本文件涵蓋有關 Cloud Interconnect 功能與架構的常見問題,這些問題可分為下列幾個主要部分:
- Cloud Interconnect 的流量
- Cloud Interconnect 架構
- VLAN 連結
- MPLS
- 管理 Cloud Interconnect 連線
- Cloud Interconnect 邊緣可用區
Cloud Interconnect 的流量
本節說明 Cloud Interconnect 的流量類型、頻寬和加密方式等相關常見問題。
Cloud Interconnect 會傳輸哪一種封包?
Cloud Interconnect 連線會在酬載中傳輸帶有 IPv4 封包的 802.1q 乙太網路影格。這些影格也稱做經 VLAN 標記的乙太網路影格。
建立 VLAN 連結時,802.1q 標頭的 12 位元 VLAN ID (VID) 欄位值和 Google Cloud 指派的 VLAN ID 值相同。如需詳細資訊,請參閱下列文件:
如何加密 Cloud Interconnect 上的流量?
視使用 Cloud Interconnect 存取的服務而定,您可能不必採取任何特別行動,流量就會經過加密。舉例來說,如果您存取可透過 Cloud Interconnect 連上的 Google Cloud API,則該流量已使用 TLS 進行加密,系統採用的加密方法與透過公開網際網路存取 API 的方法一樣。
您也可以針對您建立的服務使用 TLS 解決方案,例如您在 Compute Engine 執行個體上提供的服務,或是在支援 HTTPS 通訊協定的 Google Kubernetes Engine Pod 上提供的服務。
如果您只需要在內部部署路由器和 Google 的邊緣路由器之間加密,建議使用 Cloud Interconnect 適用的 MACsec。
如需在 IP 層進行加密,建議您部署採用 Cloud Interconnect 的高可用性 VPN。
如果因為某些原因無法透過 Cloud Interconnect 部署高可用性 VPN,您可以在虛擬私有雲 (VPC) 網路中建立一或多個自行管理 (非Google Cloud) 的 VPN 閘道,並為每個閘道指派私人 IP 位址。舉例來說,您可以在 Compute Engine 執行個體上執行 strongSwan VPN。接著從內部部署環境透過 Cloud Interconnect 將 IPsec 通道與 VPN 閘道連接。
詳情請參閱傳輸加密。
是否可以透過專屬互連網路建立 100 Gbps 連線?
是,您可以根據自己的需求調整與 Google 的連線規模。
單一 Cloud Interconnect 連線包含一或多個迴路,這些迴路是以乙太網路通訊埠通道連結 (LAG) 群組的形式部署。
連線中的所有電路必須具有相同容量。如要進一步瞭解連線容量,請參閱下列文章:
專屬互連網路支援的 VLAN 連結容量介於 50 Mbps 到 400 Gbps 之間,合作夥伴互連網路支援的 VLAN 連結容量介於 50 Mbps 到 50 Gbps 之間。雖然合作夥伴互連網路支援的最大連結大小為 50 Gbps,但視所選位置的服務供應商提供哪些大小而定,並非所有大小都適用。
您可以訂購多個連線,並藉由 Cloud Router 的邊界閘道通訊協定 (BGP) 轉送功能,以啟用/啟用的方式來使用連線。
如需容量、配額和限制的詳細清單,請參閱 Cloud Interconnect 的定價和配額與限制。是否可以透過 Cloud Interconnect 使用 IPv6 連線至我的執行個體?
專屬互連網路支援透過 IPv4 和 IPv6 (雙重堆疊) VLAN 連結,與內部部署網路建立 IPv6 連線。
如要在雙重堆疊 VLAN 連結中啟用 IPv6 路由交換功能,請設定 IPv6 BGP 工作階段,或在 IPv4 BGP 工作階段中啟用 IPv6 路由交換功能。如要瞭解如何建立雙堆疊 VLAN 連結,請參閱「建立 VLAN 連結」。
如要瞭解如何透過 IPv4 BGP 工作階段啟用 IPv6 路徑交換功能,請參閱「為 IPv4 或 IPv6 BGP 工作階段設定多通訊協定 BGP」。
是否可以指定 BGP 對等互連 IP 位址?
- 如果是合作夥伴互連網路,則無法指定。對等互連 IP 位址是由 Google 選擇。
- 如果是專屬互連網路,您可以在建立 VLAN 連結時指定候選 IPv4 位址範圍 (CIDR 區塊),讓 Google 從中選取位址。這個 CIDR 區塊必須屬於 IPv4 連結本機位址範圍
169.254.0.0/16。您無法指定候選 IPv6 位址範圍。Google 會從 Google 擁有的全域單點傳播位址 (GUA) 範圍2600:2d00:0:1::/64中,為您選擇一個範圍。
是否可以從內部部署環境透過 Cloud Interconnect 連線至 Google API?有哪些服務或 API 可以使用?
可用的選項如下:
是否可以將 Cloud Interconnect 做為私人通道,以透過瀏覽器存取所有 Google Workspace 服務?
您無法透過 Cloud Interconnect 來存取 Google Workspace 應用程式。
為什麼我的 BGP 工作階段每隔一段時間就會重開?
檢查內部部署 BGP IP 範圍的子網路遮罩是否有誤。例如您可能設成 169.254.10.0/30,而非 169.254.10.0/29。
是否能透過第 3 層合作夥伴互連網路連線傳送及瞭解 MED 值?
如果您使用合作夥伴互連網路連線,且第 3 層服務供應商為您處理 BGP,則 Cloud Router 無法從內部部署路由器取得 MED 值,也無法將 MED 值傳送至該路由器。這是因為 MED 值無法通過自主系統。透過這類連線,您無法為 Cloud Router 通告至內部部署路由器的路徑設定路徑優先順序。此外,您無法為地端部署路由器通告至虛擬私有雲網路的路徑設定路徑優先順序。
Cloud Interconnect 架構
本節說明設計或使用 Cloud Interconnect 架構時的常見問題。
我可以重新命名專屬互連網路連線,或將連線移至其他專案嗎?
否。專屬互連網路連線命名後,就無法重新命名或移至其他 Google Cloud 專案。如要變更連線名稱,請刪除連線,然後使用新名稱或在其他專案中重新建立連線。
是否可以使用 Cloud Interconnect 來連線至公開的網際網路?
網際網路路徑無法透過 Cloud Interconnect 通告。
如果所在的 PoP 位置並未列於主機代管服務供應商位置,該如何連線至 Google Cloud ?
以下提供兩種選擇,可讓您進行專屬互連網路的一般訂購與佈建程序:
- 方法 1:您可以向電信業者租用線路,從您的網路連接點 (PoP) 位置連線至 Google 其中一個 Cloud Interconnect 主機代管服務供應商。一般來說,最佳做法是聯絡您現有的主機代管服務供應商,並取得實體網路供應商的名單。如果供應商在您所在的大樓內已有基礎架構,即為「網內供應商」。相較於採用必須建立基礎設施才能連接您目前 PoP 位置的供應商來說,採用實體網路供應商的做法會更加快速便宜。
- 選項 2:您可以透過能向您提供「最後一哩路」連線的服務供應商來使用合作夥伴互連網路。主機代管服務供應商通常無法提供這種類型的服務,因為他們有固定的地點,而您必須位於那些地點才能使用其服務。
如果使用合作夥伴互連網路,我是否會在建立了 VLAN 連結的專案中看到連線?
當您使用合作夥伴互連網路服務時,連線物件會建立於服務供應商專案中,且不會顯示在您的專案中。但如同 Cloud Interconnect 的情況,您仍可在自己的專案中查看 VLAN 連結 (interconnectAttachment)。
如何建立使用 Cloud Interconnect 的備援架構?
依據所需的服務水準協議,「專屬互連網路」及「合作夥伴互連網路」都必須導入一些特定架構。
詳情請參閱「實際工作環境等級應用程式的拓撲總覽」和「一般應用程式的拓撲總覽」。
服務水準協議級別是指 Cloud Interconnect 連線的可用性,也就是內部部署位置與 VPC 網路之間路徑連線的可用性。舉例來說,如果您在 Compute Engine 執行個體上建立可透過 Cloud Interconnect 存取的服務,則該服務的可用性取決於 Cloud Interconnect 服務和 Compute Engine 服務兩者的可用性。
- 如果是專屬互連網路,單一連線 (LACP 組合) 具有無運作時間服務水準協議。
- 如果是合作夥伴互連網路,單一 VLAN 連結具有無運作時間服務水準協議。
單一連線/組合問題的支援記錄優先順序最高只到「P3:中度影響 - 服務功能部分受損」。因此我們不保證能快速解決問題,或為您進一步分析問題的根本成因。
單一連結或組合可能會因預定或臨時性的維護作業遭到排除,時間甚至會長達數小時或數天。
是否能透過 Cloud Interconnect,在內部部署的應用程式和內部負載平衡器後端之間轉送流量?
在此情境中,您部署的應用程式由兩個層級構成:一個是尚未遷移至 Google Cloud的內部部署層級 (舊版層級);另一個則是在 VPC 執行個體上執行,同時也是 Google Cloud 內部負載平衡器後端的雲端層級。
只要在 Cloud Router 與您的內部部署路由器之間導入必要的路徑,您就可以在這兩種應用程式層級之間使用 Cloud Interconnect 轉送流量。請參考以下兩種情況:
案例 1:Cloud Router 和負載平衡器後端位於相同區域。
由於用於處理此應用程式流量的 VLAN 連結 Cloud Router,與含有負載平衡器後端的子網路位於相同地區,因此流量可以轉送,不需額外設定。
案例 2:Cloud Router 和負載平衡器後端位於不同區域。
在本情境中,由於 Cloud Router 和負載平衡器後端位於不同區域,因此您需要設定下列項目:
- 在虛擬私有雲中啟用全域動態轉送模式。
- 在負載平衡器中啟用全域存取模式。
如要瞭解詳情,請參考下列資源:
是否能在各 Google Cloud 專案或各機構之間移動一或多個 Cloud Interconnect 執行個體?
如要將專案移至新的 Google Cloud 機構,您可以建立支援案件, Google Cloud 支援團隊會協助加快遷移作業。
只要專案維持不變,機構變更就不會影響專屬互連網路和 VLAN 連結。
針對專案變更,如果您正在啟用 Cloud Interconnect 並且具有授權書,但尚未完成啟用程序,請取消目前的啟用程序,並在正確的專案中建立新的啟用程序。Google 會發行新的授權書,以便您稍後提供給 Cloud Interconnect 連線供應商。如需相關步驟,請參閱「訂購連線」和「擷取 LOA-CFA」。
啟用的 Cloud Interconnect 連線不能在專案間移動,因為它是專案的子項物件,而且無法在專案間自動遷移物件。如有可能,您應該針對新的 Cloud Interconnect 連線提出申請。
如何在同一個 Google Cloud 機構內,使用同一個 Cloud Interconnect 連線,連接多個專案中的多個虛擬私有雲網路?
無論是專屬互連網路或合作夥伴互連網路,您都可以使用共用虛擬私有雲或虛擬私有雲網路對接,在多個虛擬私有雲網路之間共用單一連結。如需相關步驟,請參閱「連線至多個虛擬私有雲網路的選項」。
合作夥伴互連網路
如果無法使用共用虛擬私有雲或虛擬私有雲網路對等互連 (例如需要將虛擬私有雲網路分開),則必須建立其他 VLAN 連結。建立更多附件可能會產生額外費用。
如果您有多個 VLAN 連結 (包括位於不同專案中的連結),則可將其與來自相同服務供應商的合作夥伴互連網路連線配對,或是與來自不同服務供應商的合作夥伴互連網路連線配對。
專屬互連網路
您可以建立多個連結,每個連結對應一個要連線的專案或虛擬私有雲網路。
如有多項專案,您可以為每項專案提供專屬的 VLAN 連結和 Cloud Router,同時將所有連結設為使用指定專案中的同一實體專屬互連網路連線。
VLAN 連結除了是具有 802.1q ID 的 VLAN 之外,也是存在於專案中的 Cloud Interconnect 連線子項物件。
在這個模型中,每個虛擬私人雲端網路都有自己的轉送設定。如要集中管理轉送政策,請參閱共用虛擬私有雲模型和共用虛擬私有雲注意事項。然後終止共用虛擬私人雲端主專案的虛擬私人雲端網路中的 VLAN 連結。針對每個連線的 VLAN 連結數量,您的主專案均設有配額上限。詳情請參閱 Cloud Interconnect 的配額與限制。
是否可以使用單一 Cloud Interconnect 連線,將多個地端部署網站連線至虛擬私有雲端網路?
您可以輕易完成這項工作。舉例來說,如果數個網站皆屬於 MPLS VPN 網路的一部分,無論該網站是自行管理或由電信業者代管,您都可使用與 Inter-AS MPLS VPN 選項 A 相似的方式,將虛擬私有雲端網路邏輯新增為額外的網站 (詳情請參閱 RFC 4364 文件的第 10 章)。
本解決方案會在使虛擬私有雲端網路出現在合作夥伴的 MPLS VPN 服務的答案中說明。透過 Cloud Router 的 BGP 功能,您便可以使用類似於匯入網際網路路徑的技術和架構,將 VPC 路徑插入現有的 IP 核心構造中。
如何連線至其他雲端服務供應商? Google Cloud
Cross-Cloud Interconnect 可協助您在 Google Cloud 與下列任何支援的雲端服務供應商之間建立專屬連線:
- Amazon Web Services (AWS)
- Microsoft Azure
- Oracle Cloud Infrastructure (OCI)
- Alibaba Cloud
詳情請參閱 Cross-Cloud Interconnect 總覽。
如果您使用的雲端服務供應商不支援 Cross-Cloud Interconnect,則目前在雲端服務供應商之間並沒有任何共同協議的設定,可讓您把兩個連線在實體上「拼接」在一起。不過,如果其他雲端服務供應商提供網路互連服務,您可以在虛擬私有雲端網路的私人位址空間和不同雲端服務供應商的網路之間轉送流量。
如果另一個雲端服務供應商的服務連線點和 Cloud Interconnect 位於相同位置,您就可以在該位置佈建您自己的路由器,來連接兩個連線服務。路由器接著會在虛擬私有雲網路和另一個雲端服務供應商的網路之間轉送流量。這個設定可讓您以最低的延遲時間,從兩個雲端網路直接將流量轉送至內部部署網路。
部分合作夥伴互連網路電信業者能以虛擬路由器為基礎,提供這項設定的代管服務。如果Google Cloud 與另一雲端服務供應商是在不同的位置連接連線服務,那麼您就必須提供線路來連接這兩個位置。
- 如需瞭解 Google 提供「專屬互連網路」服務的位置,請參閱所有主機代管服務供應商。
- 如需瞭解 Google 提供「合作夥伴互連網路」服務的位置,請參閱受支援的服務供應商。
如何在不將設備設置在 Google 邊緣附近的主機代管服務供應商的情況下,連接至 Google Cloud ?
部分網路服務供應商會為不想在 Google 邊緣附近設置硬體的客戶,提供專屬的雲端路由器和合作夥伴互連解決方案 Google Cloud。
如要瞭解如何設定 Google CloudEquinix 解決方案,請參閱 Equinix 設定說明。
如要瞭解如何使用 Google Cloud設定 Megaport,請參閱 Megaport 設定說明。
如要瞭解如何設定 Console Connect,請參閱 Google Cloud Console Connect 設定說明。
VLAN 連結
本節說明 VLAN 連結的相關問題。
如何選擇用於 VLAN 連結的 VLAN ID?
如為使用合作夥伴互連網路所建立的 VLAN 連結,服務供應商會在連結建立程序中選擇 VLAN ID,或是讓您親自選擇。請向服務供應商確認他們是否可讓您為 VLAN 連結選擇 VLAN ID。
如果是使用專屬互連網路建立的 VLAN 連結,您可以搭配 --vlan 標記使用 gcloud compute interconnects attachments create 指令,或是按照Google Cloud 主控台操作說明中的指示操作。
下列範例說明如何使用 gcloud 指令將 VLAN ID 改為 5:
gcloud compute interconnects attachments dedicated create my-attachment \ --router my-router \ --interconnect my-interconnect \ --vlan 5 \ --region us-central1
如需完整的操作說明,請參閱下列文件:
是否可以透過一個以上的 VLAN 連結來使用 Cloud Router?
可以,系統支援這樣的設定。
我可以設定連結,但總頻寬超過 Cloud Interconnect 連線的頻寬嗎?
可以,但如果建立的連結總頻寬大於 Cloud Interconnect 連線,您也無法獲得超過連線支援最大頻寬的頻寬。
如何更新現有的合作夥伴互連網路附件設定,以傳輸 IPv6 流量?
如果您使用第 3 層服務供應商,請與合作夥伴互連網路供應商聯絡,請對方協助更新設定。
MPLS
本節說明 Cloud Interconnect 和多重通訊協定標籤交換 (MPLS) 的相關問題。
是否可以在虛擬私人雲端網路中,使用 Cloud Interconnect 來連接 MPLS LSP?
VPC 並未內建Google Cloud 連接 MPLS LSP 的功能。
如為自行管理的 MPLS VPN 服務,是否能讓虛擬私人雲端網路以額外網站的形式顯示?
如果您擁有自行管理的 MPLS VPN 服務,可以讓虛擬私有雲網路顯示為由自行管理的 VPN 所構成的額外網站。
本情境假設您並非從供應商購買 MPLS VPN 服務,而是擁有由您自行管理的 MPLS VPN 環境,並且自行設定 MPLS 網路的 P 與 PE 路由器。
如要讓虛擬私人雲端網路以額外網站的形式顯示在您自行管理的 MPLS VPN 服務中,請執行下列步驟:
使用類似於 Inter-AS MPLS VPN 選項 A 的模型 (請參閱 RFC 4364 文件的第 10 章),將其中一個 MPLS VPN PE 邊緣裝置連線到專屬互連網路的對等互連邊緣裝置。換句話說,您可以將所需的 MPLS-VPN VPN (例如 VRF_A) 與 PE 邊緣裝置連接,接著使用 VLAN 至 VRF 對應來「聯結」Google Cloud VLAN 連結至這個 VPN。整體而言,您是將 VLAN 對應至 PE 邊緣裝置的 VRF_A。
在 PE 路由器和 Cloud Router 之間建立標準的 IPv4 BGP 工作階段,以確保兩者之間的流量轉送。由 Cloud Router 轉送的流量只會出現在 VPN 路由表 (在 VRF_A 內),而不會出現在 PE 邊緣裝置的全域路由表中。
您可以建立多個獨立的 VPN 來管理重疊的 IP 範圍。舉例來說,VRF_A 和 VRF_B 在特定的 VPC 網路中 (如 VPC_A 與 VPC_B),各自擁有連往 Cloud Router 的 BGP 工作階段。這項程序在 PE 邊緣裝置和專屬互連網路適用的對等互連邊緣裝置之間,並不需要任何 MPLS 封裝。
是否可以讓虛擬私人雲端網路以額外網站的形式,顯示在合作夥伴互連網路的服務供應商電信業者所提供的 MPLS VPN 中?
如果您所購買 MPLS VPN 服務的電信業者為合作夥伴互連網路的官方服務供應商,那麼您可以讓虛擬私有雲網路以額外網站的形式顯示在 MPLS VPN 中。
在這種情況下,電信業者會負責管理及設定 MPLS 網路的 P 與 PE 路由器。由於合作夥伴互連網路使用的連線模型和專屬互連網路所用的完全相同,因此電信業者可利用類似於 Inter-AS MPLS VPN 選項 A 的模型 (請參閱 RFC 4364 文件的第 10 章) 來處理。
電信業者基本上會向您提供第 3 層連線的合作夥伴互連網路服務,然後將您的 VLAN 連結與業者邊緣裝置上的正確 MPLS VPN「繫結」在一起。由於這是第 3 層連線服務模型,因此系統會在您的 Cloud Router 和電信業者邊緣裝置中的 VRF 之間建立 BGP 工作階段。詳情請參閱合作夥伴互連網路總覽。
基礎架構維護事件
詳情請參閱「基礎架構維護事件」。
管理 Cloud Interconnect 連線
如何暫時中斷或停用 Cloud Interconnect 連線?
如要暫時關閉專屬互連網路或合作夥伴互連網路連線 (用於容錯移轉測試或警報測試等),可以使用下列指令。
gcloud compute interconnects update my-interconnect --no-admin-enabled
如要重新啟用連線,請使用下列指令:
gcloud compute interconnects update my-interconnect --admin-enabled
如需實際中斷連線,請與供應商合作,在主機代管服務供應商的 MMR 中拔除交叉連線。您可以向供應商提供原始的授權書,要求中斷連線。
如果無法再存取授權書,請傳送電子郵件至 cloud-interconnect-sd@google.com。
Cloud Interconnect 邊緣可用性網域
專屬互連網路:如何確認互連網路連線位於不同的邊緣可用性網域?
如要確認互連網路連線位於不同的邊緣可用性網域,請使用下列指令。「都會供應可用區」和「邊緣可用性網域」這兩個詞彙可以互換使用。詳情請參閱 Cloud Interconnect 據點。
gcloud compute interconnects describe INTERCONNECT_NAME
在輸出中,查看 location 欄位,其中會顯示類似 https://www.googleapis.com/compute/...<example>.../sin-zone1-388. 的網址。網址的最後一部分是位置的名稱 (sin-zone1-38)。
現在,請描述 LOCATION_NAME,查看該 LOCATION_NAME 所在的邊緣可用性網域。
gcloud compute interconnects locations describe LOCATION_NAME
這項指令的輸出內容會顯示一行文字,指出互連連線所在的邊緣可用性網域。
availabilityZone: zone1
如要查看特定都會區的所有邊緣可用性網域,請參閱位置表格。
合作夥伴互連:如何確認兩個連結位於不同的邊緣可用性網域?
使用下列指令,確認兩個連結位於不同的邊緣可用性網域:
gcloud compute interconnects attachments describe VLAN_ATTACHMENT_NAME /
--region REGION
這個指令的輸出內容會包含類似下方的行。
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
針對兩個附件執行指令,確保邊緣可用性網域不同。