中心辐射型网络架构

本文档介绍了三种在 Google Cloud中设置中心辐射型网络拓扑的架构选项。第一种方法使用 Network Connectivity Center,第二种方法使用 VPC 网络对等互连,第三种方法使用 Cloud VPN。

企业可以在结算、环境隔离等方面将工作负载分离到各个 VPC 网络。不过,企业可能还需要跨这些网络共享特定资源,例如共享服务或与本地环境的连接。在这种情况下,将共享资源放置在 hub 网络(本文档的其余部分中称为“路由”网络)中,并将其他 VPC 网络作为 spoke 网络(本文档的其余部分中称为“工作负载”网络)连接会很有用。下图显示了一个包含两个工作负载 VPC 的中心辐射型网络,但您可以添加更多工作负载 VPC。

中心辐射型网络架构。

在此示例中,单独的工作负载 VPC 网络用于大型企业中单个业务部门的工作负载。每个工作负载 VPC 网络均连接到一个中心路由 VPC 网络,其中包含共享服务,并可作为企业本地网络的唯一入口点。

选项摘要

在选择本文档中讨论的架构之一时,请考虑 Network Connectivity Center、VPC 网络对等互连和 Cloud VPN 的相对优点:

  • Network Connectivity Center 可在工作负载 VPC 之间提供全带宽连接,并在工作负载 VPC 之间提供传递性。
  • VPC 网络对等互连可在工作负载 VPC 和路由 VPC 之间提供全带宽。它不支持在工作负载 VPC 之间实现传递性。VPC 网络对等互连支持路由到其他 VPC 中的 NVA。
  • Cloud VPN 允许传递性路由,但网络之间的总带宽(入站流量加上出站流量)不得超过隧道的带宽。您可以添加其他隧道来增加带宽。

使用 Network Connectivity Center 的架构

下图展示了使用 Network Connectivity Center 的中心辐射型网络。

使用 Network Connectivity Center 的中心辐射型架构。

Network Connectivity Center 有一个用于提供控制平面管理的 hub 资源,但它不是数据平面的 hub 网络。

  • Network Connectivity Center 可以使用星形(中心辐射型)或网状拓扑将网络连接起来。使用星形拓扑可防止 VPC spoke(工作负载 VPC)之间通信,而网状拓扑则不会。
  • 路由(中心)VPC 网络使用 Cloud VPN 或 Cloud Interconnect 连接到本地网络。
  • 动态路由可以跨 VPC 网络传播。
  • Private Service Connect 路由在工作负载 VPC 之间具有传递性。
  • 专用服务访问路由可在工作负载 VPC 之间传递,方法是针对许多 Google 提供的服务使用提供方 spoke。对于路由不是传递的服务,解决方法是使用 Cloud VPN(而非 Network Connectivity Center)将使用方 VPC 网络连接到路由 VPC 网络。
  • 对等互连网络中的所有虚拟机都可以以虚拟机的全带宽进行通信。
  • 每个工作负载 VPC 和路由 VPC 网络都有一个 Cloud NAT 网关,用于与互联网进行出站通信。
  • 设置 DNS 对等互连和转发,以便从本地访问工作负载 VPC 中的工作负载。

使用 VPC 网络对等互连的架构

下图展示了使用 VPC 网络对等互连的中心辐射型网络。VPC 网络对等互连可以使用内部 VPC 地址在不同 VPC 网络中的资源之间实现通信。流量保留在 Google 的内部网络中,不会通过公共互联网。

使用 VPC 网络对等互连的中心辐射型架构

  • 此架构中的每个工作负载(辐射)VPC 网络与中央路由(中心)VPC 网络具有对等互连关系。
  • 路由 VPC 网络使用 Cloud VPN 或 Cloud Interconnect 连接到本地网络。
  • 对等互连网络中的所有虚拟机都可以以虚拟机的全带宽进行通信。
  • VPC 网络对等互连连接不具有传递性。在此架构中,本地 VPC 网络和工作负载 VPC 网络可以与路由网络交换流量,但不能彼此交换流量。如需提供共享服务,请将其放入路由网络中,或使用 Cloud VPN 将其连接到路由网络。
  • 每个工作负载 VPC 和路由 VPC 网络都有一个 Cloud NAT 网关,用于与互联网进行出站通信。
  • 设置 DNS 对等互连和转发,以便从本地访问工作负载 VPC 中的工作负载。

使用 Cloud VPN 的架构

使用 VPC 网络对等互连的中心辐射型拓扑的可扩缩性受 VPC 网络对等互连限制的约束。如前所述,VPC 网络对等互连连接不允许超出对等互连关系中两个 VPC 网络的传递流量。下图展示了一个中心辐射型网络架构,它使用 Cloud VPN 克服 VPC 网络对等互连的限制。

使用 Cloud VPN 的中心辐射型架构

  • IPsec VPN 隧道将每个工作负载 (spoke) VPC 网络连接到路由 (hub) VPC 网络。
  • 路由网络中存在 DNS 专用区域,每个工作负载网络中均存在 DNS 对等互连区域和专用区域。
  • 连接是传递性的。本地网络和 spoke VPC 网络可以通过路由网络相互访问,但这可能会受到限制。
  • 网络之间的带宽受隧道总带宽的限制。
  • 每个工作负载(辐射)VPC 和路由 VPC 网络都有一个 Cloud NAT 网关,用于与互联网进行出站通信。
  • VPC 网络对等互连不提供传递性路由通告。
  • 设置 DNS 对等互连和转发,以便从本地访问工作负载 VPC 中的工作负载。

设计替代方案

请考虑以下架构替代方案,以部署在 Google Cloud中的单独 VPC 网络中部署的资源:

使用路由 VPC 网络中的网关的辐射型连接

如需启用辐射通信,您可以在路由 VPC 网络上部署网络虚拟设备 (NVA) 或下一代防火墙 (NGFW),以充当辐射型网关通话流量。

多个共享 VPC 网络

为要在网络级别隔离的每组资源创建共享 VPC 网络。例如,如需分离用于生产和开发环境的资源,请创建用于生产的共享 VPC 网络和用于开发的其他共享 VPC 网络。然后,对等互连两个 VPC 网络以启用 VPC 之间的网络通信。每个应用或部门的各个项目中的资源可以使用适当的共享 VPC 网络中的服务。

对于 VPC 网络和本地网络之间的连接,您可以为每个 VPC 网络使用单独的 VPN 隧道,也可以在同一专用互连连接上使用单独的 VLAN 连接。

后续步骤