examlab .net 用最有效率的方法,考取最有價值的證照
支持
本篇導覽 約 19 分鐘

配置混合雲與多雲連通性

3,700 字 · 約 19 分鐘閱讀 ·

Professional Cloud Architect 深入解析 GCP 上的 HA VPN、專屬與夥伴互連 (Interconnect)、Cloud Router、BGP 以及多雲連通模式。

立即做 20 題練習 → 免費 · 不用註冊 · PCA

混合雲與多雲連通性簡介

在現代企業中,數據和應用程式很少局限於單一雲端。一位 Professional Cloud Architect 必須設計強健、安全且高效的鏈路,連接 Google Cloud、地端資料中心以及其他雲端供應商(如 AWS、Azure)。

GCP 提供多種連通性選項,從公共網際網路 (VPN) 到私有、高頻寬的實體連接 (Interconnect)。選擇取決於頻寬需求延遲敏感度成本以及安全需求

一種 Cloud VPN 解決方案,透過 IPsec VPN 連接安全地將地端網路連接到 VPC 網路,並提供 99.99% 的服務水準協議 (SLA)。它需要在 Cloud VPN 閘道上配置兩個介面。參考:https://cloud.google.com/network-connectivity/docs/vpn/concepts/overview

白話文解釋 混合雲與多雲連通性

連接不同的網路就像連接被山脈隔開的兩座城市。

類比 1 — 公共公路 vs. 私人鐵路 (VPN vs. Interconnect)

  • Cloud VPN 就像是公共公路。除了通行費(數據費用)外,它可以免費使用,但您必須與其他人共享。它可能會擁堵,且天氣(網際網路不穩定)會影響您的旅程。您使用裝甲車(加密)來確保安全。
  • Cloud Interconnect 就像是專門為您公司建造的私人鐵路線。沒有其他人會使用它。它速度快、穩定,且可以承載巨大的負荷。它的建設和維護成本更高,但這是每天移動 10,000 噸貨物(數據)的唯一方法。

類比 2 — 萬能翻譯員 (Cloud Router & BGP)

使用 BGP (邊界閘道協定)Cloud Router 就像是貿易峰會上的萬能翻譯員。您的地端網路說「地端語」,而 GCP 說「雲端語」。如果沒有 BGP,您必須手動寫下每一個路由(靜態路由),這既乏味又容易出錯。BGP 允許雙方自動宣佈:「嘿,我這裡有這些新資料夾(子網路)可用」,確保地圖永遠是最新的。

類比 3 — 中央樞紐 (Network Connectivity Center)

網路連通性中心 (NCC) 就像是全球航空公司的中央樞紐。與其在每個城市之間建立零散、混亂的航班,所有航班都通過樞紐進行。NCC 讓您在一個地方管理 VPN、Interconnect 和 SD-WAN,從而簡化全球網絡管理。

在 PCA 考試中,如果場景要求混合鏈路具備「99.99% 的可用性」,您必須使用 HA VPN 或具有冗餘配置的 Interconnect。參考:https://cloud.google.com/network-connectivity/docs/how-to/choose-product

設置 HA VPN 隧道

HA VPN 是透過網際網路進行安全、加密連接的標準。

  • 拓撲: 需要從 GCP 端建立兩條隧道,連接到兩個不同的地端端點(或一個具有兩個 IP 的端點)。
  • 路由: HA VPN 強制要求使用 動態路由 (BGP)
  • SLA: 僅在正確配置兩條隧道的情況下,才保證 99.99% 的可用性。

專屬互連 (Dedicated) vs. 夥伴互連 (Partner)

當網際網路無法滿足需求時,請使用 Interconnect。

  • 專屬互連 (Dedicated Interconnect): 在您的硬體與 Google 邊緣節點之間建立實體 10G 或 100G 鏈路。最適合大規模數據傳輸。
  • 夥伴互連 (Partner Interconnect): 透過第三方供應商(如 Equinix 或 AT&T)提供的連通性。如果您已經在供應商的資料中心,或者需要低於 10G 的頻寬,這是理想選擇。

PCA 場景要求私有鏈路具備 99.99% SLA 時,必須採用 Dedicated Interconnect,部署兩條電路分別連到兩個不同的 Google Edge Availability Domain (EAD),並終結在兩台不同的地端路由器上 — 單條 10G/100G 電路僅能達到 99.9%。若題目限制頻寬低於 10G 或排除自有 colocation 機房,則改用 Partner Interconnect 搭配冗餘 VLAN attachment。

配置 Cloud Router 與 BGP

Cloud Router 允許在您的 VPC 與外部網絡之間動態交換路由。

  • ASN (自治系統編號): 您需要為地端端申請一個私有 ASN(例如在 64512-65534 範圍內)。
  • 保持連通計時器 (Keepalive Timers): 決定檢測故障的速度。
  • 路由宣佈: 您可以選擇宣佈所有子網路或僅宣佈特定子網路。

多雲連通模式

連接 GCP 與 AWS 或 Azure:

  • 基於網際網路的 VPN: 最簡單但最不可控。
  • 跨雲互連 (Cross-Cloud Interconnect, CCI): 由 Google 管理的連接到其他雲端的實體鏈路。這是追求高性能多雲連接的現代架構師首選
  • 第三方交換中心: 使用 Megaport 等供應商來橋接不同雲端。

網路連通性中心 (NCC)

NCC 是網絡管理的「中樞與輻輳 (Hub-and-Spoke)」模型。

  • 中樞 (Hub): 專案中的中心資源。
  • 輻輳 (Spokes): 連接到中樞的 VPN、Interconnect 或路由設備 (Router Appliances)。
  • VPC 到 VPC: NCC 也可以管理不同 VPC 之間的連通性,甚至是跨專案的連接。

混合鏈路故障排除

  • BGP 會話中斷: 檢查 ASN 是否匹配、防火牆規則(允許 TCP 179)以及共享密鑰 (Shared Secret)。
  • 延遲問題: 檢查是否存在非優化路由或物理距離。使用 Cloud Monitoring 追蹤隧道吞吐量。
  • MTU 不匹配: 標準 MTU 為 1500,但 VPN 通常需要 1460 或 1440。不匹配會導致封包分段。

頻寬與延遲優化

  • LACP (鏈路聚合): 結合多個專屬互連電路,以實現更高的頻寬和冗餘。
  • 全球路由 (Global Routing): 啟用全球動態路由,允許單個 Cloud Router 學習 VPC 中所有區域的路由。

互連鏈路上的加密

Interconnect 是私有的,但預設情況下不加密

  • 解決方案: 如果您的行業要求實體線路上的數據傳輸必須加密,請使用 基於 Interconnect 的 IPsec VPN(也稱為 HA VPN over Interconnect)。

架構師常誤以為 Dedicated Interconnect 因為是「私有」實體線路就自帶加密 — 其實沒有。鏈路只在 Layer 2 隔離,傳輸中的資料仍是明文,因此 PCI-DSS 或 HIPAA 工作負載必須在其上疊一層 HA VPN over Interconnect。反方向的陷阱:不要選 Direct Peering 來存取 VPC 工作負載 — Direct Peering 只通往 Google 的公共服務(Workspace、YouTube),不會接到您的 VPC 子網路。

題目描述「將多個分公司、VPN 與 Interconnect 編織成全球 mesh」時,預期答案是 Network Connectivity Center (NCC) — 其 hub-and-spoke 模型讓 VPN、Dedicated/Partner Interconnect、Router Appliance 與 VPC 透過單一 Hub 共享路由。搭配 Cloud Router 啟用 全球動態路由 (global dynamic routing),即可由一台 Router 學到 VPC 內所有區域的路由,不必逐區建立 peering。

混合連通性關鍵數字:HA VPN SLA 99.99%(需 2 條 tunnel + BGP)、單條 Interconnect 電路 SLA 99.9%雙 EAD Dedicated Interconnect SLA 99.99%。地端對等使用的私有 ASN 範圍為 64512–65534。BGP 走 TCP port 179(防火牆必須放行)。標準 MTU 為 1500,但 VPN tunnel 通常須設為 1460 或 1440 才能避免封包分段。

路由宣佈與過濾

防止「路由洩漏 (Route Leaking)」或「橋接環路」。

  • 自定義宣佈: 僅發送您希望對方知道的路由。
  • 入站過濾: 僅接受您預期從地端路由器收到的路由。

FAQ — 混合雲與多雲連通性

Q1. 我可以在 HA VPN 中使用靜態路由嗎?

不可以。HA VPN 要求使用動態路由 (BGP),以確保在一條隧道發生故障時,流量能自動切換到另一條隧道,無需人工干預。

Q2. 「互連 (Interconnect)」與「對等連接 (Peering)」有什麼區別?

互連(專屬/夥伴)用於將您的網絡連接到您的 GCP VPC。對等連接(直接/承載業者)用於將您的網絡連接到 Google 的公共服務(如 Google Workspace 或 YouTube),而不經過 VPC。

Q3. 專屬互連如何實現 99.99% 的可用性?

您必須至少擁有兩個電路,分別連接到兩個不同的 Google 邊緣可用性域 (EAD) 以及兩台不同的地端路由器。

Q4. 跨雲互連 (Cross-Cloud Interconnect) 需要我自己擁有資料中心嗎?

不需要。跨雲互連是 Google 管理的雲對雲連接。您不需要實體硬體;您只需要在兩個雲端中都有 VPC。

Q5. 如果我的 BGP 會話一直顯示為「待處理 (Pending)」該怎麼辦?

這通常意味著兩台路由器可以看到彼此,但無法達成參數一致。請檢查並確認兩端的 本機 ASN對等 ASN 以及 BGP IP 位址 完全匹配。

最終架構師提示

在 PCA 考試中,請務必記住 直接對等連接 (Direct Peering) 不是 VPC 連通性解決方案。如果問題詢問如何將您的 VM 連接到地端資料庫,答案會是 VPN 或 Interconnect。如果問題詢問如何讓員工更快存取 YouTube,答案則可能是直接對等連接。

官方資料來源

更多 PCA 主題