为 Hybrid Subnets 连接做好准备

本页面介绍了为 Hybrid Subnets 连接准备来源网络和 VPC 网络的步骤。

准备工作

• 请参阅关于使用 Hybrid Subnets 迁移到 Google Cloud 。
• 确定您计划与混合子网搭配使用的来源网络分段的 IP 地址范围。
• 确定或创建 VPC 网络。
• 对于多区域配置，或者如果您需要跨区域连接，Google 建议您为 VPC 网络启用全局动态路由。
• 在 VPC 网络中，确定或创建一个子网，该子网的主要内部 IPv4 地址范围与您计划与混合子网搭配使用的来源网络分段相匹配。
• 如需使用本指南中的命令行示例，请安装或更新到最新版本的 Google Cloud CLI。
• 在 Google Cloud 项目中启用 Compute Engine API。如需了解详情，请参阅 Compute Engine API。
• 在 Google Cloud 项目中启用 Network Connectivity API。如需了解详情，请参阅 Network Connectivity API。

所需的角色

如需获得创建混合子网所需的权限，请让您的管理员为您授予项目的 Compute Network Admin (roles/compute.networkAdmin) IAM 角色。如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

将 VPC 网络连接到来源网络

混合子网需要在 VPC 网络和来源网络之间建立连接。源网络可以是本地网络或其他 VPC 网络。

如果将 VPC 网络连接到本地网络，则连接必须属于以下类型之一：

• 一对高可用性 VPN 隧道
• 专用互连的 VLAN 连接
• 合作伙伴互连的 VLAN 连接

如果将一个 VPC 网络连接到另一个 VPC 网络，则连接必须是一对高可用性 VPN 隧道。

如需有关选择连接类型的帮助，请参阅选择 Network Connectivity 产品。

如需配置混合连接，请参阅以下内容：

• 创建连接到对等 VPN 网关的高可用性 VPN 网关
• 创建专用互连 VLAN 连接
• 创建合作伙伴互连 VLAN 连接

配置自定义路由通告

配置混合连接时，您需要创建 Cloud Router 路由器。将 Cloud Router 路由器的 BGP 会话配置为仅通告自定义路由。 现在不要添加任何路由；在后续步骤中，您将为每个迁移的虚拟机添加自定义路由。

如果您要配置连接两个 VPC 网络的混合子网，请将两个路由器的 BGP 会话配置为仅通告自定义路由。

配置防火墙规则

如需确保 Google Cloud 虚拟机 (VM) 实例可以与来源网络中的工作负载和使用混合子网 IP 地址范围的 Google Cloud 虚拟机通信，请执行以下操作：

• 在 Google Cloud中，在防火墙政策中创建入站流量允许防火墙规则，以允许来自与混合子网关联的 IP 地址范围中的所有数据包。

  隐式允许出站流量防火墙规则允许来自 Google Cloud 虚拟机的出站流量。如果您在防火墙政策中创建了出站流量拒绝防火墙规则或出站流量拒绝规则，则需要创建出站流量允许规则以允许数据包发送到与混合子网关联的 IP 地址范围。

  您可以使用规则的目标参数将防火墙规则的范围限定为特定虚拟机。如需了解详情，请参阅以下主题：

  • VPC 防火墙规则
  • 防火墙政策

• 以类似的方式在来源网络中配置防火墙。

为本地网络配置路由

如果您的源网络位于本地，请完成以下部分中的步骤，以配置本地路由。

如果您的来源网络是另一个 VPC 网络，则无需完成以下部分中的步骤。

为本地网络启用代理 ARP

为本地网络启用代理 ARP。如需了解详情，请参阅代理 ARP 和 Hybrid Subnets。

如需了解如何启用代理 ARP，请参阅代理 ARP 解决方案的文档。

通告混合子网的 IP 地址范围

将来源网络配置为通告您要用于混合子网的 IP 地址范围分段。此 IP 地址范围必须与混合子网的 VPC 部分的主要内部 IPv4 地址范围相匹配。

如需了解如何配置路由通告，请参阅路由器的文档。

后续步骤

• 如需创建混合子网，请参阅创建混合子网。