VPC 網路對等互連 (original) (raw)
虛擬私有雲網路對等互連
Google Cloud VPC 網路對等互連可連結兩個虛擬私有雲 (VPC) 網路,讓每個網路中的資源可以相互通訊。對等互連的虛擬私有雲網路可以位於同一專案、同一機構的不同專案,或不同機構的不同專案。
規格
虛擬私有雲網路對等互連可讓您執行下列操作:
- 在虛擬私有雲網路之間發布軟體即服務 (SaaS) 產品。
- 虛擬私有雲網路對等互連支援 Compute Engine、GKE 和 App Engine 彈性環境。
連線能力
- 虛擬私有雲網路對等互連支援連線 VPC 網路,但不支援舊版網路。
- 虛擬私有雲網路對等互連可讓成對的虛擬私有雲網路透過內部 IPv4 和 IPv6 連線。對等互連流量 (對等互連網路之間的流量) 的延遲時間、總處理量和可用性與同一個虛擬私有雲網路內的流量相同。
- 虛擬私有雲網路對等互連不提供遞移路徑。舉例來說,如果 VPC 網路
net-a和net-b是透過 VPC 網路對等互連連線,而 VPC 網路net-a和net-c也是透過 VPC 網路對等互連連線,則 VPC 網路對等互連不會在net-b和net-c之間提供連線。 - 您無法使用虛擬私有雲網路對等互連連線兩個自動模式虛擬私有雲網路。這是因為對等互連的虛擬私有雲網路一律會交換使用私人內部 IPv4 位址的子網路路徑,且自動模式虛擬私有雲網路中的每個子網路,都會使用符合
10.128.0.0/9CIDR 區塊的子網路 IP 位址範圍。 - 只要自訂模式虛擬私有雲網路沒有任何子網路 IP 位址範圍符合
10.128.0.0/9,您就可以將自訂模式虛擬私有雲網路連線至自動模式虛擬私有雲網路。
- 虛擬私有雲網路對等互連不提供遞移路徑。舉例來說,如果 VPC 網路
- 虛擬私有雲網路對等互連也會在虛擬私有雲網路對等互連交換前往這些目的地外部 IPv6 位址的路徑時,為下列資源的目的地外部 IPv6 位址範圍提供特定_外部_ IPv6 連線:
- 雙重堆疊和僅限 IPv6 的虛擬機器 (VM) 執行個體網路介面
- 外部通訊協定轉送作業的轉送規則
- 外部直通式網路負載平衡器的轉送規則
- 虛擬私有雲網路對等互連支援 IPv4 和 IPv6 連線。您可以在包含 IPv6 位址範圍子網路的虛擬私有雲網路上,設定虛擬私有雲網路對等互連。
管理
對等虛擬私人雲端網路在管理方面維持獨立運作。系統只會根據對等互連設定交換路由。詳情請參閱「關於對等互連連線」。
網路安全
透過 VPC 網路對等互連方式連線的 VPC 網路,只會根據每個 VPC 網路的網路管理員設定的路徑交換選項交換路徑。
虛擬私有雲網路對等互連「不會」交換「虛擬私有雲防火牆規則」或「防火牆政策」。
虛擬私有雲防火牆規則:
- 如果防火牆規則的目標是使用網路標記定義,則只會解析為防火牆規則虛擬私有雲網路中的執行個體。即使對等互連虛擬私有雲網路的安全管理員可以使用相同的網路標記,在對等互連虛擬私有雲網路中定義防火牆規則的目標,但對等互連虛擬私有雲網路中防火牆規則的目標不包含您虛擬私有雲網路中的執行個體。同樣地,如果輸入防火牆規則的來源是使用網路標記定義,則只會解析為防火牆規則虛擬私有雲網路中的執行個體。
- 使用服務帳戶定義目標的防火牆規則,只會解析為防火牆規則虛擬私有雲網路中的執行個體。視 IAM 權限而定,對等互連虛擬私有雲網路的安全管理員可能可以使用相同的服務帳戶,在對等互連虛擬私有雲網路中定義防火牆規則的目標,但對等互連虛擬私有雲網路中的防火牆規則目標不包含您虛擬私有雲網路中的執行個體。同樣地,使用服務帳戶定義來源的輸入防火牆規則,只會解析為防火牆規則虛擬私有雲網路中的執行個體。
網路防火牆政策中的規則可以使用安全標記 (與網路標記不同) 來識別目標和來源:
- 在網路防火牆政策中,使用標記指定輸入或輸出規則的目標時,標記只能識別標記範圍內的虛擬私有雲網路目標。
- 在網路防火牆政策中,使用標記指定輸入規則的來源時,標記可識別標記範圍內的虛擬私有雲網路_和_任何與標記範圍內的虛擬私有雲網路連線的對等互連虛擬私有雲網路中的來源。詳情請參閱「防火牆標記」。
每個虛擬私有雲網路都包含默示防火牆規則。由於隱含拒絕輸入的防火牆規則,每個虛擬私有雲網路的安全管理員_必須_建立允許輸入的防火牆規則,或防火牆政策中的規則。這些規則的來源可以包括對等互連虛擬私有雲網路的 IP 位址範圍。
由於有默示允許輸出防火牆規則,因此您不需要建立允許輸出的防火牆規則或防火牆政策中的規則,即可允許封包前往對等互連虛擬私有雲網路中的目的地,除非您的網路包含拒絕輸出的規則。
DNS 支援
對等互連的虛擬私有雲網路中的資源無法使用本機虛擬私有雲網路建立的 Compute Engine 內部 DNS 名稱。
對等互連的虛擬私有雲網路無法使用僅授權給本機虛擬私有雲網路的 Cloud DNS 代管私人區域。如要讓對等互連虛擬私有雲網路中的資源使用 DNS 名稱,請採用下列其中一種做法:
- 使用 Cloud DNS 對等互連區域。
- 授權 (顯示) 相同的代管私人區域給所有對等互連的 VPC 網路。
支援內部負載平衡器
本機虛擬私有雲網路中的用戶端可以存取對等互連虛擬私有雲網路中的內部負載平衡器。詳情請參閱下列負載平衡器說明文件的「_使用虛擬私有雲網路對等互連_」一節:
對等互連網路可以交換使用內部直通式網路負載平衡器做為下一個躍點的靜態路徑。詳情請參閱「路徑交換選項」。
對等互連群組和配額
VPC 對等互連配額取決於「對等互連群組」的概念。每個虛擬私有雲網路都有自己的對等互連群組,其中包含該網路本身,以及透過虛擬私有雲網路對等互連方式連線的所有其他虛擬私有雲網路。在最簡單的情況下,如果兩個 VPC 網路 (net-a 和 net-b) 彼此對等互連,則會有兩個對等互連群組:一個是從 net-a 的角度來看,另一個是從 net-b 的角度來看。
如要進一步瞭解虛擬私有雲網路對等互連配額,請參閱:
限制
VPC 網路對等互連有下列限制。
子網路 IP 範圍不得跨對等 VPC 網路重疊
在對等虛擬私有雲網路中,沒有子網路 IP 範圍能與另一個子網路 IP 範圍完全相符、包含或符合。進行對等互連時,Google Cloud 會檢查是否有 IP 範圍重疊的子網路;如有,對等互連就會失敗。如果是已對等的網路,當您執行會建立新子網路路徑的動作時,Google Cloud 新子網路路徑必須具有專屬的目的地 IP 位址範圍。
建立新的子網路之前,您可以先列出來自對等互連連線的路徑,確保新的子網路 IPv4 位址範圍未遭占用。
這項限制和 Google Cloud的相應檢查也適用於下列情況:
- 您的虛擬私有雲網路
network-1與第二個虛擬私有雲網路network-2建立對等互連。 network-2也與第三個虛擬私有雲網路network-3對等互連。network-3未與network-1對等互連。
在這種情況下,您必須與網路管理員協調,才能network-2。請網路管理員network-2列出其虛擬私有雲網路中的對等互連路徑。
如要進一步瞭解重疊檢查,請參閱「子網路和對等互連子網路路由互動」。
內部 DNS 名稱無法在對等互連網路中解析
對等互連網路無法存取在網路中建立的 Compute Engine 內部 DNS 名稱。如要連線到對等互連網路中的 VM 執行個體,請使用 VM 的 IP 位址。
標記和服務帳戶無法跨對等網路使用
您無法在其他對等互連網路的防火牆規則中,參照某個對等互連網路中 VM 的標記或服務帳戶。舉例來說,如果某個對等互連網路的輸入規則會根據標記篩選來源,則該規則只會套用至來自該網路的 VM 流量,而不會套用至對等互連網路,_即使_對等互連網路中的 VM 具有該標記也一樣。服務帳戶也適用相同情況。
路由交換選項
當虛擬私有雲網路與對等互連的虛擬私有雲網路共用本機路徑時,會_匯出_路徑。對等互連的虛擬私有雲網路隨後可以_匯入_這些路徑。系統一律會交換子網路路徑,但使用私用公開 IPv4 位址的 IPv4 子網路路徑除外。
虛擬私有雲網路對等互連設定可讓您控管下列項目:
- 如果交換 IPv6 路徑,設定雙重堆疊對接連線後,您就能交換雙重堆疊和僅限 IPv6 子網路的 IPv6 路由。
- 如果匯出或匯入使用私用公開 IPv4 位址的子網路路徑。
- 是否匯出或匯入靜態和動態路徑。
您可以在對等互連建立前或對等互連連線啟用時更新設定。
虛擬私有雲網路對接不提供下列功能:
- 可精細控管特定子網路路徑、靜態路徑和動態路徑的交換作業。
- 支援交換策略路由。
交換子網路路徑的選項
下表說明子網路路徑的交換選項:
| 路由類型 | 路線匯出條件 | 路線匯入條件 |
|---|---|---|
| 使用私人 IPv4 位址範圍的 IPv4 子網路路徑 (主要和次要 IPv4 子網路範圍) | 一律匯出 無法停用 | 一律匯入 無法停用 |
| 使用私用公開 IPv4 位址範圍的 IPv4 子網路路徑 (主要和次要 IPv4 子網路範圍) | 預設匯出 使用 --export-subnet-routes-with-public-ip 旗標控制匯出作業 | 預設不會匯入 匯入作業是使用 --import-subnet-routes-with-public-ip 標記控制 |
| 內部 IPv6 子網路範圍 (ipv6-access-type=INTERNAL) | 預設不會匯出 如要啟用匯出功能,請設定 --stack-type=IPV4_IPV6 | 預設不會匯入 設定 --stack-type=IPV4_IPV6 即可啟用匯入功能 |
| 外部 IPv6 子網路範圍 (ipv6-access-type=EXTERNAL) | 預設不會匯出 如要啟用匯出功能,請設定 --stack-type=IPV4_IPV6 | 預設不會匯入 設定 --stack-type=IPV4_IPV6 即可啟用匯入功能 |
交換靜態路線的選項
下表說明靜態路由的路由交換選項。
| 路由類型 | 路線匯出條件 | 路線匯入條件 |
|---|---|---|
| 具有網路標記的靜態路徑 (所有下一個躍點類型) | 無法匯出 | 無法匯入 |
| 使用預設網際網路閘道下一個躍點的靜態路徑 | 無法匯出 | 無法匯入 |
| 使用下一個躍點 (非預設網際網路閘道) 的 IPv4 靜態路徑 (不含網路標記) | 預設不會匯出 使用 --export-custom-routes 標記控制匯出作業 | 預設不會匯入 使用 --import-custom-routes 標記控制匯入作業 |
| 使用 VM 執行個體做為下一個躍點的 IPv6 靜態路由 (不含網路標記) | 預設不會匯出 如果對等互連的堆疊類型設為 --stack-type=IPV4_IPV6,則匯出作業會由 --export-custom-routes 標記控制 | 預設不會匯入 如要控制匯入作業,請在對等互連的堆疊類型設為 --stack-type=IPV4_IPV6 時使用 --import-custom-routes 標記 |
交換動態路徑的選項
下表說明動態路線的路線交換選項。
| 路由類型 | 路線匯出條件 | 路線匯入條件 |
|---|---|---|
| 動態 IPv4 路徑 | 預設不會匯出 使用 --export-custom-routes 標記控制匯出作業 | 預設不會匯入 使用 --import-custom-routes 標記控制匯入作業 |
| 動態 IPv6 路徑 | 預設不會匯出 如果對等互連的堆疊類型設為 --stack-type=IPV4_IPV6,則匯出作業會由 --export-custom-routes 標記控制 | 預設不會匯入 如要控制匯入作業,請在對等互連的堆疊類型設為 --stack-type=IPV4_IPV6 時使用 --import-custom-routes 標記 |
交換靜態和動態路徑的優點
當一個虛擬私有雲網路匯出靜態和動態路徑,而另一個虛擬私有雲網路匯入這些路徑時,匯入網路可將封包直接傳送至每個匯入靜態或動態路徑的下一個躍點,這些路徑的下一個躍點位於對等互連虛擬私有雲網路中。
本機虛擬私有雲網路的網路管理員可使用 --export-custom-routes 旗標,控管該網路的靜態和動態路由匯出作業。對等互連虛擬私有雲網路的網路管理員,可使用 --import-custom-routes 標記控制這些靜態和動態路徑的匯入作業。詳情請參閱「遭忽略的路徑」、「子網路和對等互連子網路路徑互動」和「子網路和靜態路徑互動」。
從對等互連的虛擬私有雲網路匯入靜態和動態路徑,在下列情況中會很有用:
- 如果對等互連的虛擬私有雲網路包含以路徑為基礎的 GKE 叢集,且您需要將封包傳送至這些叢集中的 Pod。Pod IP 位址會實作為對等互連虛擬私有雲網路中靜態路由的目的地範圍。
- 如果需要在地端部署網路和對等互連的虛擬私有雲網路之間提供連線。假設本機 VPC 網路包含動態路由,且路由的下一個躍點是 Cloud VPN 通道、Cloud Interconnect 互連網路連結 (VLAN) 或路由器設備,可連線至地端部署網路。如要提供從對等互連虛擬私有雲網路到地端部署網路的路徑,本機虛擬私有雲網路的網路管理員會啟用自訂路由匯出功能,而對等互連虛擬私有雲網路的網路管理員則會啟用自訂路由匯入功能。如要提供從地端部署網路到對等互連虛擬私有雲網路的路徑,本機虛擬私有雲網路的網路管理員必須在管理 Cloud VPN 通道、互連網路連結 (VLAN) 或路由器設備 BGP 工作階段的 Cloud Router 上,設定 Cloud Router 自訂通告模式,這些資源會連線至地端部署網路。這些自訂通告路徑的內容必須包含對等互連虛擬私有雲網路的子網路 IP 位址範圍。
已忽略的路徑
即使虛擬私有雲網路匯入路徑,在下列情況下仍可忽略匯入的路徑:
- 如果本機虛擬私有雲網路有目的地相同或更明確 (子網路遮罩較長) 的路由,本機虛擬私有雲網路一律會使用本機路由。
- 如果本機虛擬私有雲網路不含封包目的地的最明確路由,但兩個以上的對等互連虛擬私有雲網路含有封包的相同最明確目的地,Google Cloud 會使用內部演算法,_從其中一個對等互連虛擬私有雲網路中選取下一個躍點_。這項選取作業會在_考量路徑優先順序之前_進行,且您無法設定這項行為。建議您避免使用這項設定,因為新增或移除對等互連的 VPC 網路可能會導致轉送順序發生非預期的變更。
如要進一步瞭解上述情況,請參閱轉送順序。
如果是雙重堆疊對接,如果匯入 IPv6 路由的本機虛擬私有雲網路沒有任何雙重堆疊或僅限 IPv6 的子網路,就無法使用從對接虛擬私有雲網路收到的任何 IPv6 路由。此外,如果已設定constraints/compute.disableAllIpv6機構政策限制,網路管理員可能無法建立含有 IPv6 位址範圍的子網路。
子網路和對等互連子網路路徑互動
對等互連 VPC 網路中的 IPv4 子網路路徑不得重疊:
- 對等互連禁止使用相同的 IPv4 子網路路徑。舉例來說,兩個對等互連的 VPC 網路不能同時擁有目的地為
100.64.0.0/10的 IPv4 子網路路徑。 - 對等互連會禁止子網路路由_包含在_對等互連子網路路由中。舉例來說,如果本機虛擬私有雲網路有目的地為
100.64.0.0/24的子網路路徑,則任何對等互連的虛擬私有雲網路都不能有目的地為100.64.0.0/10的子網路路徑。
在下列情況下,Google Cloud 會強制執行 IPv4 子網路路徑的上述條件:
- 首次使用 VPC 網路對等互連連線到 VPC 網路時。
- 網路對等互連期間。
- 變更對等互連設定,例如啟用匯入採用私用公開 IP 位址的子網路 IPv4 路由。
對等互連網路時,如果下列任何作業導致重疊, Google Cloud 就會傳回錯誤:
IPv6 子網路路由 (包括內部和外部) 根據定義是獨一無二。兩個 VPC 網路不得使用相同的內部或外部 IPv6 子網路範圍。舉例來說,如果某個虛擬私有雲網路使用 fc:1000:1000:1000::/64 做為 IPv6 子網路範圍,則 Google Cloud 中的其他虛擬私有雲網路都無法使用 fc:1000:1000:1000::/64,無論虛擬私有雲網路是否透過虛擬私有雲網路對等互連連線。
子網路和靜態路徑互動
Google Cloud 規定子網路路徑和對等互連子網路路徑必須具有最明確的目的地 IPv4 或 IPv6 範圍。在任何虛擬私有雲網路中,本機靜態路由的目的地都不能與本機子網路路由完全相符,或位於本機子網路路由內。如要進一步瞭解這個情境,請參閱「與靜態路徑的互動」。
以下兩項規則將這個概念延伸至虛擬私有雲網路對等互連:
- 本機靜態路徑的目的地不能與對等互連子網路路徑完全相符,也不能位於對等互連子網路路徑內。如果存在本機靜態路徑,Google Cloud 會強制執行下列事項:
- 如果對等互連設定會匯入衝突的子網路路由,您就無法與已包含子網路路由的虛擬私有雲網路建立新的對等互連連線,因為該子網路路由與本機靜態路由的目的地完全相符或包含該目的地。例如:
* 如果存在目的地為10.0.0.0/24的本機靜態路徑,您就無法與包含 IPv4 子網路路徑的虛擬私有雲網路建立新的對等互連連線,因為該路徑的目的地與10.0.0.0/24完全相符,或是包含10.0.0.0/24(例如10.0.0.0/8)。
* 如果預期的對等互連堆疊類型為IPV4_IPV6,且存在目的地為2001:0db8:0a0b:0c0d::/96的本機靜態路徑,您就無法與包含 IPv6 子網路路徑的虛擬私有雲網路建立新的對等互連連線,因為該路徑的目的地與2001:0db8:0a0b:0c0d::/96完全相符或包含2001:0db8:0a0b:0c0d::/96。在這種情況下,唯一可能的子網路 IPv6 位址範圍是2001:0db8:0a0b:0c0d::/64,因為 Google Cloud 中的子網路 IPv6 位址範圍必須使用 64 位元子網路遮罩長度。 - 如果更新後的對等互連設定會匯入衝突的子網路路徑,您就無法更新現有的對等互連連線。例如:
* 假設兩個虛擬私有雲網路已對等互連,但未透過私用公開 IPv4 位址範圍匯出及匯入 IPv4 子網路路徑。第一個虛擬私有雲網路中存在目的地為11.0.0.0/24的本機靜態路徑,對等互連的虛擬私有雲網路中存在目的地為11.0.0.0/8的子網路路徑。您無法同時設定對等互連的虛擬私有雲網路,透過私用公開 IPv4 位址匯出子網路路徑_,並_設定第一個虛擬私有雲網路,透過私用公開 IPv4 位址匯入子網路路徑。
* 假設兩個虛擬私有雲網路已建立對等互連,且對等互連堆疊類型僅為 IPv4。第一個虛擬私有雲網路中存在目的地為2001:0db8:0a0b:0c0d::/96的本機靜態路徑,而對等互連虛擬私有雲網路中存在目的地為2001:0db8:0a0b:0c0d::/64的 IPv6 子網路路徑。您無法將對等互連堆疊類型變更為IPV4_IPV6。 - 反之,如果 VPC 網路_已透過_ VPC 網路對等互連方式連線,您_無法_執行下列作業:
* 建立新的本機靜態路由,其目的地會完全符合或位於匯入的對等互連子網路路由內。
* 如果對等互連虛擬私有雲網路中的現有本機靜態路由與該範圍完全相符或包含該範圍,請在對等互連虛擬私有雲網路中建立新的子網路位址範圍。
- 如果對等互連設定會匯入衝突的子網路路由,您就無法與已包含子網路路由的虛擬私有雲網路建立新的對等互連連線,因為該子網路路由與本機靜態路由的目的地完全相符或包含該目的地。例如:
- 對等互連靜態路徑的目的地不能與本機子網路路徑完全相符,也不能位於本機子網路路徑內。如果存在本機子網路路徑,Google Cloud 會禁止下列事項:
- 如果對等互連設定會從對等互連網路匯入靜態路徑,且該路徑與本機虛擬私有雲網路子網路路徑的目的地完全相符或位於其中,您就無法與已包含這類靜態路徑的虛擬私有雲網路建立新的對等互連連線。舉例來說:
* 如果存在10.0.0.0/8的本機子網路路由,您就無法與具有靜態路由的虛擬私有雲網路建立對等互連連線,該靜態路由的目的地必須與10.0.0.0/8完全相符,或位於10.0.0.0/8內 (例如10.0.0.0/24)。
* 如果預期的對等互連堆疊類型為IPV4_IPV6,且存在2001:0db8:0a0b:0c0d::/64的本機子網路路徑,您就無法與具有靜態路由的虛擬私有雲網路建立對等互連連線,因為該靜態路由的目的地與2001:0db8:0a0b:0c0d::/64完全相符,或位於2001:0db8:0a0b:0c0d::/64內 (例如2001:0db8:0a0b:0c0d::/96)。 - 如果更新後的對等互連設定會導致匯入衝突的靜態路徑,您就無法更新現有的對等互連連線。
- 反之,如果 VPC 網路_已透過_ VPC 網路對等互連方式連線,您_無法_執行下列作業:
* 建立新的本機子網路路徑,目的地與匯入的對等互連靜態路徑完全相符或包含該路徑。
* 在對等互連的虛擬私有雲網路中建立新的靜態路徑,其目的地會完全符合或位於現有的本機子網路路徑內。
- 如果對等互連設定會從對等互連網路匯入靜態路徑,且該路徑與本機虛擬私有雲網路子網路路徑的目的地完全相符或位於其中,您就無法與已包含這類靜態路徑的虛擬私有雲網路建立新的對等互連連線。舉例來說:
動態轉送模式的影響
虛擬私有雲網路的動態路由模式會決定從該網路的 Cloud Router 取得的前置字元,要套用為本機動態路由的區域。如要進一步瞭解這個行為,請參閱動態轉送模式的影響。
這個概念也適用於虛擬私有雲網路對等互連。_匯出_虛擬私有雲網路 (包含已瞭解這些動態路由前置字元的 Cloud Router) 的動態轉送模式,決定了對等互連動態路由可在對等互連網路中設定的區域:
- 如果匯出虛擬私有雲網路的動態轉送模式為地區性,則該網路只會匯出與其 Cloud Router 學習到前置字元所在區域相同的動態路由。
- 如果匯出虛擬私有雲網路的動態路由模式為全域,則該網路會匯出所有區域的動態路由。
在這兩種情況下,匯入 VPC 網路的動態轉送模式並不重要。
如需說明這項行為的範例,請參閱本機虛擬私有雲網路和對等互連虛擬私有雲網路與地端部署連線。
子網路和動態路徑互動
本機或對等互連子網路路由與動態路由之間的衝突,會按照「與動態路由的互動」一節所述方式解決。
虛擬私有雲網路對等互連範例
以下範例說明兩種常見的 VPC 網路對等互連情境。
本機虛擬私有雲網路和對等互連虛擬私有雲網路,具備地端部署連線
在本範例中,設定的網路對等互連如下:
network-a對等連線至network-b,network-b對等連線至network-a。network-a包含兩個子網路,每個子網路都位於不同區域。network-b包含單一子網路。network-b使用動態轉送功能,透過 Cloud VPN 通道連線至地端部署網路。(如果以 Cloud Interconnect VLAN 連結取代通道,也適用相同原則)。network-b的對等互連連線已設定--export-custom-routes旗標,network-a的對等互連連線則已設定--import-custom-routes旗標。
具備全域動態轉送,可存取地端部署網路的對等網路 (按一下可放大)。
如要從地端部署網路連線至 network-a 和 network-b 中的子網路,network-b 中的 Cloud Router _必須_設定為使用自訂通告模式。舉例來說,Cloud Router 只會通告自訂前置字元 custom-prefix-1,其中包含 network-b 的子網路範圍和 network-a 的子網路範圍。
us-west1 中的 Cloud Router 會on-premises-prefix從地端部署路由器取得路徑。on-premises-prefix 不會造成任何衝突,因為它_比_子網路和對等互連子網路路徑更廣。換句話說,on-premises-prefix 不完全相符,也不_符合_任何子網路或對等互連子網路路徑。
下表總結上述範例中指定的網路設定:
| 網路名稱 | 網路元件 | IPv4 範圍 | IPv6 範圍 | 區域 |
|---|---|---|---|---|
| network-a | subnet-a | 10.0.0.0/24 | fc:1000:1000:1000::/64 | us-west1 |
| network-a | subnet-b | 10.0.1.0/24 | fc:1000:1000:1001::/64 | europe-north 1 |
| network-b | subnet-c | 10.0.2.0/23 | fc:1000:1000:1002::/64 | us-west1 |
| network-b | Cloud Router | 10.0.0.0/22 | fc:1000:1000:1000::/64 | us-west1 |
| 地端部署網路 | 地端部署路由器 | 10.0.0.0/8 | fc:1000:1000:1000::/56 | 不適用 |
無論 network-a 的動態轉送模式為何,都適用下列轉送特性:
- 如果
network-b的動態轉送模式為全域,則 Cloud Router 在network-b中取得的On-premises prefix會新增為network-b所有區域中的動態路徑_,並_新增為network-a所有區域中的對等互連動態路徑。如果防火牆規則設定正確,vm-a1、vm-a2和vm-b就能與 IPv4 位址為10.5.6.7(或 IPv6 位址為fc:1000:1000:10a0:29b::) 的地端部署資源通訊。 - 如果
network-b的動態路由模式變更為區域,則network-b中 Cloud Router 取得的On-premises prefix只會新增為network-bus-west1區域的動態路由,以及network-aus-west1區域的對等互連動態路由。如果防火牆規則設定正確,只有vm-a1和vm-b可以與 IPv4 位址為10.5.6.7(或 IPv6 位址為fc:1000:1000:10a0:29b::) 的地端部署資源通訊,因為這是與 Cloud Router 位於相同區域的唯一 VM。
具有多個對等互連的轉運網路
假設 network-b 連線至地端部署網路,並做為其他兩個網路 (network-a 和 network-c) 的_傳輸網路_。如要讓這兩個網路中的 VM 僅使用內部 IP 位址存取 network-b 和已連線的內部部署網路,請進行下列設定:
network-a對等連線至network-b,network-b對等連線至network-a。network-c對等連線至network-b,network-b對等連線至network-c。network-b使用動態轉送功能透過 Cloud VPN 通道連線到地端部署網路。如果以 Cloud Interconnect VLAN 連結取代通道,也適用相同原則。- 如要提供從地端部署到
network-a、network-b和network-c中子網路的連線能力,請將network-b中的 Cloud Router 設為使用自訂通告模式。舉例來說,Cloud Router 會通告network-b的子網路路由,以及涵蓋network-a和network-c中子網路路由的自訂前置字元。 - 受子網路和動態路徑互動影響,
network-b中的 Cloud Router 會取得地端部署前置字元,並在network-b中建立動態路徑。
- 如要提供從地端部署到
- 從
network-b到network-a,以及從network-b到network-c的對等互連連線,都已設定--export-custom-routes旗標。從network-a到network-b,以及從network-c到network-b的對等互連連線,都已設定--import-custom-routes旗標。- 視子網路和動態路徑互動而定,
network-b中的 Cloud Router 也會在network-a和network-c中建立對等互連動態路徑。
- 視子網路和動態路徑互動而定,
虛擬私有雲中繼網路 (按一下即可放大)。
如果防火牆設定正確,可能會出現下列連線情境:
network-a中的 VM 執行個體可以連線至network-b中的其他 VM 和地端部署系統。network-c中的 VM 執行個體可以連線至network-b中的其他 VM 和地端部署系統。network-b中的 VM 執行個體可以連線至network-a和network-c中的其他 VM,以及地端部署網路中的系統。
由於 VPC 網路對等互連不具遞移性,除非您也使用 VPC 網路對等互連功能連線至網路 network-a 和 network-c,否則 network-a 和 network-c 中的 VM 執行個體無法彼此通訊。
定價
虛擬私有雲網路對等互連適用一般網路定價。
後續步驟
- 如要瞭解如何管理虛擬私有雲網路對等互連連線,請參閱「關於對等互連連線」。
- 如要設定及排解虛擬私有雲網路對等互連問題,請參閱「設定及管理虛擬私有雲網路對等互連」。