準備 Hybrid Subnets 連線

本頁說明如何準備來源網路和虛擬私有雲網路，以進行混合式子網路連線。

事前準備

• 請參閱「關於遷移至 Google Cloud 混合型子網路」。
• 找出來源網路中要與混合式子網路搭配使用的區隔 IP 位址範圍。
• 找出或建立虛擬私有雲網路。
• 如果是多區域設定，或您預期會有跨區域連線，Google 建議您為 VPC 網路啟用全域動態轉送。
• 在虛擬私有雲網路中，找出或建立主要內部 IPv4 位址範圍與來源網路區隔相符的子網路，並規劃與混合式子網路搭配使用。
• 如要使用本指南提供的指令列範例，請安裝或更新至最新版 Google Cloud CLI。
• 在 Google Cloud 專案中啟用 Compute Engine API。詳情請參閱 Compute Engine API。
• 在 Google Cloud 專案中啟用 Network Connectivity API。詳情請參閱 Network Connectivity API。

必要的角色

如要取得建立混合式子網路所需的權限，請要求管理員授予您專案的Compute 網路管理員 (roles/compute.networkAdmin) IAM 角色。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色，取得必要權限。

將虛擬私有雲網路連線至來源網路

混合式子網路需要虛擬私有雲網路與來源網路之間的連線。來源網路可以是內部部署網路或其他虛擬私有雲網路。

如要將虛擬私有雲網路連線至內部部署網路，連線必須屬於下列類型：

• 一對高可用性 VPN 通道
• 專屬互連網路的 VLAN 連結
• 合作夥伴互連網路的 VLAN 連結

如要將虛擬私有雲網路連線至另一個虛擬私有雲網路，連線必須是一對高可用性 VPN 通道。

如需連線類型選擇方面的協助，請參閱「選擇網路連線產品」。

如要設定混合式連線，請參閱下列文章：

• 建立連結至對等互連 VPN 閘道的高可用性 VPN 閘道
• 建立專屬互連網路 VLAN 連結
• 建立合作夥伴互連網路 VLAN 連結

設定自訂路徑通告

設定混合式連線時，您會建立 Cloud Router。將 Cloud Router 的 BGP 工作階段設定為只通告自訂路徑。現在請勿新增任何路徑，稍後您會為每個遷移的 VM 新增自訂路徑。

如果您要設定混合式子網路來連結兩個虛擬私有雲網路，請將兩個路由器的 BGP 工作階段設定為只通告自訂路徑。

設定防火牆規則

如要確保虛擬機器 (VM) 執行個體可以與來源網路中的工作負載，以及使用混合式子網路 IP 位址範圍的 VM 通訊，請完成下列步驟： Google Cloud Google Cloud

• 在 Google Cloud中，建立防火牆允許輸入規則或防火牆政策中的規則，允許來自與混合式子網路相關聯 IP 位址範圍的所有封包。

  默示允許輸出防火牆規則允許從 VM 輸出流量。 Google Cloud 如果您已建立防火牆政策中的輸出拒絕防火牆規則或輸出拒絕規則，則必須建立輸出允許規則，允許封包傳輸至與混合式子網路相關聯的 IP 位址範圍。

  您可以使用規則的目標參數，將防火牆規則的範圍限定為特定 VM。如需詳細資訊，請參閱：

  • 虛擬私有雲防火牆規則
  • 防火牆政策

• 以類似方式設定來源網路中的防火牆。

設定內部部署網路的路徑

如果來源網路位於內部部署環境，請完成下列各節的步驟，設定內部部署路由。

如果來源網路是另一個虛擬私有雲網路，則不需要完成下列各節的步驟。

為地端部署網路啟用 Proxy ARP

為地端網路啟用代理 ARP。詳情請參閱「Proxy ARP 和 Hybrid Subnets」。

如要瞭解如何啟用 Proxy ARP，請參閱 Proxy ARP 解決方案的說明文件。

通告混合式子網路的 IP 位址範圍

設定來源網路，通告要用於混合式子網路的 IP 位址範圍區隔。這個 IP 位址範圍必須與混合式子網路的虛擬私有雲部分主要內部 IPv4 位址範圍相符。

如要瞭解如何設定路由通告，請參閱路由器的說明文件。

後續步驟

• 如要建立混合子網路，請參閱「建立混合子網路」一文。