Domande frequenti su Cloud Interconnect

Questo documento tratta le domande più frequenti sulle funzionalità e sull'architettura di Cloud Interconnect, raggruppate nelle seguenti sezioni principali:

Traffico su Cloud Interconnect

Questa sezione tratta le domande relative ai tipi di traffico, alla larghezza di banda e alla crittografia su Cloud Interconnect.

Quali tipi di pacchetti vengono trasportati su Cloud Interconnect?

Il circuito Cloud Interconnect trasporta frame Ethernet 802.1q con pacchetti IPv4 nel payload. Questi frame sono noti anche come frame Ethernet con tag VLAN.

Il valore del campo ID VLAN (VID) a 12 bit dell'intestazione 802.1q è uguale al valore dell'ID VLAN assegnato da Google Cloud quando viene creato un collegamento VLAN. Per saperne di più, consulta i seguenti documenti:

Come posso criptare il mio traffico su Cloud Interconnect?

A seconda del servizio a cui si accede utilizzando Cloud Interconnect, il traffico potrebbe essere già criptato senza che tu debba fare nulla di speciale. Ad esempio, se accedi a una delle API Google Cloud raggiungibili tramite Cloud Interconnect, il traffico è già criptato con TLS nello stesso modo in cui si accede alle API tramite internet pubblico.

Puoi anche utilizzare la soluzione TLS per i servizi che crei, ad esempio un servizio che offri su un'istanza Compute Engine o su un pod Google Kubernetes Engine che supporta il protocollo HTTPS.

Se hai bisogno della crittografia solo tra il router on-premise e i router edge di Google, la soluzione che consigliamo è MACsec per Cloud Interconnect.

Se hai bisogno della crittografia a livello IP, la soluzione consigliata è il deployment di VPN ad alta disponibilità su Cloud Interconnect.

Se, per qualche motivo, non puoi eseguire il deployment della VPN ad alta disponibilità su Cloud Interconnect, puoi creare uno o più gateway VPN autogestiti (nonGoogle Cloud) nella tua rete Virtual Private Cloud (VPC) e assegnare un indirizzo IP privato a ogni gateway. Ad esempio, puoi eseguire una VPN strongSwan su un'istanza Compute Engine. Puoi quindi terminare i tunnel IPsec a questi gateway VPN tramite Cloud Interconnect da un ambiente on-premise.

Per saperne di più, consulta Crittografia in transito.

Posso creare una connessione da 100 Gbps tramite Dedicated Interconnect?

Sì, puoi scalare la connessione a Google in base alle tue esigenze.

Una connessione Cloud Interconnect è costituita da uno o più circuiti implementati come gruppo di link di canale della porta Ethernet (LAG).

Tutti i circuiti di una connessione devono avere la stessa capacità. Per saperne di più sulle capacità di connessione, consulta le seguenti risorse:

Dedicated Interconnect supporta capacità di collegamento VLAN da 50 Mbps a 400 Gbps, mentre Partner Interconnect supporta capacità di collegamento VLAN da 50 Mbps a 50 Gbps. Sebbene la dimensione massima supportata per il collegamento di Partner Interconnect sia di 50 Gbps, non tutte le dimensioni potrebbero essere disponibili, a seconda di ciò che viene offerto dal provider di servizi scelto nella località selezionata.

Puoi ordinare più di una connessione e utilizzarle in modalità attiva-attiva utilizzando le funzionalità di routing del protocollo BGP (Border Gateway Protocol) dirouter Clouder.

Per un elenco dettagliato di capacità, quote e limiti, consulta le pagine Prezzi e Quote e limiti di Cloud Interconnect.

Posso raggiungere le mie istanze utilizzando IPv6 su Cloud Interconnect?

Dedicated Interconnect supporta le connessioni IPv6 con le reti on-premise tramite l'utilizzo di collegamenti VLAN IPv4 e IPv6 (dual stack).

Puoi abilitare lo scambio di route IPv6 nel collegamento VLAN a doppio stack configurando una sessione BGP IPv6 o abilitando lo scambio di route IPv6 in una sessione BGP IPv4. Per informazioni su come creare un collegamento VLAN dual-stack, consulta Creare collegamenti VLAN.

Per informazioni su come abilitare lo scambio di route IPv6 su una sessione BGP IPv4, consulta Configurare BGP multiprotocollo per sessioni BGP IPv4 o IPv6.

Posso specificare l'indirizzo IP di peering BGP?

  • Per Partner Interconnect, no. Google sceglie gli indirizzi IP di peering.
  • Per Dedicated Interconnect, puoi specificare un intervallo di indirizzi IPv4 (blocco CIDR) candidato da cui Google seleziona un indirizzo quando crei un collegamento VLAN. Questo blocco CIDR deve rientrare nell'intervallo di indirizzi locali rispetto al collegamento IPv4 169.254.0.0/16. Non puoi specificare un intervallo di indirizzi IPv6 candidato. Google sceglie un intervallo dall'intervallo di indirizzi Global Unicast Address (GUA) 2600:2d00:0:1::/64 di proprietà di Google.

Posso raggiungere le API di Google tramite Cloud Interconnect da on-premise? Quali servizi o API sono disponibili?

Sono disponibili le seguenti opzioni:

Posso utilizzare Cloud Interconnect come canale privato per accedere a tutti i servizi Google Workspace tramite un browser?

Non è possibile raggiungere le applicazioni Google Workspace tramite Cloud Interconnect.

Perché le mie sessioni BGP vengono interrotte continuamente dopo un determinato intervallo?

Controlla che non ci sia una subnet mask errata nell'intervallo IP BGP on-premise. Ad esempio, anziché configurare 169.254.10.0/29, potresti aver configurato 169.254.10.0/30.

Posso inviare e apprendere valori MED tramite una connessione Partner Interconnect L3?

Se utilizzi una connessione Partner Interconnect in cui un provider di servizi di livello 3 gestisce BGP per te, router Cloud non può apprendere i valori MED dal router on-premise né inviarli a questo router. Questo perché i valori MED non possono passare attraverso i sistemi autonomi. Su questo tipo di connessione, non puoi impostare le priorità delle route per le route pubblicizzate dal router Cloud al tuo router on-premise. Inoltre, non puoi impostare le priorità delle route per le route annunciate dal router on-premise alla tua rete VPC.

Architettura Cloud Interconnect

Questa sezione tratta le domande comuni che sorgono durante la progettazione o l'utilizzo di un'architettura Cloud Interconnect.

Posso rinominare le connessioni Dedicated Interconnect o spostarle in un altro progetto?

No. Dopo aver assegnato un nome a una connessione Dedicated Interconnect, non puoi rinominarla o spostarla in un altro progetto Google Cloud . Devi invece eliminare la connessione e ricrearla con un nuovo nome o in un progetto diverso.

Posso utilizzare Cloud Interconnect per connettermi a internet pubblico?

Le route internet non vengono pubblicizzate tramite Cloud Interconnect.

Come posso connettermi a Google Cloud se mi trovo in una posizione PoP non elencata nelle posizioni della struttura di colocation?

Hai due opzioni, dopodiché puoi seguire la normale procedura di ordinazione e provisioning per Dedicated Interconnect:

  • Opzione 1:puoi ordinare linee affittate da un operatore per connetterti dalla tua posizione del punto di presenza (PoP) a una delle strutture di colocation Cloud Interconnect di Google. In genere, è meglio contattare il provider della struttura di colocation esistente e ottenere un elenco di provider on-net. Un provider on-net è un provider che dispone già di un'infrastruttura nell'edificio in cui ti trovi. L'utilizzo di un provider on-net è più economico e veloce rispetto all'utilizzo di un provider diverso che deve creare un'infrastruttura per raggiungerti nella tua posizione PoP esistente.
  • Opzione 2: puoi utilizzare Partner Interconnect con un provider di servizi che può fornire un circuito dell'ultimo miglio per incontrarti. I provider di colocation di solito non possono fornire questo tipo di servizio perché hanno sedi fisse in cui devi già essere presente.

Se utilizzo Partner Interconnect, posso vedere la connessione nel progetto in cui creo il collegamento VLAN?

Quando utilizzi il servizio Partner Interconnect, l'oggetto per la connessione viene creato nel progetto del service provider e non è visibile nel tuo progetto. Il collegamento VLAN (interconnectAttachment) è ancora visibile all'interno del tuo progetto come nel caso di Cloud Interconnect.

Come faccio a creare un'architettura ridondante che utilizza Cloud Interconnect?

A seconda dello SLA desiderato, esistono architetture specifiche che devono essere implementate sia per Dedicated Interconnect sia per Partner Interconnect.

Per ulteriori informazioni, consulta Panoramica della topologia per applicazioni a livello di produzione e Panoramica della topologia per applicazioni non critiche.

Questi livelli di SLA si riferiscono alla disponibilità della connessione Cloud Interconnect, ovvero alla disponibilità della connessione instradata tra la posizione on-premise e la rete VPC. Ad esempio, se crei un servizio su istanze Compute Engine raggiungibile tramite Cloud Interconnect, la disponibilità del servizio dipende dalla disponibilità combinata del servizio Cloud Interconnect e del servizio Compute Engine.

  • Per Dedicated Interconnect, una singola connessione (bundle LACP) ha un SLA senza uptime.
  • Per Partner Interconnect, un singolo collegamento VLAN ha un SLA senza tempo di attività.

I problemi relativi a errori di connessione/bundle singoli vengono trattati come una priorità della richiesta di assistenza non superiore a P3 - Impatto medio: utilizzo del servizio parzialmente compromesso. Pertanto, non puoi aspettarti una risoluzione rapida o un'ulteriore analisi della causa principale.

A causa di manutenzioni pianificate o non pianificate, i singoli link o bundle potrebbero essere esauriti anche per periodi di tempo prolungati, ad esempio ore o giorni.

Posso inoltrare il traffico su Cloud Interconnect tra la mia applicazione on-premise e i backend del bilanciatore del carico interno?

In questo scenario, hai eseguito il deployment di un'applicazione composta da due livelli: un livello on-premise che non è ancora stato migrato a Google Cloud (livello legacy) e un livello cloud in esecuzione su istanze VPC che sono anche backend di un bilanciatore del carico interno Google Cloud .

Puoi utilizzare Cloud Interconnect per inoltrare il traffico tra questi due livelli dell'applicazione, a condizione che implementi le route necessarie tra il router Cloud e il router on-premise. Considera i due casi seguenti:

Scenario 1: router Cloud e backend del bilanciatore del carico si trovano nella stessa regione.

Poiché router Cloud utilizzato per il collegamento VLAN che gestisce il traffico di questa applicazione si trova nella stessa regione della subnet che contiene i backend del bilanciatore del carico, il traffico può essere inoltrato senza impostazioni aggiuntive.

Scenario 2: il router Cloud e i backend del bilanciatore del carico si trovano in regioni diverse.

In questo scenario, poiché i backend del router Cloud e del bilanciatore del carico si trovano in regioni diverse, devi configurare quanto segue:

  • Abilita la modalità di routing dinamico globale nel VPC.
  • Abilita la modalità di accesso globale nel bilanciatore del carico.

Per ulteriori informazioni, consulta le seguenti risorse:

Posso spostare una o più istanze di Cloud Interconnect tra progetti o organizzazioni? Google Cloud

Se vuoi spostare un progetto in una nuova Google Cloud organizzazione, puoi aprire una richiesta di assistenza, e Google Cloud l'assistenza può facilitare lo spostamento.

I cambiamenti di organizzazione non influiscono su Dedicated Interconnect e sugli allegati VLAN, a condizione che il progetto rimanga lo stesso.

Per le modifiche al progetto, se stai eseguendo un'attivazione di Cloud Interconnect e disponi di una LOA, ma non hai ancora completato l'attivazione, annulla l'attivazione corrente e creane una nuova nel progetto corretto. Google ti rilascia una nuova LOA, che puoi poi consegnare al tuo fornitore di connessioni Cloud Interconnect. Per i passaggi, vedi Ordina una connessione e Recupera LOA-CFA.

Una connessione Cloud Interconnect attiva non può essere spostata tra progetti perché è un oggetto secondario del progetto e non è possibile migrare automaticamente gli oggetti tra progetti. Se possibile, devi avviare una richiesta per una nuova connessione Cloud Interconnect.

Come posso utilizzare la stessa connessione Cloud Interconnect per connettere più reti VPC in più progetti all'interno della stessa Google Cloud organizzazione?

Per Dedicated Interconnect o Partner Interconnect, puoi utilizzare VPC condiviso o il peering di rete VPC per condividere un singolo collegamento tra più reti VPC. Per i passaggi, consulta Opzioni per la connessione a più reti VPC.

Per Partner Interconnect

Se non puoi utilizzare il VPC condiviso o il peering di rete VPC, ad esempio perché devi mantenere separate le reti VPC, devi creare ulteriori allegati VLAN. La creazione di più allegati potrebbe comportare costi aggiuntivi.

Se hai più collegamenti VLAN, inclusi quelli in progetti diversi, puoi accoppiarli a una connessione Partner Interconnect dello stesso fornitore di servizi o a connessioni Partner Interconnect di fornitori di servizi diversi.

Per Dedicated Interconnect

Puoi creare più collegamenti, uno per ogni progetto o rete VPC a cui vuoi connetterti.

Se hai molti progetti, puoi assegnare a ciascuno il proprio collegamento VLAN e il proprio router cloud, configurando tutti i collegamenti in modo che utilizzino la stessa connessione Dedicated Interconnect fisica in un progetto specificato.

Il collegamento VLAN, oltre a essere una VLAN con un ID 802.1q, è un oggetto secondario di una connessione Cloud Interconnect esistente in un progetto.

In questo modello, ogni rete VPC ha una propria configurazione di routing. Se vuoi centralizzare le norme di routing, puoi esaminare il modello VPC condiviso e le considerazioni sul VPC condiviso. Puoi quindi terminare l'collegamento VLAN nella rete VPC del progetto host del VPC condiviso. Il tuo progetto host ha una quota per il numero massimo di collegamenti VLAN per connessione. Per i dettagli, consulta Quote e limiti di Cloud Interconnect.

Posso utilizzare una singola connessione Cloud Interconnect per connettere più siti on-premise alla mia rete VPC?

Puoi farlo facilmente. Ad esempio, se i più siti fanno parte di una rete VPN MPLS autogestita o gestita da un operatore, puoi aggiungere logicamente la rete VPC come sito aggiuntivo utilizzando un approccio simile all'opzione A della VPN MPLS inter-AS (per maggiori informazioni, consulta la RFC 4364, paragrafo 10).

Questa soluzione è descritta nella risposta per far apparire una rete VPC nel servizio VPN MPLS di un partner. Applicando le funzionalità BGP del router Cloud, è possibile inserire route VPC all'interno di un fabric IP core esistente utilizzando tecniche e architetture simili a quelle utilizzate per importare route internet.

Come posso connettermi Google Cloud ad altri fornitori di servizi cloud?

Cross-Cloud Interconnect ti aiuta a stabilire una connettività dedicata tra Google Cloud e uno dei seguenti provider di servizi cloud supportati:

  • Amazon Web Services (AWS)
  • Microsoft Azure
  • Oracle Cloud Infrastructure (OCI)
  • Alibaba Cloud

Per ulteriori informazioni, consulta la panoramica di Cross-Cloud Interconnect.

Se utilizzi un altro cloud provider non supportato da Cross-Cloud Interconnect, non esiste una configurazione concordata tra i cloud provider per collegare fisicamente due connessioni. Tuttavia, se l'altro cloud provider offre un servizio di interconnessione di rete, puoi eseguire il routing tra lo spazio di indirizzi privati della rete VPC e la rete di un altro cloud provider.

Se il punto di connessione del servizio per l'altro provider cloud si trova nella stessa località di Cloud Interconnect, puoi eseguire il provisioning del tuo router in quella località per terminare i due servizi di connessione. Il router esegue quindi il routing tra la rete VPC e la rete dell'altro cloud provider. Questa configurazione ti consente di eseguire il routing direttamente dalle due reti cloud alla tua rete on-premise con un ritardo minimo.

Alcuni operatori di Partner Interconnect sono in grado di offrire questa configurazione come servizio gestito, basato su un router virtuale. Se Google Cloud e l'altro provider cloud terminano i servizi di connessione in posizioni diverse, devi fornire un circuito che colleghi le due posizioni.

Come posso connettermi a Google Cloud senza posizionare apparecchiature in una struttura di colocation vicino all'edge di Google?

Alcuni fornitori di servizi di rete offrono le proprie soluzioni basate sul router Cloud e Partner Interconnect per i clienti che non vogliono posizionare hardware vicino all'edge di Google. Google Cloud

Per informazioni su come configurare le soluzioni Equinix con Google Cloud, consulta le istruzioni di configurazione di Equinix.

Per informazioni su come configurare Megaport con Google Cloud, consulta le istruzioni di configurazione di Megaport.

Per informazioni su come configurare Console Connect con Google Cloud, consulta le istruzioni di configurazione di Console Connect.

Collegamenti VLAN

Questa sezione tratta le domande sui collegamenti VLAN.

Come faccio a scegliere l'ID VLAN utilizzato per un collegamento VLAN?

Per un collegamento VLAN creato con Partner Interconnect, il service provider sceglie l'ID VLAN durante la procedura di creazione del collegamento o ti consente di sceglierlo. Contatta il tuo service provider per determinare se ti consente di scegliere l'ID VLAN per i collegamenti VLAN.

Per un collegamento VLAN creato con Dedicated Interconnect, puoi utilizzare il comando gcloud compute interconnects attachments create con il flag --vlan oppure seguire le istruzioni della consoleGoogle Cloud .

L'esempio seguente mostra come utilizzare il comando gcloud per modificare l'ID VLAN in 5:

gcloud compute interconnects attachments dedicated create my-attachment \
  --router my-router \
  --interconnect my-interconnect \
  --vlan 5 \
  --region us-central1

Per istruzioni complete, consulta uno dei seguenti documenti:

Posso utilizzare un router Cloud con più di un collegamento VLAN?

Sì, questa è una configurazione supportata.

Posso configurare collegamenti la cui larghezza di banda combinata supera la larghezza di banda della mia connessione Cloud Interconnect?

Sì, ma la creazione di collegamenti con una larghezza di banda combinata superiore a quella della connessione Cloud Interconnect non ti offre più della larghezza di banda massima supportata dalla connessione.

Come posso aggiornare la configurazione dell'allegato Partner Interconnect esistente per trasportare il traffico IPv6?

Se utilizzi un fornitore di servizi di livello 3, contatta il tuo fornitore di Partner Interconnect e chiedigli di aiutarti con l'aggiornamento della configurazione.

MPLS (commutazione di etichette multiprotocollo)

Questa sezione tratta le domande relative a Cloud Interconnect e Multiprotocol Label Switching (MPLS).

Posso utilizzare Cloud Interconnect per terminare un LSP MPLS all'interno della mia rete VPC?

VPC non offre una funzionalità integrata in Google Cloud per terminare MPLS LSP.

Per un servizio VPN MPLS autogestito, posso fare in modo che la mia rete VPC venga visualizzata come un sito aggiuntivo?

Se hai un servizio VPN MPLS che gestisci, puoi fare in modo che la tua rete VPC venga visualizzata come un sito aggiuntivo costituito da una VPN autogestita.

Questo scenario presuppone che tu non stia acquistando un servizio VPN MPLS da un provider. Invece, hai un ambiente VPN MPLS in cui gestisci e configuri i router P e PE della rete MPLS.

Per fare in modo che la tua rete VPC venga visualizzata come un sito aggiuntivo nel tuo servizio VPN MPLS autogestito, procedi nel seguente modo:

  1. Collega uno dei tuoi dispositivi di edge PE VPN MPLS al tuo dispositivo di edge peering per Dedicated Interconnect utilizzando un modello simile all'opzione A della VPN MPLS inter-AS (vedi RFC 4364, paragrafo 10). In altre parole, puoi terminare la VPN MPLS-VPN richiesta, ad esempio VRF_A, nel tuo dispositivo di edge PE e poi utilizzare il mapping VLAN-VRF per "unire" il collegamento VLANGoogle Cloud a questa VPN, mappando essenzialmente la VLAN a VRF_A nel dispositivo di edge PE.

  2. Crea una sessione BGP IPv4 standard tra il router PE e il router Cloud per assicurarti che le route vengano scambiate tra loro. Le route inviate da router Cloudr vengono visualizzate solo nella tabella di routing VPN (all'interno di VRF_A) e non nella tabella di routing globale del dispositivo edge PE.

    Puoi gestire intervalli IP sovrapposti creando più VPN separate. Ad esempio, VRF_A e VRF_B, ognuno con una sessione BGP a router Cloud in una rete VPC specifica (ad esempio, VPC_A e VPC_B). Questa procedura non richiede l'incapsulamento MPLS tra il dispositivo edge PE e il dispositivo edge di peering per Dedicated Interconnect.

Posso fare in modo che la mia rete VPC venga visualizzata come un sito aggiuntivo nella mia VPN MPLS da un operatore che è anche un fornitore di servizi per Partner Interconnect?

Se acquisti un servizio VPN MPLS da un operatore che è anche un fornitore di servizi ufficiale per Partner Interconnect, puoi fare in modo che la tua rete VPC venga visualizzata come un sito aggiuntivo nella tua VPN MPLS.

In questo caso, l'operatore gestisce e configura i router P e PE della propria rete MPLS. Poiché Partner Interconnect utilizza lo stesso modello di connettività di Dedicated Interconnect, l'operatore può utilizzare un modello simile all'opzione A della VPN MPLS inter-AS (vedi RFC 4364, paragrafo 10).

In sostanza, l'operatore ti fornisce un servizio Partner Interconnect di livello 3 e poi "collega" il tuo collegamento VLAN alla VPN MPLS corretta sul dispositivo di edge dell'operatore. Poiché si tratta di un modello di servizio di livello 3, la sessione BGP viene stabilita tra il router Cloud e il VRF all'interno del dispositivo edge dell'operatore. Per maggiori dettagli, consulta la panoramica di Partner Interconnect.

Eventi di manutenzione dell'infrastruttura

Per saperne di più, consulta Eventi di manutenzione dell'infrastruttura.

Gestione delle connessioni Cloud Interconnect

Come faccio a disconnettere o disattivare temporaneamente la mia connessione Cloud Interconnect?

Se vuoi chiudere temporaneamente la connessione Dedicated Interconnect o Partner Interconnect (per test di failover o test di allarme e così via), puoi utilizzare il seguente comando. 

  gcloud compute interconnects update my-interconnect --no-admin-enabled

Per riattivare la connessione, utilizza il seguente comando: 

  gcloud compute interconnects update my-interconnect --admin-enabled

Se devi scollegare fisicamente la connessione, collabora con il tuo provider per scollegare l'interconnessione nell'MMR della tua struttura di colocation. Puoi fornire la LOA originale al fornitore per richiedere la disconnessione.

Se non hai più accesso alla lettera di autorizzazione, invia un'email a cloud-interconnect-sd@google.com.

Dominio di disponibilità perimetrale Cloud Interconnect

Dedicated Interconnect: come si fa a verificare che le connessioni di interconnessione si trovino in domini di disponibilità perimetrale diversi?

Per verificare che le connessioni di interconnessione si trovino in domini di disponibilità perimetrale diversi, utilizza i seguenti comandi. I termini zona di disponibilità area metropolitana e dominio di disponibilità edge sono intercambiabili. Per saperne di più, consulta la pagina Località di Cloud Interconnect.

gcloud compute interconnects describe INTERCONNECT_NAME

Nell'output, visualizza il campo location, che mostra un URL come https://www.googleapis.com/compute/...<example>.../sin-zone1-388. L'ultima parte dell'URL è il nome della posizione (sin-zone1-38).

Ora descrivi LOCATION_NAME per visualizzare il dominio di disponibilità edge in cui si trova.

gcloud compute interconnects locations describe LOCATION_NAME

L'output di questo comando contiene una riga che indica in quale dominio di disponibilità edge si trova la connessione di interconnessione.

availabilityZone: zone1

Per visualizzare tutti i domini di disponibilità edge per una determinata area metropolitana, consulta la tabella delle località.

Utilizza questo comando per verificare che due link si trovino in domini di disponibilità perimetrale diversi:

gcloud compute interconnects attachments describe VLAN_ATTACHMENT_NAME /
    --region REGION

L'output di questo comando contiene una riga simile a questa.

edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1

Esegui il comando per entrambi gli allegati per assicurarti che i domini di disponibilità edge siano diversi.