Network Connectivity Center (NCC) 是一種自動化調度管理框架,可簡化連線至中央管理資源 (稱為「中樞」) 的輪輻資源之間的網路連線能力。NCC 支援下列類型的輪輻:
- 虛擬私有雲 (VPC) 輪輻
- 供應商虛擬私有雲輪輻
- NCC 閘道輪輻
- 混合型 Spoke,可與下列任一資源建立關聯:
- 高可用性 VPN 通道
- Cloud Interconnect VLAN 連結
- 路由器設備 VM
- Cross-Cloud Interconnect VLAN 連結
- Oracle Cloud Infrastructure (OCI) 合作夥伴 Cross-Cloud Interconnect VLAN 連結
- Amazon Web Services (AWS) 適用的合作夥伴 Cross-Cloud Interconnect (預先發布版)
透過中樞輻射型連線,您可以執行下列操作:
- 將多個虛擬私有雲網路彼此連線。虛擬私有雲網路可以位於相同 Google Cloud 機構或不同機構中的不同專案。
- 將多個虛擬私有雲網路連線至內部部署或其他雲端供應商網路。這些外部網路可透過任何類型的混合式 Spoke 存取。這種做法稱為「網站到雲端的連線」。
- 使用路由器設備 VM 管理虛擬私有雲網路之間的連線。
- 使用 Google Cloud 虛擬私有雲網路做為企業廣域網路 (WAN),連線至 Google Cloud外部的網路。您可以使用任何類型的混合式 Spoke,在外部網站之間建立連線。這種做法稱為「站對站連線」。
運作方式
中樞使用 VPC 輪輻時,您可以透過在所有或部分 VPC 網路之間交換子網路路徑,設定連線至中樞的這些 VPC 網路之間的連線。
中樞同時使用虛擬私有雲輪輻和混合型輪輻時,所有輪輻之間都支援任意對任意連線。
如果中樞使用位於單一虛擬私有雲網路中的混合式輪輻,您也可以設定站對站資料傳輸,讓下一個躍點為混合式輪輻 (例如 Cloud Interconnect VLAN 連結) 的動態路由,透過該虛擬私有雲網路中其他混合式輪輻的 BGP 工作階段,向地端部署網路播送。
如需中樞和輪輻的詳細說明,請參閱下列章節。
中樞
Network Connectivity Center 中樞是全域性資源,用來連接輪輻。單一中樞可包含多個區域的輪輻。不過,如果中樞的任何輪輻使用站對站資料移轉功能,與這些輪輻相關聯的資源就必須位於同一個虛擬私有雲網路。未使用站對站資料移轉的輪輻可以與專案中的任何虛擬私有雲網路建立關聯。
輪輻
輪輻代表一或多個 Google Cloud 網路資源,這些資源已連線至中樞。
建立 Spoke 時,必須將其與至少一個支援的連線資源建立關聯,這也稱為支援資源。
輪輻可以使用下列任何 Google Cloud 資源做為支援資源。
虛擬私有雲輪輻
您可以透過虛擬私有雲輪輻,將兩個以上的虛擬私有雲網路連結至中樞,接著這些網路就能交換子網路路由。附加至單一中繼站的虛擬私有雲支點,可以參照相同專案或不同專案中的虛擬私有雲網路 (包括不同機構中的專案)。
虛擬私有雲輪輻會將子網路路徑匯出至中樞,並從中樞匯入子網路路徑和動態路徑。
如要進一步瞭解虛擬私有雲輪輻,請參閱虛擬私有雲輪輻總覽。
虛擬私有雲輪輻可提供多個虛擬私有雲網路的 IPv4 和 IPv6 子網路範圍之間的連線。您可以按照下列方式,設定每個虛擬私有雲輪輻匯出子網路範圍:
- 僅限 IPv4 子網路範圍
- IPv4 和 IPv6 子網路範圍
- 僅限 IPv6 子網路範圍
假設某個輪輻的虛擬私有雲網路混合使用子網路堆疊類型。如果您將輪輻設為只匯出 IPv6 子網路範圍,系統會交換雙重堆疊和僅支援 IPv6 的子網路中的 IPv6 子網路範圍,但不會交換僅支援 IPv4 的子網路和雙重堆疊子網路中的 IPv4 子網路範圍。
供應商虛擬私有雲輪輻
如果您現有的虛擬私有雲輪輻會透過虛擬私有雲網路對接,使用其他專案內供應商網路中的服務,那麼建立供應商虛擬私有雲輪輻之後,NCC 中樞的其他輪輻即可連上該項服務。
如要進一步瞭解供應商虛擬私有雲輪輻,請參閱供應商虛擬私有雲輪輻。
閘道輪輻
NCC 閘道是連結至 NCC 中樞的區域輪輻類型。確保 Cross-Cloud Network 網路流量安全無虞。NCC Gateway 支援第三方安全服務邊緣 (SSE) 檢查。
如要進一步瞭解 NCC 閘道輪輻,請參閱「NCC 閘道總覽」。
混合式輪輻
混合式輪輻代表連線至中樞的一或多個網路連線資源。混合型輪輻類型可以是輪輻關聯的下列任一資源:
- 路由器設備 VM
- 高可用性 VPN 通道
- Dedicated Interconnect VLAN 連結
- Partner Interconnect VLAN 連結
- Cross-Cloud Interconnect VLAN 連結
- AWS 適用的合作夥伴 Cross-Cloud Interconnect VLAN 連結
單一混合輪輻可與多個相同類型的資源建立關聯。舉例來說,混合式輪輻可以參照兩個以上的高可用性 VPN 通道,但不能同時參照路由器設備 VM 或 Cloud Interconnect VLAN 連結。混合輪輻必須與 NCC 中樞位於相同專案。
使用混合輪輻進行站對站資料移轉時,輪輻必須位於同一個虛擬私有雲網路。詳情請參閱「站對站資料移轉總覽」。
路由器設備輪輻
與路由器設備 VM 執行個體相關聯的輪輻支援下列用途:
- IPv4 網站對雲端連線能力:在外部網站與虛擬私有雲網路資源之間建立連線。
- IPv4 網站對網站資料移轉:在廣域網路 (WAN) 中使用 Google 網路,其中包含您的外部網站,以便在所有網站之間移動資料。
- 虛擬私有雲網路之間的 IPv4 連線:使用第三方網路虛擬設備,在虛擬私有雲網路之間建立連線。
連線至同一個中樞的所有站對站輪輻,其所有支援資源都必須位於同一個虛擬私有雲網路。
高可用性 VPN 通道輪輻
與 Cloud VPN (高可用性 VPN) 通道相關聯的輪輻支援下列用途:
- IPv4 網站對雲端連線:在外部網站與虛擬私有雲網路資源之間建立連線。
- IPv4 網站對網站資料移轉:在廣域網路 (WAN) 中使用 Google 網路,其中包含您的外部網站,以便在所有網站之間移動資料。
從單一輪輻連結的所有設備,以及所有 Cloud VPN 通道、VLAN 連結,都必須位於同一個 VPC 網路。
Cloud Interconnect VLAN 連結輪輻
與 Cloud Interconnect VLAN 連結相關聯的輪輻支援下列用途:
- IPv4 站對雲端連線:連結至單一輪輻的所有設備都必須位於同一個虛擬私有雲網路。
- IPv4 站對站資料移轉:所有 Cloud VPN 通道、VLAN 連結或兩者都必須位於同一個 VPC 網路。
AWS 適用的合作夥伴 Cross-Cloud Interconnect
AWS 適用的合作夥伴 Cross-Cloud Interconnect 提供隨選方法,可建立跨雲端傳輸,不必手動設定網路元件。這個傳輸方式與客戶的 NCC 中樞相關聯,並會建立混合式輪輻。
如要詳細瞭解 AWS 連線適用的合作夥伴 Cross-Cloud Interconnect,請參閱合作夥伴 Cross-Cloud Interconnect for AWS 總覽。
透過虛擬私有雲連線交換路徑
NCC 虛擬私有雲輪輻支援交換下列子網路範圍:
IPv4 動態路由 (也就是混合式 Spoke 透過 BGP 取得的路由) 也可以與 VPC Spoke 或其他混合式 Spoke 交換。
匯入混合式輪輻的中樞子網路
如要透過 BGP 自動向地端部署和其他雲端服務供應商網路通告虛擬私有雲輪輻 IP 子網路範圍,請為混合型輪輻啟用中樞子網路匯入功能。啟用後,系統會自動匯入在中心路由資料表建立或刪除的任何新虛擬私有雲子網路,並透過 BGP 向遠端對等互連裝置通告這些子網路。
如要自動將 VPC 輪輻子網路 IP 位址範圍宣傳至混合式輪輻,請在建立輪輻時,將 --include-import-ranges 旗標與 ALL_IPV4_RANGES 欄位搭配使用。根據預設,--include-import-ranges 欄位為空白,這表示在指定 ALL_IPV4_RANGES 前,不會將任何中樞子網路匯入新的或現有的混合式輪輻。混合型輪輻也可以將私用公開 IP 位址範圍傳送至 NCC 中樞 (預先發布版)。
Spoke 篩選器
NCC 可讓您使用輪輻篩選器,限制輪輻之間的連線。
如要進一步瞭解 Spoke 篩選器,請參閱Spoke 篩選器總覽。
如要進一步瞭解如何建立混合型 Spoke,請參閱「使用 Spoke」。
應用實例
以下各節說明 NCC 的主要用途。
使用 NCC 連結不同的虛擬私有雲網路
將兩個以上的虛擬私有雲輪輻連結至中樞後,NCC 會透過子網路路由,在輪輻代表的所有虛擬私有雲網路之間提供連線。使用中樞可簡化大型網狀子網路連線的管理作業。如要瞭解可連線至中樞的虛擬私有雲網路數量,請參閱配額。
下圖顯示兩個 VPC 輪輻。
虛擬私有雲輪輻的地端部署連線
VPC 輪輻可透過位於其他 (路由) VPC 網路的混合式輪輻,連線至地端部署網路。每個 NCC 中樞都支援多個 VPC 輪輻,以及新增為混合輪輻的 Cloud Interconnect VLAN 連結、高可用性 VPN 通道或路由器設備 VM。
使用路由器設備 VM 連線至網路
在下列兩種 IPv4 連線情境中,NCC 可以使用路由器設備 VM:
- 使用動態路由將虛擬私有雲網路連線至地端部署或其他雲端服務供應商的網路
- 使用動態路徑將兩個虛擬私有雲網路互相連線
使用這個選項時,Cloud Router 會管理路由器設備 VM 的 BGP 工作階段。
將外部網路連線至 Google Cloud
下圖使用具備路由器設備 VM 的混合式輪輻,將兩個虛擬私有雲網路連線至外部網路。Cloud Router VM 在每個 VPC 網路中都有一個網路介面 (NIC)。
如要進一步瞭解這個使用案例,請參閱「使用第三方裝置的網站對雲端拓撲」。
管理虛擬私有雲網路之間的連線
下圖使用混合式輪輻,並透過執行專用防火牆或封包檢查軟體的路由器設備 VM,連線至兩個虛擬私有雲網路。
詳情請參閱「使用第三方設備的虛擬私有雲對虛擬私有雲拓撲」。
透過 Google 網路進行資料移轉 (站對站)
資料移轉功能可透過虛擬私有雲網路和混合型輪輻,在外部網路之間提供 IPv4 連線。 Google Cloud 您可以在多個地端部署網路之間,或與其他雲端網路之間轉移資料。
建立混合型輪輻時,您可以為該輪輻啟用資料移轉選項。如果為連線至相同中樞的混合式輪輻啟用資料移轉功能,每個路由器設備 VM、Cloud VPN 通道或 Cloud Interconnect VLAN 連結所學到的動態路由,都會重新宣傳至與連線至相同中樞的任何混合式輪輻相關聯的其他 VM、通道或 VLAN 連結。如要移轉資料,所有混合式輪輻都必須參照單一 VPC 網路中的路由器設備 VM、Cloud VPN 通道或 Cloud Interconnect VLAN 連結。
舉例來說,假設您在紐約、雪梨和東京都有資料中心。使用支援的資源將虛擬私有雲網路連線至各個網站後,您就可以建立輪輻來代表每個網路。完成這項設定後,NCC 會在所有三個網站之間提供全網狀連線。
如下圖所示,您可以建立輪輻,並使用 Cloud VPN、Cloud Interconnect 和路由器設備等連線能力資源。
圖中未顯示 Cross-Cloud Interconnect,但您也可以使用 Cross-Cloud Interconnect VLAN 連結。
如要進一步瞭解這個使用案例,請參閱「站對站資料移轉總覽」。
NCC 注意事項
設定 NCC 前,請先詳閱下列章節。
IP 位址
IP 版本支援取決於 Spoke 類型:
虛擬私有雲輪輻:NCC 支援下列 IP 版本:
IPv4 和 IPv6,用於交換子網路範圍。
您可以設定虛擬私有雲 Spoke,只交換 IPv4 子網路範圍、只交換 IPv6 子網路範圍,或同時交換 IPv4 和 IPv6 子網路範圍。
僅使用 IPv4 位址交換動態路徑。
混合式輪輻:NCC 僅支援 IPv4。例如:
如果輪輻已啟用站對站資料移轉功能,與輪輻相關聯的資源僅支援 IPv4 流量。這項聲明適用於所有混合輪輻類型:路由器設備、VLAN 連結和 VPN 輪輻。
站點對雲端路由器設備的 Spoke 僅支援 IPv4 流量。
建立路由器設備 VM 時,VM 的主要內部 IPv4 位址必須是 RFC 1918 位址。
轉送
Network Connectivity Center 混合式輪輻安裝的路由會視為動態路由。
如要瞭解動態路徑與其他類型路徑的處理方式比較,請參閱虛擬私有雲說明文件中的「適用範圍與順序」。
| 資源 | 適用用途 |
|---|---|
| 優先順序 | 所有混合輪輻資源都會使用 Cloud Router。如要進一步瞭解 Cloud Router 如何處理已知路由,在虛擬私有雲網路或 Network Connectivity Center 中樞建立動態路由,請參閱 Cloud Router 說明文件中的「已知路由」。 |
| ASN | 與單一輪輻相關聯的所有非 Google 對等互連路由器,在向 Cloud Router 發布前置字串時,都必須使用相同的 ASN。這點很重要,因為如果兩個對等互連裝置以不同的 ASN 或 AS 路徑宣傳相同前置字元,則只有一個對等互連裝置的 ASN 和 AS 路徑會針對該前置字元重新宣傳。不同的輻射網路必須有不同的 ASN。也就是說,如果兩個 BGP 工作階段屬於不同的 Spoke,就必須有不同的 ASN。此外,如果您使用資料移轉功能,則必須按照「站對站資料移轉的 ASN 規定」一文所述指派 ASN。 |
| BGP 工作階段 | 不支援 BGP 社群。 |
使用站對站資料移轉時,廣告變更的傳送路徑
將 Cloud Interconnect VLAN 連結或 Cloud VPN 通道新增至混合輪輻時,Network Connectivity Center 會更新 VLAN 連結或 Cloud VPN 通道的對應 BGP 工作階段,以便重新宣傳其他 Cloud Interconnect VLAN 連結或 Cloud VPN 通道的 BGP 工作階段所學到的前置字元,這些連結或通道會連至已啟用網站對網站資料移轉選項的任何中樞混合輪輻。
其他產品支援
以下各節說明 NCC 如何與其他網路產品和功能搭配運作。
虛擬私有雲輪輻和虛擬私有雲網路對等互連
NCC 虛擬私有雲輪輻支援交換下列項目:
- 有效的 IPv4 子網路範圍
- IPv6 子網路範圍
- IPv4 動態路徑
虛擬私有雲輪輻不支援交換下列項目:
- 對等互連子網路路徑
- 採用私用公開 IPv4 位址的本機路徑
- 採用 IPv6 位址的本機子網路路徑
VPC 輪輻不會交換靜態路由,但 VPC 輪輻可以從位於同一個 NCC 中樞的混合輪輻匯入 NCC IPv4 動態路由。
如要進一步瞭解 NCC 虛擬私有雲輪輻,請參閱虛擬私有雲輪輻總覽。
如要進一步瞭解如何使用虛擬私有雲網路對等互連交換路由,請參閱虛擬私有雲網路對等互連說明文件中的路由交換選項。
雖然 NCC 虛擬私有雲輪輻不支援交換靜態路徑,但輪輻虛擬私有雲網路仍可透過虛擬私有雲網路對等互連,從其他虛擬私有雲網路匯入靜態路徑和路徑。
此外,VPC 輪輻仍可使用 VPC 網路對等互連,從其他虛擬私有雲網路匯入動態路由。如果其他虛擬私有雲網路具有動態路由,且下一個躍點是連線至地端部署網路的 Cloud Interconnect VLAN 連結或 Cloud VPN 通道,您可以按照 虛擬私有雲網路對等互連說明文件中的轉送網路範例所述,使用 Cloud Router 自訂路由 advertisement和 虛擬私有雲網路對等互連路由交換選項,將輪輻虛擬私有雲網路連線至地端部署網路。
Shared VPC 網路
Shared VPC 網路可以做為虛擬私有雲輪輻新增至 Network Connectivity Center 中樞。中樞可位於任何專案中。 這些虛擬私有雲輪輻可以從同一專案連線至中樞,也可以從中樞的不同專案連線至中樞。
建議您將 networkconnectivity.googleapis.com/spokeAdmin 角色指派給服務專案管理員。如要進一步瞭解這個角色和其他 NCC 角色,請參閱「角色和權限」。
舊版網路
輪輻資源無法加入舊版網路。
VPN 通道
系統不支援傳統版 VPN 通道。
資料移轉
如果您使用資料移轉功能,請參閱站對站資料移轉總覽中的「注意事項」一節。
服務水準協議
如要瞭解 NCC 服務水準協議,請參閱「Network Connectivity Center 服務水準協議 (SLA)」。
定價
如要瞭解定價,請參閱「NCC 定價」。
後續步驟
- 如要瞭解如何管理中樞和輪輻,請參閱「使用中樞和輪輻」。
- 如要瞭解如何使用 Cloud VPN 輪輻,請參閱「使用 Cloud VPN 輪輻連結兩個網站」。
- 如要取得解決方案與 NCC 整合的合作夥伴清單,請參閱 NCC 合作夥伴。
- 如要查看 NCC 配額和限制,請參閱「配額與限制」。