【GCP教學】如何設計安全且可靠的架構來連接混合雲與多雲環境

擁有 Data center 和其他雲端環境的企業可能會想透過 Google Cloud 上的 Service 來分析資料，如果要這麼做企業必須要保證連線到 Google Cloud 的安全性，總觀來說 Google Cloud 提供了一些方式來建立高安全性且高可靠的架構。可以透過以下的服務由 Google Cloud 連線到混合雲與多雲環境：

• Cloud VPN
• Cloud Interconnect
• Cross-Cloud Interconnect

此外，能夠透過 Cloud router、Firewall polices、Network virtual appliances、VPC Service Controls 來控制資料能夠安全地連線。這次會透過兩個架構來呈現這次的內容，第一個架構使用 Cloud Interconnect，第二個架構透過 Network Connectivity Center 來集中管理與外部的連線。

使用 Cloud Interconnect 來連接地端與雲端網路環境

Google Cloud 的 Cloud Interconnect 提供了高可用性、低延遲、專用 IP 通訊連接到您的地端雲端環境。Cloud Interconnect 擁有以下三種模式來對應不同的使用情境：

• Dedicated Interconnect 提供起始於 10GB 的連線速度，直接與 Google Cloud 專線連線。適合重視頻寬要求的使用者。
• Parner Interconnect 提供起始於 50MB 的連線速度，透過專線連接 Service Provider 來連線到 Google Cloud，Service Provider 是與 Google Cloud 有專線連接的。適合不需使用 Dedicated Interconnect 那麼大的頻寬的使用者。
• Cross-Cloud Interconnect 提供 10GB 和 100GB 的連線速度來直接連線到其他雲端上。

接著透過範例來展示使用 Direct Interconnect 來連線到 On-prem(地端) 和使用 Cross-Cloud Interconnect 來連線到其他雲端上。

範例的架構透過這些元素來建立：

GCP Cloud Router : 

透過在不同 Region 建立 Cloud Router 來分別連線到 On-Prem 和其他雲端上，以VLAN Attachment 提供 Cloud Interconnect 的 data link(OSI Layer 2) 連線，使用 eBGP 進行路由交換，且以兩條連線來確保網路連線的冗餘。在 us-east1 Region 上以 Direct Interconnect 來連線，並透過 BGP ASN 64515 和地端進行路由交換。在 us-cental1 Region 上透過 Cross-Cloud Interconnect 來連線到其他雲端上，並透過 BGP ASN 64515 和其他雲端進行路由交換。

On-Prem Router :

透過一對 Router 來建立有冗餘的 Direct Interconnect 到 Google Cloud 上，使用 BGP ASN 64514 來和 GCP Cloud Router 進行路由交換。

其他雲端的 Router :

透過一對 Router 來建立有冗餘的 Cross-Cloud Interconnect 到 Google Cloud 上，使用 BGP ASN 64513 來和 GCP Cloud Router 進行路由交換。

External BGP(eBGP)：

BGP 全名 Border Gateway Protocol 是一種動態路由協定，負責動態交換路由，讓使用者能夠宣告連接兩端可使用的路由。

• ASN(autonomous system number) - BGP 用來辨識每一個自治區的唯一辨識碼。這個範例中使用了 64513 64514 64515 作為各個網路環境的 BGP ASN。
• Routes - GCP 限制了每一個 Cloud Router 的路由配額(Quota)，詳細的限制可以參考 Cloud Router Quotas and Limits 。可以透過 Route Summarization 來精簡路由數量來避免達到配額上限。

完成了以上的設置後就能夠讓外部環境與 Google Cloud 互相連通了。

Network Connectivity Center

Network Connectivity Center 讓您能夠以 Google Cloud 上的單一集中式邏輯中心管理 Google Cloud、On-prem 和其他雲端的連線，讓網路能夠完美整合且簡化管理。

接著透過範例來展示一個其他雲端和三個 On-Prem Site 是如何透過不同連線方式到 Network Connectivity Center 上集中管理的架構：

範例的架構透過這些元素來建立：

Connection options:

• Cloud VPN：On-prem 透過 Cloud VPN 來連線到 Google Cloud 上。
• Cloud Interconnect：透過 Cloud Interconnect 來連接兩個 On-prem 環境和一個其他雲端到 Google Cloud 上。

Network Connectivity Center:

這個範例的 Network Connectivity Center 正與其他網路環境互動。 讓我們探討一下 Network Connectivity Center 是如何運作的。

• Spokes：不同的 Connection options 可以連接到 On-prem 和其他雲端上來和 Google Cloud 建立網路連線，但這些連線沒辦法以類似的方法相互溝通，將這些連線透過加入 Network Connectivity Center 的 Spokes 能夠允許他們互相連線，並實施相對應的管理政策。
• Network Connectivity Center：允許加入的 Spokes 互相連線。這個範例中多個不同的 On-Prem 網路環境連接到了 Google Cloud 上想要互相溝通，可以透過將他們加到 Network Connectivity Center 的 Spokes 來允許資料交換。
• Data Exchange： 為了讓 Spokes 能夠在 Network Connectivity Center 內順利連線，必須開啟 Site-to-Site 的資料傳輸選項。

透過這種設計可以讓您使用 Google 的高速骨幹網路(High-speed Network backbone)來提高網路使用效率，且能夠減少基礎設施的管理成本。

本文編譯自 Connecting hybrid and multicloud workloads - Networking Architecture

撰文者：Ora Lee／專注於 Infra 與 Network 架構設計，持續探索新技術的工程師