虛擬私人雲端網路對等互連

Google Cloud Platform (GCP) 虛擬私人雲端 (VPC) 網路對等互連允許跨兩個 VPC 網路的私人 RFC 1918 連線,無論這些網路是否屬於同一個專案或組織都一樣。

總覽

虛擬私人雲端網路對等互連可讓您在 GCP 中建構軟體式服務 (SaaS) 生態系統,在機構內和機構之間的不同虛擬私人雲端網路中私下提供各項服務,進而透過私人 RFC 1918 空間協調處理工作負載。

VPC 網路對等互連適合下列機構:

  • 具有數個網路管理網域的機構。
  • 要與其他機構建立對等互連的機構。

如果貴機構擁有多個網路管理網域,VPC 網路對等互連可讓您跨 VPC 網路,以私人 RFC 1918 空間來提供各項服務。如果您向其他機構提供各項服務,VPC 網路對等互連可讓您以私人 RFC 1918 空間,為那些機構提供服務。如果您要向其他企業提供服務,則跨機構提供服務的能力將會非常實用;如果因為您本身的架構,或因為合併或收購使您擁有數個不同的機構節點,則這種能力十分適用於您的企業。

虛擬私人雲端網路對等互連在連接網路方面,比起使用外部 IP 位址或 VPN,可以提供您許多優勢,其中包含:

  • 網路延遲:公開 IP 網路的延遲高於私人網路。
  • 網路安全性:服務擁有者不需要讓他們的服務暴露在公開的網際網路中,也不需要處理相關的風險。
  • 網路費用:即使流量是在同一區域內,GCP 也會針對使用外部 IP 進行通訊的網路收取輸出頻寬費用。但是,如果這些網路的連線採用對等互連,就能使用內部 IP 進行通訊,並節省輸出的費用。 一般網路定價仍然適用於所有流量。

主要屬性

對等虛擬私人雲端網路具備下列主要屬性:

  • 虛擬私人雲端網路對等互連支援 Compute EngineGKEApp Engine 彈性環境
  • 對等虛擬私人雲端網路在管理方面保持各自獨立。在每個虛擬私人雲端網路中,路徑、防火牆、VPN 和其他流量管理工具均為個別管理與套用。
  • 對等互連關聯的每一側均是獨立設定。只有在兩側的設定互相符合時,對等互連才會生效。任一側皆可隨時選擇刪除對等互連關聯。
  • 在建立某個虛擬私人雲端網路之前,您也能先為另一個虛擬私人雲端網路設定對等互連。
  • 特定虛擬私人雲端網路可以與多個虛擬私人雲端網路對等互連,但是有所限制
  • 在兩個對等虛擬私人雲端網路之間,各自的子網路 CIDR 前置字串不能互相重疊。這代表兩個僅具有預設子網路的自動模式虛擬私人雲端網路將無法進行對等互連。GCP 會在下列狀況檢查是否發生重疊:
    • 首次與虛擬私人雲端網路對等互連時
    • 在對等虛擬私人雲端網路中建立新的子網路時
  • 某一對等虛擬私人雲端網路內的子網路 CIDR 範圍不能和另一個對等網路內的路徑重疊。這項規則涵蓋子網路路徑和自訂路徑。GCP 在下列狀況下會檢查是否重疊,並且會在發生重疊情況時產生錯誤訊息。
    • 首次與虛擬私人雲端網路對等互連時
    • 在對等 VPC 網路中建立靜態路徑時
    • 在對等虛擬私人雲端網路中建立新的子網路時
  • 只有虛擬私人雲端網路支援虛擬私人雲端網路對等互連,舊版網路並不支援對等互連。
  • 身分與存取權管理權限:建立及刪除虛擬私人雲端網路對等互連等作業需要新的身分與存取權管理權限,而專案擁有者/編輯者和網路管理員角色具有這些權限。
  • 網路之間建立對等互連的連線後,每個內部私人 IP 均可透過對等網路存取。虛擬私人雲端網路對等互連並沒有提供精細的路徑控制功能,無法讓您篩選出哪些子網路 CIDR 可透過對等網路來連線。如需這類篩選功能,您必須使用防火牆規則來篩選流量。下列類型的端點/資源可透過直接對等網路來連線:
    • 所有子網路內的虛擬機器 (VM) 內部 IP
    • 所有子網路內達到內部負載平衡的 IP
  • 下列類型的端點/資源不會推送至直接對等網路:
    • 靜態路徑
    • VPN
  • 只有直接對等網路可以進行通訊,遞移性的對等互連則未受到支援。換句話說,如果虛擬私人雲端網路 N1 與 N2 和 N3 具有對等互連的連線,但是 N2 和 N3 並未直接連線,則虛擬私人雲端網路 N2 無法透過對等互連和虛擬私人雲端網路 N3 進行通訊。
  • 對等互連流量 (對等互連網路之間的流量) 的延遲時間、總處理量和可用性與相同網路內的私人流量相同。
  • 對等互連流量的計費政策與相同網路內私人流量的計費政策並沒有不同。

虛擬私人雲端網路對等互連情境中的網路功能

內部 TCP/UDP 負載平衡

在符合下列條件的情況下,對等互連網路中的 VM 執行個體可存取虛擬私人雲端網路中內部 TCP/UDP 負載平衡器的內部 IP 位址:

  • VM 與內部 TCP/UDP 負載平衡器位在相同地區。
  • 套用至負載平衡器後端 VM 的輸入防火牆規則允許來自對等互連網路中來源的流量。這類輸入防火牆規則必須在負載平衡器所屬虛擬私人雲端網路中建立。

詳情請參閱使用虛擬私人雲端網路對等互連一文。

防火牆規則

使用虛擬私人雲端網路對等互連功能連接不同網路時,網路之間不會交換防火牆規則。如要允許來自對等互連網路中 VM 執行個體的流量,您必須建立允許輸入的防火牆規則。根據預設,默示拒絕輸入規則會封鎖輸入 VM 的流量。

如要限制 VM 存取權,只開放您虛擬私人雲端網路中的其他 VM 存取,請確認允許輸入防火牆規則的來源僅限您虛擬私人雲端網路中的 VM,而不包含對等互連網路中的 VM。舉例來說,您可以僅指定您虛擬私人雲端網路中子網路的來源 IP 範圍。

如要限制內部 TCP/UDP 負載平衡器的存取權,請建立會套用到負載平衡器後端 VM 的輸入防火牆規則。

共用虛擬私人雲端

VPC 網路對等互連允許與共用 VPC 建立對等互連。共用 VPC 託管專案可允許其他專案使用此專案的其中一個網路。下列圖表顯示這項設定。

共用 VPC 與網路對等互連 (按一下可放大)
共用 VPC 與網路對等互連 (按一下可放大)

網路 SVPC 是託管專案 P1 中的共用 VPC 網路。服務專案 P3 和 P4 可將 VM 執行個體連結到網路 SVPC,且網路 SVPC 與網路 A 具有對等互連的連線。結果:

  • 共用虛擬私人雲端服務專案中正在使用網路 SVPC 的 VM 執行個體 (VM3 和 VM4),和任何與網路 A 相關聯的端點之間具有私人的內部 IP 連線。
  • 在與網路 A 相關聯的 VM 執行個體以及與網路 SVPC 相關聯的任何端點之間,會有私人的內部 IP 連線,無論這些端點在主專案還是服務專案中皆然。

您能夠在兩個共用虛擬私人雲端網路之間,設定虛擬私人雲端網路對等互連。

每一執行個體的多個網路介面

執行個體可擁有多個網路介面,每個介面皆位於不同的 VPC 網路中。

下列圖表顯示的內容可讓我們能看到兩項功能之間的交互作用。在本情況下,VM1 在網路 A 和網路 B 中都具有一個網路介面,且網路 B 與另一個網路 C 之間具有對等互連的連線。

多個網路介面與網路對等互連 (按一下可放大)
多個網路介面與網路對等互連 (按一下可放大)

IP3 能傳送流量到 IP2,因為 IP2 位於網路 B 中,而且當兩個網路對等時,網路 B 路徑會自動推送至網路 C。然而,如果 IP2 要傳送流量到 IP3,則需要針對 IP2 介面設定政策路徑

IP1 的流程沒有安裝在網路 C 中,因此網路 C 無法存取 IP1。

IP 別名

透過 IP 別名,子網路可具有主要和次要 IP 範圍。在這類子網路中的 VM 執行個體能從主要範圍取得一個 IP,以及從次要範圍取得一個以上的 IP。

透過雲端 VPC 對等互連,對等網路中的 VM 執行個體能連接子網路的主要和次要 IP 範圍。

跨對等網路的子網路重疊檢查能夠確保主要和次要範圍不會與任何對等範圍重疊。

IP 別名與網路對等互連 (按一下可放大)
IP 別名與網路對等互連 (按一下可放大)

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
虛擬私人雲端