Network Connectivity Center 概览

Network Connectivity Center 是一个编排框架,用于在连接到名为 hub 的集中管理资源的 spoke 资源之间简化网络连接。Network Connectivity Center 支持三种类型的 spoke:

  • Virtual Private Cloud (VPC) spoke
  • 提供方 VPC spoke(预览版
  • 混合 spoke,包括:
    • 高可用性 VPN 隧道
    • Cloud Interconnect VLAN 连接
    • 路由器设备虚拟机

借助 hub 和 spoke 连接,您可以执行以下操作:

  • 将多个 VPC 网络相互连接。VPC 网络可位于同一 Google Cloud 组织或不同组织的不同项目中。
  • 将多个 VPC 网络连接到本地网络或其他云服务提供商网络。这些外部网络可通过任何类型的混合 spoke 来访问。此方法称为站点到云连接
  • 使用路由器设备虚拟机来管理 VPC 网络之间的连接。
  • 使用 Google Cloud VPC 网络作为企业广域网 (WAN) 来连接 Google Cloud 外部的网络。您可以使用任何类型的混合 spoke 在外部站点之间建立连接。此方法称为站点到站点连接

工作原理

当 hub 使用 VPC spoke 时,您可以在所有或部分 VPC 网络之间交换子网路由,从而在连接到该 hub 的这些 VPC 网络之间配置连接。

当 hub 同时使用 VPC spoke 和混合 spoke 时,所有这些 spoke 之间都支持任意对任意连接。

当 hub 使用位于单个 VPC 网络中的混合 spoke 时,您也可以配置站点到站点数据传输,以使下一个跃点是混合 spoke(例如 Cloud Interconnect VLAN 连接)的动态路由会由该 VPC 网络中其他混合 spoke 的 BGP 会话通告到本地网络。

如需详细了解 hub 和 spoke,请参阅以下部分。

Hub

Network Connectivity Center hub 是 spoke 将要连接到的全球性资源。单个 hub 可以包含来自多个区域的 spoke。不过,如果 hub 的任何 spoke 使用站点到站点数据传输功能,则与这些 spoke 关联的资源必须都位于同一 VPC 网络中。不使用站点到站点数据传输功能的 spoke 可以与项目中的任何 VPC 网络相关联。

Spoke

spoke 表示连接到 hub 的一个或多个 Google Cloud 网络资源。

创建 spoke 时,您必须将其与至少一个受支持的连接资源(也称为“支持性资源”)相关联。

spoke 可以使用以下任一 Google Cloud 资源作为其支持性资源。

VPC spoke

借助 VPC spoke,您可以将两个或更多 VPC 网络连接到 hub,以便网络交换 IPv4 子网路由。连接到单个 hub 的 VPC spoke 可以引用同一项目或不同项目(包括其他组织中的项目)中的 VPC 网络。

如需详细了解 VPC spoke,请参阅 VPC spoke 概览

VPC spoke 可在多个 VPC 网络的 IPv4 子网范围之间提供连接。

提供方 VPC spoke(预览版

如果您有一个现有的 VPC spoke,它通过 VPC 网络对等互连使用另一个项目的提供方网络中的服务,您可以通过创建提供方 VPC spoke 让 Network Connectivity Center hub 中的其他 spoke 访问该服务。

如需详细了解提供方 VPC spoke,请参阅提供方 VPC spoke

混合 spoke

混合 spoke 表示连接到 hub 的一个或多个网络连接资源。混合 spoke 类型可以是 spoke 关联的以下任一资源:

  • 路由器设备虚拟机
  • 高可用性 VPN 隧道
  • Cloud Interconnect VLAN 连接

单个混合 spoke 可以与同一类型的多个资源关联。例如,混合 spoke 可以引用两个或更多高可用性 VPN 隧道,但同一混合 spoke 不能同时引用路由器设备虚拟机或 Cloud Interconnect VLAN 连接。混合 spoke 必须与 Network Connectivity Center hub 位于同一项目中。

使用混合 spoke 进行站点到站点数据传输要求这些 spoke 位于同一 VPC 网络中。如需了解详情,请参阅站点到站点数据传输概览

路由器设备 spoke

与路由器设备虚拟机实例关联的 spoke 支持以下用例:

  • IPv4 站点到云连接:在外部站点与 VPC 网络资源之间建立连接。
  • IPv4 站点到站点数据传输:将 Google 的网络用作包含您的外部站点的广域网 (WAN) 的一部分,以便在所有站点之间传输数据。
  • VPC 网络之间的 IPv4 连接:使用第三方网络虚拟设备在 VPC 网络之间建立连接。

连接到同一 hub 的所有站点到站点 spoke 必须在同一 VPC 网络中拥有其所有支持性资源。

高可用性 VPN 隧道 spoke

与 Cloud VPN(高可用性 VPN)隧道关联的 spoke 支持以下用例:

  • IPv4 站点到云连接:在外部站点与 VPC 网络资源之间建立连接。
  • IPv4 站点到站点数据传输:将 Google 的网络用作包含您的外部站点的广域网 (WAN) 的一部分,以便在所有站点之间传输数据。

从单个 spoke 关联到的所有设备,以及所有 Cloud VPN 隧道、VLAN 附加信息都必须位于同一 VPC 网络中。

Cloud Interconnect VLAN 连接 spoke

与 Cloud Interconnect VLAN 连接关联的 spoke 支持以下用例:

  • IPv4 站点到云连接:从单个 spoke 关联到的所有设备必须位于同一 VPC 网络中。
  • IPv4 站点到站点数据传输:所有 Cloud VPN 隧道、VLAN 附加网络或两者都必须位于同一 VPC 网络中。

使用 VPC 连接进行路由交换

Network Connectivity Center VPC spoke 支持交换使用专用地址的子网 IPv4 地址范围,不包括以非公开方式使用的公共 IPv4 地址。动态路由(即混合 spoke 通过 BGP 获知的路由)也可以与 VPC spoke 或其他混合 spoke 交换。spoke VPC 网络中的静态路由无法与 hub 中的其他 VPC spoke 交换。

为混合 spoke 导入 hub 子网

您可以通过启用为混合 spoke 导入 hub 子网功能,让 VPC spoke IP 子网范围通过 BGP 自动通告到本地网络和其他云服务提供商网络。启用后,任何创建的新 VPC 子网或删除的 VPC 子网,且位于 hub 路由表中,都会自动由混合 spoke 导入,并通过 BGP 通告给其远程对等子网。

如需将 VPC spoke 子网 IP 地址范围自动通告给混合 spoke,请在创建 spoke 时将 --include-import-ranges 标志与 ALL_IPV4_RANGES 字段搭配使用。默认情况下,--include-import-ranges 字段为空,这意味着在指定 ALL_IPV4_RANGES 之前,系统不会将任何 hub 子网导入到新或现有的混合 spoke。

如需详细了解如何创建混合 spoke,请参阅使用 spoke

自定义路由通告

借助 Cloud Router 中的自定义路由通告,您可以手动控制混合 spoke 通告的前缀。如果您不需要自动通告 VPC spoke 子网,则可以为所有 BGP 会话指定自定义通告路由(包括默认路由、IPv4 路由的 0.0.0.0/0 或 IPv6 路由的 ::/0)。默认情况下,系统不会通告其他 VPC spoke 子网,这意味着本地位置不会自动了解到这些 IP 地址范围的可达性。

导入 hub 子网的注意事项

使用导入 hub 子网功能时,请注意以下事项。

  • 如果混合 spoke 在 --include-import-ranges 字段中指定了 ALL_IPV4_RANGES,则默认情况下,hub 路由表中的所有 VPC spoke 子网都会通告到混合 spoke。
  • 路由优先级依次为着陆 VPC 网络子网、hub 子网和 Cloud Router 自定义路由。
  • Network Connectivity Center 可防止路由 VPC 子网与其他 VPC spoke 的 hub 子网重叠。
  • 如果 Cloud Router 自定义路由与着陆 VPC 子网或 Hub 子网完全相同或重叠,则会忽略该 Cloud Router 的自定义路由。
  • hub 子网的 BGP 属性与混合 spoke 的着陆 VPC 子网相同。
  • BGP 会话上的 Cloud Router 政策也会应用于 Network Connectivity Center 导入的 Hub 子网。
  • 如果混合 spoke 的路由 VPC 网络将动态路由模式设置为 regional,则仅会通告与混合 hub 位于同一区域的 hub 子网。

应用场景示例

以下部分介绍 Network Connectivity Center 的主要使用场景。

使用 Network Connectivity Center 连接不同的 VPC 网络

当您将两个或更多 VPC spoke 连接到 hub 时,Network Connectivity Center 会在 spoke 代表的所有 VPC 网络之间提供 IPv4 子网连接。 使用 hub 可简化大规模网格子网连接的管理。如需了解可连接到 hub 的 VPC 网络的数量,请参阅配额

下图显示了两个 VPC spoke。

将 spoke 连接到 VPC 网络。
将 spoke 连接到 VPC 网络(点击可放大)。

VPC spoke 的本地连接

VPC spoke 可以使用位于其他(路由)VPC 网络中的混合 spoke 连接到本地网络。每个 Network Connectivity Center hub 都支持多个 VPC spoke 以及作为混合 spoke 添加的 Cloud Interconnect VLAN 连接、高可用性 VPN 隧道或路由器设备虚拟机。下图显示了在同一个 Network Connectivity Center hub 中同时具有 VPC spoke 和混合 spoke 的示例 hub。

与 VPC spoke 进行动态路由交换。
与 VPC spoke 进行动态路由交换(点击可放大)。

使用路由器设备虚拟机连接网络

Network Connectivity Center 可在以下两个 IPv4 连接场景中使用路由器设备虚拟机:

  • 使用动态路由将 VPC 网络连接到本地网络或其他云服务提供商网络
  • 使用动态路由将两个 VPC 网络相互连接

使用此选项时,Cloud Router 会管理路由器设备虚拟机的 BGP 会话。

将外部网络连接到 Google Cloud

下图使用具有路由器设备虚拟机的混合 spoke 将两个 VPC 网络连接到外部网络。Cloud Router 路由器虚拟机在每个 VPC 网络中都有一个网络接口 (NIC)。

将外部网络连接到 Google Cloud。
将外部网络连接到 Google Cloud(点击可放大)。

如需详细了解此用例,请参阅使用第三方设备的站点到云拓扑

管理 VPC 网络之间的连接

下图使用具有路由器设备虚拟机(运行专用防火墙或数据包检测软件)的混合 spoke 连接两个 VPC 网络。

使用第三方防火墙。
使用第三方防火墙(点击可放大)。

如需了解详情,请参阅使用第三方设备的 VPC 到 VPC 拓扑

通过 Google 网络进行数据传输(站点到站点)

数据传输使用 Google Cloud VPC 网络和混合 spoke 在外部网络之间提供 IPv4 连接。您可以在多个本地网络之间传输数据,也可以将数据传输到其他云网络。

创建混合 spoke 时,您可以为该 spoke 启用数据传输选项。为连接到同一 hub 的混合 spoke 启用数据传输后,每个路由器设备虚拟机、Cloud VPN 隧道或 Cloud Interconnect VLAN 连接获知的动态路由会重新通告到与连接到同一 hub 的任何混合 spoke 关联的其他虚拟机、隧道或 VLAN 连接。数据传输要求所有混合 spoke 都引用单个 VPC 网络中的路由器设备虚拟机、Cloud VPN 隧道或 Cloud Interconnect VLAN 连接。

例如,假设您的数据中心分别位于纽约、悉尼和东京。在使用受支持的资源将 VPC 网络连接到上述每个站点后,您便可以创建 spoke 来表示每个网络。完成此设置后,Network Connectivity Center 将在所有三个站点之间提供全网状连接。

如下图所示,您所创建的 spoke 可以依赖于诸如 Cloud VPN、Cloud Interconnect 和路由器设备等各种连接资源。

该图未显示 Cross-Cloud Interconnect,但您也可以使用 Cross-Cloud Interconnect VLAN 连接。

通过 Google 网络进行数据传输。
通过 Google 网络进行数据传输(点击可放大)。

如需详细了解此使用场景,请参阅站点到站点数据传输概览

Network Connectivity Center 注意事项

在设置 Network Connectivity Center 之前,请查看以下部分。

IP 寻址

Network Connectivity Center 支持 IPv4 寻址,不支持 IPv6。例如:

  • 如果一个 spoke 启用了站点到站点数据传输,则与该 spoke 关联的资源支持 IPv4 流量。这些 spoke 无法交换 IPv6 流量。这适用于所有 spoke 类型:路由器设备、VLAN 连接和 VPN spoke。

  • 站点到云路由器设备 spoke 支持 IPv4 流量,不支持 IPv6 流量。

  • 创建路由器设备虚拟机时,该虚拟机的主要内部 IPv4 地址必须是 RFC 1918 地址。

  • 如果 VPC spoke 同时包含 IPv4 和 IPv6 子网,则只有 IPv4 子网会在它们之间交换。

路由

由 Network Connectivity Center 混合 spoke 安装的路由被视为动态路由。

如需了解与其他类型的路由相比动态路由的处理方式,请参阅 VPC 文档中的适用范围和顺序

资源 适用的使用场景
确定优先级 所有混合 spoke 资源都使用 Cloud Router 路由器。如需详细了解 Cloud Router 使用的路径选择模型,请参阅 Cloud Router 概览中的 AS 路径前置和 AS 路径长度
ASN 向 Cloud Router 路由器通告前缀时,与单个 spoke 关联的所有非 Google 对等互连路由器都必须使用相同的 ASN。这一点很重要,因为如果两个对等体使用不同的 ASN 或 AS 路径通告相同的前缀,则系统仅会针对该前缀重新通告一个对等体的 ASN 和 AS 路径。 不同的 spoke 必须具有不同的 ASN。也就是说,如果两个 BGP 会话属于不同的 spoke,它们必须具有不同的 ASN。 此外,如果您使用数据传输功能,则必须按照站点到站点数据传输的 ASN 要求中所述分配 ASN。
BGP 会话 不支持 BGP 社区。

使用站点到站点数据传输时的路由通告更改

当您将 Cloud Interconnect VLAN 连接或 Cloud VPN 隧道添加到混合 spoke 时,Network Connectivity Center 会更新该 VLAN 连接或 Cloud VPN 隧道的相应 BGP 会话,以便重新通告连接到启用了站点到站点数据传输选项的任何 hub 混合 spoke 的其他 Cloud Interconnect VLAN 连接或 Cloud VPN 隧道的 BGP 会话获知的前缀。

针对其他产品的支持

以下部分介绍了 Network Connectivity Center 如何与其他网络产品和功能结合使用。

VPC spoke 和 VPC 网络对等互连

Network Connectivity Center VPC spoke 仅支持交换使用专用地址的有效子网 IPv4 地址范围,不包括以非公开方式使用的公共 IPv4 地址,不包括 IPv6 子网范围,并且不包括静态和动态路由:

  • 如需详细了解 Network Connectivity Center VPC spoke,请参阅 VPC spoke 概览

  • 如需详细了解如何使用 VPC 网络对等互连交换路由,请参阅 VPC 网络对等互连文档中的路由交换选项

尽管 Network Connectivity Center VPC spoke 不支持交换静态或动态路由,但 spoke VPC 网络仍可以使用 VPC 网络对等互连从其他 VPC 网络导入静态和动态路由。如果其他 VPC 网络的动态路由具有连接到本地网络的下一个跃点 Cloud Interconnect VLAN 连接或 Cloud VPN 隧道,您可以使用 Cloud Router 路由器自定义路由通告VPC 网络对等互连路由交换选项将 spoke VPC 网络连接到本地网络,如 VPC 网络对等互连文档的中转网络示例所述。

共享 VPC 网络

使用共享 VPC 网络时,您必须在宿主项目中创建该 hub。 此限制仅适用于混合 spoke。

我们建议将 networkconnectivity.googleapis.com/spokeAdmin 角色分配给服务项目的管理员。如需详细了解此角色和其他 Network Connectivity Center 角色,请参阅角色和权限

旧版网络

spoke 资源不能用于旧版网络

VPN 隧道

不支持传统 VPN 隧道。

数据转移

如果您使用数据传输,请查看站点到站点数据传输概览中的注意事项部分。

服务等级协议

如需了解 Network Connectivity Center 服务等级协议,请参阅 Network Connectivity Center 服务等级协议 (SLA)

价格

如需了解价格,请参阅 Network Connectivity Center 价格

后续步骤