互连,但是 N2 和 N3 也未直接连接,则 VPC 网络 N2 不能与 VPC 网络 N3 通过对等互连进行通信。
  • 对等互连流量(在对等互连网络之间通信的流量)与同一网络中的不公开流量具有相同的延迟、吞吐量和可用性。
  • 对等互连流量的结算政策与同一网络中的不公开流量计算政策相同。

VPC 网络对等互连场景中的网络功能

内部 TCP/UDP 负载平衡

如果满足以下条件,则对等网络中的虚拟机实例可以访问 VPC 网络中内部 TCP/UDP 负载平衡器的内部 IP 地址:

  • 虚拟机必须与内部 TCP/UDP 负载平衡器位于同一区域。
  • 应用于负载平衡器后端虚拟机的入站防火墙规则允许来自对等网络中来源的流量。这些入站防火墙规则必须在包含负载平衡器的 VPC 网络中创建。

如需了解更多信息,请参阅使用 VPC 网络对等互连

防火墙规则

使用 VPC 网络对等互连连接网络时,防火墙规则不会在两者之间交换。要允许来自对等网络中虚拟机实例的入站流量,您必须创建入站允许防火墙规则。默认情况下,隐式拒绝入站规则会禁止流向虚拟机的入站流量。

如果您要限定仅授予 VPC 网络中的其他虚拟机访问权限,请确保您的入站允许防火墙规则来源仅识别您的 VPC 网络中的虚拟机而非来自对等网络的虚拟机。例如,您可以仅为您的 VPC 网络中的子网指定来源 IP 地址范围。

要设定对内部 TCP/UDP 负载平衡器的访问权限限制,请创建入站防火墙规则应用于负载平衡器后端虚拟机。

共享的 VPC

VPC 网络对等互连允许与共享 VPC 进行对等互连。共享 VPC 宿主项目是指允许其他项目使用其某个网络的项目。下图展示了此设置。

建立了网络对等互连的共享 VPC(点击可放大)
建立了网络对等互连的共享 VPC(点击可放大)

网络 SVPC 位于宿主项目 P1 中的共享 VPC 网络内。服务项目 P3 和 P4 能够将虚拟机实例连接到网络 SVPC。网络 SVPC 与网络 A 对等互连。因此有以下结果:

  • 使用网络 SVPC 的共享 VPC 服务项目中的虚拟机实例(VM3 和 VM4)与关联到网络 A 的任何端点具有不公开的内部 IP 连接。
  • 与网络 A 相关联的虚拟机实例与关联到网络 SVPC 的任意端点具有不公开的内部 IP 连接(无论这些端点处于宿主项目还是服务项目中)。

可以在两个共享 VPC 网络之间建立 VPC 网络对等互连。

每个实例有多个网络接口

一个实例可以有多个网络接口,并且每个网络接口位于不同的 VPC 网络中。

下图展示了一个具体情景,从中可以看到这两项功能的相互作用。在本例中,VM1 在网络 A 和网络 B 中都有网络接口。网络 B 与另一个网络 C 对等互连。

网络对等互连场景中的多个网络接口(点击可放大)
网络对等互连场景中的多个网络接口(点击可放大)

IP3 可以将流量发送到 IP2,因为 IP2 处于网络 B 中,而在两个网络对等互连时,网络 B 路由会自动传播到网络 C。但是,要使得 IP2 将流量发送到 IP3,您需要为 IP2 接口配置政策路由

网络 C 中未安装用于 IP1 的流,因此网络 C 不能访问 IP1。

IP 别名

使用 IP 别名,子网可以具有主要和次要 IP 范围。此类子网中的虚拟机实例可以从主要范围获取一个 IP,并从次要范围获取一个或多个 IP。

利用 Cloud VPC 对等互连,对等互连网络中的虚拟机实例可以访问子网的主要和次要 IP 范围。

不同对等互连网络间的子网重叠检查可以确保主要和次要范围不与任何对等互连的范围重叠。

网络对等互连场景中的 IP 别名(点击可放大)
网络对等互连场景中的 IP 别名(点击可放大)

后续步骤

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页