關於使用 Hybrid Subnets 遷移至 Google Cloud

混合型子網路可協助您將工作負載從其他網路 (來源網路) 遷移至虛擬私有雲 (VPC) 子網路,且不需要變更任何 IP 位址。結合來源網路中的子網路與虛擬私有雲子網路,即可建立單一邏輯子網路,方便您逐步遷移個別工作負載和虛擬機器 (VM) 執行個體。所有工作負載和 VM 遷移完成後,即可停用來源子網路。

混合式子網路也支援將 VM 從地端部署網路或兩個 VPC 網路之間遷移。 Google Cloud

這張三階段圖表說明如何使用混合式子網路,將工作負載從地端遷移至 Google Cloud 。
圖 1. 遷移期間,混合型子網路會在來源網路中的工作負載和虛擬私有雲網路之間提供連線 (按一下可放大)。

規格

Hybrid Subnets 的規格如下。

  • 屬性
    • 混合式子網路是單一邏輯子網路,結合了來源網路的區隔和虛擬私有雲網路中的子網路。
    • 混合式子網路中的所有 VM 和工作負載之間,都會維持內部連線。
    • 來源網路可以是內部部署網路或其他虛擬私有雲網路。區隔可以是整個子網路,也可以是子網路的一部分。
    • 混合式子網路的兩部分必須透過網路連線產品 (例如 Cloud VPNCloud Interconnect) 連線。
    • 虛擬私有雲子網路的主要 IPv4 位址範圍,必須與混合式子網路使用的來源網路區隔範圍相符。
  • 虛擬私有雲網路設定
    • 如要將虛擬私有雲子網路設定為混合型子網路的一部分,請務必啟用混合型子網路轉送。 啟用混合型子網路轉送後,自訂路徑可能會與子網路的主要和次要 IPv4 位址範圍發生衝突 (重疊)。
    • 您可以使用 Cloud Router 自訂通告路徑,在將 VM 遷移至虛擬私有雲子網路時,選擇性地通告 VM 的 IP 位址。為支援 Proxy ARP 和最長前置字串比對,這些路徑必須比混合式子網路的 IP 位址範圍更明確 (子網路遮罩更長)。您可以為個別 VM 使用 /32 路由。
  • 來源網路設定
    • 您必須在來源網路中設定Proxy ARP
    • 您必須設定來源網路,通告混合式子網路的 IP 位址範圍。
Cloud Router 和地端路由器會處理混合式子網路兩部分之間的路由,該子網路使用共用且重疊的 IP 位址範圍。
圖 2. 這張圖表概述建立混合式子網路的步驟,以及 Cloud Router 和內部部署路由器如何在混合式子網路的兩部分之間轉送封包 (按一下可放大)。

混合型子網路路由

混合式子網路會結合來源網路中的子網路與虛擬私有雲子網路,建立單一邏輯子網路。混合式子網路兩部分的工作負載都會維持內部連線;工作負載可將流量傳送至混合式子網路任一部分的目的地,就像目的地是本機一樣,無論目的地位置為何。

虛擬私有雲網路路徑轉送

虛擬私有雲路徑模型子網路路徑比對步驟中,如果封包的目的地符合本機或對等互連子網路路徑, Google Cloud 會嘗試使用相符的子網路路徑遞送封包。在一般子網路中,如果目的地未與執行中的 VM 或內部轉送規則建立關聯,系統會捨棄封包,並忽略所有其他路徑。

不過,如果子網路已啟用混合型子網路轉送,子網路路徑就會變成混合型子網路路徑,轉送行為也會有所不同:

  • 如果封包與 VPC 子網路中執行的 VM 執行個體或內部轉送規則相關聯, Google Cloud會根據本機混合子網路路徑遞送封包。
  • 如果封包未與虛擬私有雲子網路中執行的 VM 或內部轉送規則建立關聯, Google Cloud 會針對不相符的資源使用特殊轉送程序。這項程序包括檢查與混合型子網路範圍重疊的自訂動態和靜態路徑。在設定正確的混合式子網路中,封包會使用 Cloud Router 為來源子網路取得的本機動態路徑,轉送至來源網路。
在混合型子網路中,封包 A 會在本地轉送,封包 B 則會轉送至內部部署目的地。
圖 3. 混合式子網路中的 VM 可以連線至地端部署子網路和虛擬私有雲網路子網路中的目的地,即使這兩個子網路共用相同的重疊 IP 位址範圍也沒問題 (按一下可放大)。

舉例來說,在圖 3 中,封包 A 會使用本機混合式子網路路徑,轉送至混合式子網路的虛擬私有雲部分中的 VM。封包 B 的目的地與混合型子網路虛擬私有雲部分中執行的 VM 或內部轉送規則無關,因此 Google Cloud 會檢查是否有衝突的自訂路徑。系統找到相符項目,並 Google Cloud 使用重疊的自訂動態路徑,將封包 B 傳送至來源網路。

來源網路路由

當來源網路中的工作負載將封包傳送至混合式子網路 IP 位址範圍內的目的地時,來源網路的路由器或第一跳裝置會執行路由表查詢。

如果目的地與來源網路中的工作負載相關聯,路由器就不會介入 Proxy ARP。目的地會收到 ARP 要求,並以自己的 MAC 位址回應,封包也會在本機傳送。

如果目的地位於混合式子網路的虛擬私有雲端部分,且路由器已取得比本機子網路路徑更明確的目的地動態路徑,則路由器會使用最長前置字元比對選取動態路徑。這會觸發路由器的 Proxy ARP 功能。路由器會以自己的 MAC 位址回應,並將封包路由至虛擬私有雲網路中的 Cloud Router。

內部部署路由器會使用 Proxy ARP,將來源網路中工作負載的封包,路由至已遷移至 Google Cloud的 VM。
圖 4. 內部部署路由器會使用 Proxy ARP,將來源網路中工作負載的封包,轉送至已遷移至 Google Cloud的 VM (點選即可放大)。

限制

混合式子網路有下列限制。

  • 資源限制

    這些資源限制不會由 Google Cloud 限制或配額強制執行。超過上限可能會導致連線和穩定性問題。

  • 不支援的交通方式和路線

    • 如果衝突路徑的下一個躍點與混合型子網路位於不同區域,封包就會遭到捨棄。
    • 下列路線類型不支援做為衝突路線:
      • 系統產生的預設路徑
      • 策略路徑
      • 具備網路標記的靜態路徑
      • 目的地包含或廣於混合子網路路徑的路徑
    • Network Connectivity Center 不完全支援混合式子網路。您可以將含有混合式子網路的虛擬私有雲網路,設定為 Network Connectivity Center 中樞的輪輻。不過,從連線的輪輻到混合子網路 IP 位址範圍的流量,其路由行為無法預測。
    • 混合式子網路不支援混合式 NAT。雖然您可以設定混合式子網路使用混合式 NAT,但這項功能不會套用至受混合式子網路路由影響的流量。
    • 混合子網路路由不適用於 IPv6 流量。
    • 系統不支援混合式子網路內的廣播和多點傳播流量。
    • 您無法使用不支援透過混合式子網路發布 /32 路徑的第 3 層合作夥伴互連網路連線。
    • 混合式子網路的 Cloud Router 不能超過每個 BGP 工作階段的自訂通告路徑數量上限
    • 來源網路中的工作負載無法使用 Private Google Access 存取 Google API 和服務。
    • 來源網路中的工作負載無法連線至 Google API 的 Private Service Connect 端點。

  • 不支援的遷移情境

    • 混合式子網路不支援從其他雲端服務供應商遷移工作負載。
    • 混合式子網路不支援從 Azure 或 AWS 來源遷移 VM。
    • 混合式子網路不支援站對站資料移轉
    • 混合式子網路不支援將 Google Cloud VMware Engine 做為遷移目標。如果 VMware Engine 是遷移目標,建議使用 VMware HCX 遷移 VMware VM

  • 其他限制

    • 混合型子網路不會偵測混合型子網路的來源網路與虛擬私有雲部分之間,是否有 IP 位址衝突。確認每個 IP 位址 (預設閘道除外) 只使用一次。
    • 混合子網路無法在 IPv4 子網路的預留 IP 位址上代管工作負載。
    • 來源網路中的工作負載無法做為混合式連線網路端點群組的端點,這類群組使用集中式健康狀態檢查
    • Cloud DNS 傳入轉送不會回應來源網路中工作負載的 DNS 要求。

遷移選項

Google 建議搭配使用 Migrate to Virtual Machines 和混合式子網路,自動將 VM 從 VMware 來源Google Cloud VMware Engine 來源遷移。

或者,您也可以使用第三方遷移工具搭配混合式子網路,只要符合本文所述的混合式子網路需求即可。

如要瞭解如何規劃使用 Migrate to Virtual Machines 進行遷移,請參閱使用 Migrate to VMs 進行遷移的歷程

如要進一步瞭解遷移選項,請參閱「遷移資源」。

如需使用 Hybrid Subnets 規劃遷移至 Google Cloud 的相關支援,請提交客服案件

使用 Hybrid Subnets 的注意事項

以下各節說明使用混合式子網路的注意事項。

Proxy ARP 和混合型子網路

混合式子網路需要在來源網路的路由器或第一跳裝置 (主機首次傳送流量的點,目的地位於本機網路外) 上設定Proxy ARP

第一個躍點裝置可以是路由器、虛擬設備、防火牆,或是執行 choparp 等軟體解決方案的 VM。

建議您在來源網路中使用 Proxy ARP 時,採取下列做法:

  • 請諮詢來源網路架構的供應商,瞭解啟用 Proxy ARP 和保護網路環境的最佳做法。
  • 完成遷移至Google Cloud的作業後,請停用 Proxy ARP。

區域限制

如要讓混合型子網路正常運作,衝突的路徑 (與混合型子網路的位址範圍重疊的自訂路徑) 的所有下一個躍點都必須與混合型子網路位於相同區域。

如果衝突路由的下一個躍點位於不同區域:

  • 如果路徑同時有本機和遠端下一個躍點,只要 ECMP 選取遠端區域中的下一個躍點,流量就會遭到捨棄。即使封包也符合下一個躍點位於相同區域的較不特定路徑,仍會遭到捨棄。
  • 如果路徑在與混合式子網路相同的區域中沒有下一個躍點,封包就會遭到捨棄。

請確認下列資源位於同一區域:

  • 設定為混合式子網路的虛擬私有雲子網路
  • 取得來源網路路徑的 Cloud Router
  • 提供混合式連線的高可用性 VPN 通道或 VLAN 連結

舉例來說,假設有一個 IP 位址範圍為 192.0.2.0/24 的混合子網路。虛擬私有雲子網路位於 us-central1 區域。 Cloud Router 已得知兩條衝突路徑:

  • 目的地範圍為 192.0.2.0/25,且下一個躍點位於 us-central1 區域的自訂路徑
  • 目的地範圍為 192.0.2.0/30,且下一個躍點位於 us-west1 區域的自訂路徑。

封包會傳送至目的地 192.0.2.2。這個 IP 位址與虛擬私有雲子網路中執行的 VM 或內部轉送規則無關,因此路徑選取模型會選取目的地最明確的自訂路徑,也就是 192.0.2.0/30。這個路徑在混合型子網路區域中沒有下一個躍點,因此封包遭到捨棄。

詳情請參閱「混合型子網路中不相符的資源」。

虛擬私有雲網路對等互連

您可以使用 VPC 網路對等互連,將混合式子網路連線至對等互連的 VPC 網路。混合式子網路的虛擬私有雲網路必須設定為匯出子網路和自訂路徑,對等互連的虛擬私有雲網路則必須設定為匯入這些路徑。

對等互連的虛擬私有雲網路完成路徑程式設計後,即可連線至混合型子網路 IP 位址範圍內的目的地,無論這些目的地是否存在於 Google Cloud 或來源網路中。

在下列情況下,系統不會為對等互連網路設定路徑:

  • 對等互連網路中的本機子網路路徑,其目的地範圍與匯入路徑的目的地範圍相同。
  • 已超出每個區域各對等互連群組的動態路徑配額。
  • 這兩個 VPC 網路並未直接對等互連。虛擬私有雲網路對等互連不具遞移性。

如果符合其中一項條件,從對等互連的虛擬私有雲網路來看,混合式子網路就無法正常運作。

網路效能

混合式子網路會使用 OSI 模型的第 3 層,在來源網路和混合式子網路的 VPC 部分之間,轉送封包。這種做法有助於避免混合式子網路在遷移期間發生延遲、抖動和輸送量問題,因為部分工作負載位於來源網路,其他工作負載則已遷移至雲端。

特別是避免第 2 層通道,有助於防止與額外第 2 層疊加的封裝和加密相關的效能下降。此外,第 3 層路由可讓混合式子網路避開第 2 層通道的常見問題,也就是流量會先傳送至中央節點,再傳送至目的地,但目的地可能靠近流量的來源點。這個問題有時稱為「網路伸縮管」

Hybrid Subnets 的轉送方式表示,混合式子網路的效能與未使用 Hybrid Subnets 的網路效能相似或相同。

防火牆和混合型子網路

使用混合式子網路可避免相關挑戰,例如搭配防火牆使用封裝在第 2 層疊加網路中的流量。對於第 2 層流量,防火牆只能檢查疊加端點或其以上的封包,除非您採取特定措施,例如透明解密或對疊加流量進行深層檢查。

使用混合式子網路時,現有的防火牆和防火牆規則不需要特別考量。不過,您可能需要設定防火牆規則,確保 VM 可以與來源網路中的工作負載通訊。 Google Cloud

定價

使用混合式子網路不會產生額外費用,不過,您仍須支付混合式子網路中虛擬私有雲部分的資源和網路流量費用。

詳情請參閱虛擬私有雲定價

後續步驟