路徑順序

這個頁面說明如何在虛擬私人雲端網路與舊版網路中解譯 Cloud VPN 通道的路徑。如需 GCP 路徑的重要背景資訊,請參閱路徑總覽一文。此說明文件假設您瞭解路徑的適用範圍與順序

VPN 路徑

VPN 路徑定義離開 GCP 網路的流量「輸出」路徑:

  • 使用動態轉送的 Cloud VPN 通道路徑由 Cloud Router 代管。這些路徑無法手動編輯或移除。目的地為內部部署或對等互連網路的路徑由通道相關 Cloud Router 自動建立及移除,執行時會根據對等互連 VPN 閘道的 BGP 公告處理。動態路徑的下一個躍點是內部部署對等裝置的 BGP IP 位址。

  • 如果您使用 GCP 主控台建立採用依據政策的轉送依據路徑的 VPN 的通道,GCP 會為遠端流量選取器中的每個 IP 範圍建立具有相符目的地的靜態路徑。如果您使用 gcloud 指令建立通道,必須手動建立對應的靜態路徑。VPN 靜態路徑的下一個躍點是適當的 Cloud VPN 通道。

轉送範例

GCP 會按照特定程序為封包選取下一個躍點。以下範例說明 VPN 路徑如何與子網路路徑搭配使用。如要進一步瞭解 GCP 選取特定路徑的方式,請參閱 VPC 說明文件中的轉送順序一節。

每個範例中的 10.2.0.0/16 代表內部部署網路 IP 位址範圍:

  • GCP 子網路具有相同的 IP 範圍:如果 GCP 網路包含的子網路採用 10.2.0.0/16 範圍,當遠端流量選取器包含 10.2.0.0/16 時,GCP 會防止您建立的 Cloud VPN 使用依據政策的轉送或依據路徑的 VPN。如果 Cloud VPN 通道使用動態轉送,相關聯的 Cloud Router 會忽略目的地為 10.2.0.0/16 的任何公告路徑。目的地為 10.2.0.0/16 的流量會保留在 GCP 中。

  • GCP 子網路擁有較廣的 IP 範圍:如果 GCP 網路包含的子網路採用涵蓋性廣的 IP 範圍 (例如 10.0.0.0/8),當遠端流量選取器包含 10.0.0.0/8 或較為明確的範圍時,GCP 會防止您建立的 Cloud VPN 通道使用依據政策的轉送或依據路徑的 VPN。如果 Cloud VPN 通道使用動態轉送,相關聯的 Cloud Router 會忽略目的地適合 10.0.0.0/8 (包含較為明確範圍) 的任何公告路徑。目的地為 10.0.0.0/8 的所有流量都會保留在 GCP 中。

  • GCP 子網路具有較窄的 IP 範圍:如果 GCP 網路包含的子網路採用涵蓋性窄且具有包含性的 IP 範圍 (例如 10.2.99.0/24),您可以使用任何轉送選項,建立較廣 10.2.0.0/16 範圍的 Cloud VPN 通道:目的地為 10.2.99.0/24 的流量仍會轉送至 GCP 子網路。目的地為 10.2.0.0/16「但位於 10.2.99.0/24 之外」(如 10.2.100.8) 的流量會透過 VPN 通道轉送。

具有其他 VPN 路徑

如果找不到具有子網路路徑的任何目的地,GCP 會使用下列方式解析 VPN 通道的路徑:

  • 如果通道未開啟,系統會忽略使用 Cloud VPN 通道做為下一個躍點的路徑。

  • GCP 會將封包傳送至目的地明確度最高的路徑的下一個躍點。

  • 如果多個路徑具有明確度最高的相同目的地,系統會使用路徑的優先順序:

    • 如果優先順序最高的單一路徑可供使用,封包會傳送到該路徑的下一個躍點。

      • 如果多個路徑的最高優先順序相同,封包會使用 ECMP 傳送至「任何」路徑的下一個躍點。這表示會將流量分散到多個下一個躍點之間,使其在適用的可用 Cloud VPN 通道之間達到平衡。這個平衡方法以雜湊為基礎,因此只要開啟通道,來自相同資料流的所有封包就會使用相同的通道。

通道關閉時

Cloud VPN 通道無法使用時,GCP 會以下列方式解譯其關聯路徑:

  • 如果 Cloud VPN 通道使用動態轉送,其關聯 Cloud Router 會在通道關閉時自動移除已知路徑。已知路徑含有對應內部部署或對等互連 VPN 閘道之 BGP IP 的下一個躍點,只要與子網路路徑沒有衝突,就可以在通道恢復運作時重新加入。根據您的網路,相關聯的 Cloud Router 可能需要最多 40 秒的處理時間來移除這些已知路徑。

  • 採用依據政策的轉送或依據路徑的 VPN 的通道都會有對應的靜態路徑。GCP 會忽略下一個躍點指向關閉之 Cloud VPN 通道的靜態路徑。

如果第二個 Cloud VPN 通道為相同目的地提供替代路徑,您仍可預期每當有一個 Cloud VPN 通道關閉時,就會發生封包遺失情形。傳輸中的封包可能會遭到捨棄,且動態路徑只會在關聯的 Cloud Router 完成處理之後移除。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud VPN