【GCP教學】如何設計安全且可靠的架構來連接混合雲與多雲環境

擁有 Data center 和其他雲端環境的企業可能會想透過 Google Cloud 上的 Service 來分析資料,如果要這麼做企業必須要保證連線到 Google Cloud 的安全性,總觀來說 Google Cloud 提供了一些方式來建立高安全性且高可靠的架構。可以透過以下的服務由 Google Cloud 連線到混合雲與多雲環境:

  • Cloud VPN
  • Cloud Interconnect
  • Cross-Cloud Interconnect

此外,能夠透過 Cloud router、Firewall polices、Network virtual appliances、VPC Service Controls 來控制資料能夠安全地連線。這次會透過兩個架構來呈現這次的內容,第一個架構使用 Cloud Interconnect,第二個架構透過 Network Connectivity Center 來集中管理與外部的連線。

使用 Cloud Interconnect 來連接地端與雲端網路環境

Google Cloud 的 Cloud Interconnect 提供了高可用性、低延遲、專用 IP 通訊連接到您的地端雲端環境。Cloud Interconnect 擁有以下三種模式來對應不同的使用情境:

  • Dedicated Interconnect 提供起始於 10GB 的連線速度,直接與 Google Cloud 專線連線。適合重視頻寬要求的使用者。
  • Parner Interconnect 提供起始於 50MB 的連線速度,透過專線連接 Service Provider 來連線到 Google Cloud,Service Provider 是與 Google Cloud 有專線連接的。適合不需使用 Dedicated Interconnect 那麼大的頻寬的使用者。
  • Cross-Cloud Interconnect 提供 10GB 和 100GB 的連線速度來直接連線到其他雲端上。

接著透過範例來展示使用 Direct Interconnect 來連線到 On-prem(地端) 和使用 Cross-Cloud Interconnect 來連線到其他雲端上。

使用 Cloud Interconnect 來連接地端與雲端網路環境
icon/enlarge

範例的架構透過這些元素來建立:

GCP Cloud Router : 

透過在不同 Region 建立 Cloud Router 來分別連線到 On-Prem 和其他雲端上,以VLAN Attachment 提供 Cloud Interconnect 的 data link(OSI Layer 2) 連線,使用 eBGP 進行路由交換,且以兩條連線來確保網路連線的冗餘。在 us-east1 Region 上以 Direct Interconnect 來連線,並透過 BGP ASN 64515 和地端進行路由交換。在 us-cental1 Region 上透過 Cross-Cloud Interconnect 來連線到其他雲端上,並透過 BGP ASN 64515 和其他雲端進行路由交換。

On-Prem Router :

透過一對 Router 來建立有冗餘的 Direct Interconnect 到 Google Cloud 上,使用 BGP ASN 64514 來和 GCP Cloud Router 進行路由交換。

其他雲端的 Router :

透過一對 Router 來建立有冗餘的 Cross-Cloud Interconnect 到 Google Cloud 上,使用 BGP ASN 64513 來和 GCP Cloud Router 進行路由交換。

External BGP(eBGP):

BGP 全名 Border Gateway Protocol 是一種動態路由協定,負責動態交換路由,讓使用者能夠宣告連接兩端可使用的路由。

完成了以上的設置後就能夠讓外部環境與 Google Cloud 互相連通了。

Network Connectivity Center

Network Connectivity Center 讓您能夠以 Google Cloud 上的單一集中式邏輯中心管理 Google Cloud、On-prem 和其他雲端的連線,讓網路能夠完美整合且簡化管理。

接著透過範例來展示一個其他雲端和三個 On-Prem Site 是如何透過不同連線方式到 Network Connectivity Center 上集中管理的架構:

Network Connectivity Center 能夠以 Google Cloud 上的單一集中式邏輯中心管理 Google Cloud、On-prem 和其他雲端的連線,讓網路得以整合。
icon/enlarge

範例的架構透過這些元素來建立:

Connection options:

  • Cloud VPN:On-prem 透過 Cloud VPN 來連線到 Google Cloud 上。
  • Cloud Interconnect:透過 Cloud Interconnect 來連接兩個 On-prem 環境和一個其他雲端到 Google Cloud 上。

Network Connectivity Center:

這個範例的 Network Connectivity Center 正與其他網路環境互動。 讓我們探討一下 Network Connectivity Center 是如何運作的。

  • Spokes:不同的 Connection options 可以連接到 On-prem 和其他雲端上來和 Google Cloud 建立網路連線,但這些連線沒辦法以類似的方法相互溝通,將這些連線透過加入 Network Connectivity Center 的 Spokes 能夠允許他們互相連線,並實施相對應的管理政策。
  • Network Connectivity Center:允許加入的 Spokes 互相連線。這個範例中多個不同的 On-Prem 網路環境連接到了 Google Cloud 上想要互相溝通,可以透過將他們加到 Network Connectivity Center 的 Spokes 來允許資料交換。
  • Data Exchange: 為了讓 Spokes 能夠在 Network Connectivity Center 內順利連線,必須開啟 Site-to-Site 的資料傳輸選項。

透過這種設計可以讓您使用 Google 的高速骨幹網路(High-speed Network backbone)來提高網路使用效率,且能夠減少基礎設施的管理成本。

 

本文編譯自 Connecting hybrid and multicloud workloads - Networking Architecture

撰文者:Ora Lee/專注於 Infra 與 Network 架構設計,持續探索新技術的工程師

訂閱 CloudMile 電子報

所有 CloudMile 最新消息、產品動態、活動資訊和特別優惠,立即掌握。