軸輻式網路架構

本文將介紹三種架構選項，說明如何在 Google Cloud中設定中樞輻射型網路拓撲。第一個選項使用 Network Connectivity Center，第二個選項使用 VPC 網路對等互連，第三個選項使用 Cloud VPN。

企業可將工作負載劃分為個別的虛擬私有雲網路，以利計費、環境隔離和其他考量。不過，企業可能也需要在這些網路之間共用特定資源，例如共用服務或與內部部署環境的連線。在這種情況下，將共用資源放在中樞網路 (本文其餘部分稱為「轉送」網路)，並將其他虛擬私有雲網路附加為輪輻網路 (本文其餘部分稱為「工作負載」網路)，會很有幫助。下圖顯示軸輻式網路，其中包含兩個工作負載虛擬私有雲，但您可以新增更多工作負載虛擬私有雲。

在這個範例中，大型企業內各個業務單位的負載會使用不同的負載虛擬私有雲網路。每個工作負載虛擬私有雲網路都會連線至中央轉送虛擬私有雲網路，其中包含共用服務，並可做為企業內部部署網路連線至雲端的唯一進入點。

選項摘要

選擇本文討論的其中一種架構時，請考量 Network Connectivity Center、虛擬私有雲網路對等互連和 Cloud VPN 的相對優點：

• Network Connectivity Center 可在工作負載 VPC 之間提供完整頻寬，並在工作負載 VPC 之間提供遞移性。
• 虛擬私有雲網路對等互連可提供工作負載虛擬私有雲和路由虛擬私有雲之間的完整頻寬。無法在工作負載 VPC 之間提供遞移性。 虛擬私有雲網路對等互連支援將流量路由至其他虛擬私有雲中的 NVA。
• Cloud VPN 允許遞移性轉送，但網路之間的總頻寬 (輸入加輸出) 會受限於通道頻寬。您可以新增更多通道來增加頻寬。

使用 Network Connectivity Center 的架構

下圖顯示使用 Network Connectivity Center 的輪輻式網路。

Network Connectivity Center 具有中樞資源，可提供控制層管理功能，但並非資料層的中樞網路。

• Network Connectivity Center 可透過星狀 (中樞和輪輻) 或網狀拓撲將網路連線在一起。星狀拓撲會禁止虛擬私有雲輪輻 (工作負載虛擬私有雲) 之間的通訊，網格拓撲則不會。
• 轉送 (中樞) 虛擬私有雲網路使用 Cloud VPN 或 Cloud Interconnect 連線，連線至內部部署環境。
• 動態路徑可跨虛擬私有雲網路傳播。
• Private Service Connect 路由會在工作負載 VPC 之間遞移。
• 透過許多 Google 提供的服務的生產者支點，工作負載虛擬私有雲之間的私人服務存取權路徑是可轉移的。如果服務的路徑不具遞移性，可以改用 Cloud VPN 將消費者虛擬私有雲網路連線至轉送虛擬私有雲網路，而非使用 Network Connectivity Center。
• 對等互連網路中的所有 VM 都能以 VM 的完整頻寬進行通訊。
• 每個工作負載虛擬私有雲和轉送虛擬私有雲網路都有 Cloud NAT 閘道，可與網際網路進行輸出通訊。
• 設定 DNS 對等互連和轉送，讓地端部署環境可連線至工作負載虛擬私有雲中的工作負載。

使用虛擬私有雲網路對等互連的架構

下圖顯示使用 VPC 網路對等互連的中心輻射型網路。VPC 網路對等互連功能可讓不同 VPC 網路中的資源，透過內部 IP 位址進行通訊。流量會留在 Google 的內部網路，而且不會周遊公開網際網路。

• 在這個架構中，每個工作負載 (輪輻) 虛擬私有雲網路都與中央轉送 (中樞) 虛擬私有雲網路有對等互連關係。
• 轉送虛擬私有雲網路使用 Cloud VPN 或 Cloud Interconnect 連線，連線至內部部署環境。
• 對等互連網路中的所有 VM 都能以 VM 的完整頻寬進行通訊。
• 虛擬私有雲網路對等互連連線不具遞移性。在這個架構中，內部部署和工作負載 VPC 網路可以與轉送網路交換流量，但彼此之間無法交換流量。如要提供共用服務，請將服務放在轉送網路中，或使用 Cloud VPN 將服務連線至轉送網路。
• 每個工作負載虛擬私有雲和轉送虛擬私有雲網路都有 Cloud NAT 閘道，可與網際網路進行輸出通訊。
• 設定 DNS 對等互連和轉送，讓地端部署環境可連線至工作負載虛擬私有雲中的工作負載。

使用 Cloud VPN 的架構

使用 VPC 網路對等互連的軸輻式拓撲可擴充性，取決於 VPC 網路對等互連限制。如先前所述，虛擬私有雲網路對等互連連線不允許傳輸流量，只能在對等互連關係中的兩個虛擬私有雲網路之間傳輸。下圖顯示替代的軸輻式網路架構，該架構使用 Cloud VPN 克服虛擬私有雲網路對等互連的限制。

• IPsec VPN 通道會將每個工作負載 (輪輻) 虛擬私有雲網路連線至轉送 (中樞) 虛擬私有雲網路。
• 轉送網路中的 DNS 私人區域，以及每個工作負載網路中的 DNS 對等互連區域和私人區域。
• 連線是可遞移的。地端部署和輪輻虛擬私有雲網路可透過路由網路彼此連線，但這項功能可能會受到限制。
• 網路之間的頻寬受通道總頻寬限制。
• 每個工作負載 (輪輻) VPC 和轉送 VPC 網路都有 Cloud NAT 閘道，可與網際網路進行輸出通訊。
• 虛擬私有雲網路對等互連不提供遞移路徑公告。
• 設定 DNS 對等互連和轉送，讓地端部署環境可連線至工作負載虛擬私有雲中的工作負載。

設計替代方案

如要互連在 Google Cloud中不同虛擬私有雲網路中部署的資源，請考慮下列架構替代方案：

使用轉送虛擬私有雲網路中的閘道，在輻射網路之間建立連線

如要啟用輪輻間通訊，您可以在路由虛擬私有雲網路中部署網路虛擬設備 (NVA) 或新一代防火牆 (NGFW)，做為輪輻間流量的閘道。

多個共用虛擬私有雲網路

為要在網路層級隔離的每組資源建立共用虛擬私有雲網路。舉例來說，如要區隔用於正式和開發環境的資源，請為正式環境建立共用虛擬私有雲網路，並為開發環境建立另一個共用虛擬私有雲網路。接著對等互連這兩個虛擬私有雲網路，啟用虛擬私有雲網路間的通訊。每個應用程式或部門的個別專案中的資源，都可以使用適當共用虛擬私有雲網路的服務。

如要連線虛擬私有雲網路和內部部署網路，您可以為每個虛擬私有雲網路使用個別的 VPN 通道，或在同一個專屬互連網路連線上使用個別的 VLAN 連結。

後續步驟

• 部署中樞輻射型網路 terraform。
• 如要瞭解如何將軸輻式拓撲連線至地端部署和其他雲端，請參閱 Cross-Cloud Network 設計指南。
• 進一步瞭解連結多個虛擬私有雲網路的設計選項。
• 瞭解如何運用最佳做法，建構安全且具備彈性的雲端拓撲，同時兼顧成本效益和效能。