全球骨幹:設計網路
GCP 的網路是其「秘密武器」。與其他依賴公共互聯網連接區域的雲端不同,Google 擁有自己的全域私有光纖網絡。作為一位 Professional Cloud Architect,您的工作就是利用這一骨幹來建立安全、低延遲且高可用性的連線。
- VPC (虛擬私有雲): 本質上是全域性的。子網 (Subnet) 是區域性的。
- 混合雲連線: 將您的地端數據中心連接到 GCP。
- 負載平衡: 在全域或區域範圍內分配流量。
- 服務連線: 安全地存取 API 和服務。
「最優」網路設計需平衡 安全性 (隔離性) 與 連通性 (可達性)。
Google Cloud 內的私有、隔離網路。與其他雲端不同,GCP VPC 是一個 全域資源,允許不同區域的資源透過私有 IP 進行通訊,而無需經過公共互聯網。參考:https://cloud.google.com/vpc/docs/vpc
白話文解釋 網路架構設計
設計雲端網路就像為一座巨大的全域城市設計基礎設施。
類比 1 — 私人地下隧道 (VPC)
將 VPC 想像成您城市的私人地下隧道系統。您可以在城市的不同部分(區域)建造房間(子網)。因為隧道是私有的且由您擁有,所以您可以安全快速地在紐約的房間和倫敦的房間之間移動人員(數據),而無需讓他們走到外面面對公共街道的交通(公共互聯網)。
類比 2 — 高鐵 vs. 收費公路 (Interconnect vs. VPN)
將您的舊辦公室連接到新城市就像選擇通勤方式。
- HA VPN 就像是公共高速公路上的收費公路。它易於設置並使用現有道路(互聯網)。它是加密的,但如果高速公路上發生交通堵塞,您的通勤就會變慢。
- Cloud Interconnect 就像是建造一條從您的辦公室直接通往市中心的私人高鐵線。它的建造費用昂貴且耗時,但速度極快、可靠,且永遠不必處理高速公路的交通。
類比 3 — 全域交通調度員 (負載平衡器)
全域負載平衡器就像是站在城市入口處的超智慧交通調度員。當一位旅行者(用戶)從亞洲抵達時,調度員不會將他們送到紐約的飯店,而是將他們送到東京最近的一家完全相同的飯店。如果東京飯店客滿或關閉,調度員會立即將他們重新引導到下一個最近的健康飯店,旅行者甚至不會注意到變更。
在 PCA 考試中,如果題目提到 「全域故障轉移」 和 「單一 Anycast IP」,答案始終是 全域外部應用程式負載平衡器。參考:https://cloud.google.com/load-balancing/docs/load-balancing-overview
VPC 設計:共享 VPC vs. 對等互連 (Peering)
這是考試中常見的「架構決策」。
- 共享 VPC (Shared VPC): 對於大型組織是 「最優」 選擇。一個「宿主專案 (Host Project)」管理網路(VPC、子網、防火牆),而「服務專案 (Service Projects)」使用這些子網。這集中了控制權並簡化了治理。
- VPC 對等互連 (VPC Peering): 對於連接兩個獨立網路(例如兩家不同公司之間)是 「可行」 的。它允許私有 IP 通訊,但大規模管理時會變得複雜(不具備傳遞性)。
當 PCA 題目描述 中樞星狀 (hub-and-spoke) 拓樸、多個 VPC 之間都需互通時,VPC Peering 無法擴展,因為對等互連不具備傳遞性(A↔B 與 B↔C 並不會自動產生 A↔C)。在單一組織治理場景下請選 Shared VPC;若需要跨多個 VPC 與混合雲鏈路的真正傳遞性中樞,請選 Network Connectivity Center。參考:https://cloud.google.com/network-connectivity/docs/network-connectivity-center/concepts/overview
混合雲連線:VPN vs. Interconnect
- HA VPN: 用於中低頻寬(每條隧道高達 5 Gbps)或作為快速啟動解決方案。必須使用 BGP 進行動態路由才能實現「高可用性」。
- 專用互連 (Dedicated Interconnect): 用於高頻寬 (10G/100G) 和最高可靠性。需要在 Google 的主機代管設施進行物理連接。
- 夥伴互連 (Partner Interconnect): 如果您需要專用鏈路但不在 Google 的設施中,請使用此項——您透過 Equinix 或 AT&T 等服務提供商進行連接。
考試愛考的混合雲頻寬上限:HA VPN = 每條隧道最高 5 Gbps(HA 需搭配 BGP)、Dedicated Interconnect = 每條線路 10 Gbps 或 100 Gbps(僅限 Google colo 設施)、Partner Interconnect = 50 Mbps 至 50 Gbps(透過 Equinix、AT&T 等服務提供商)。要達到 99.99% SLA,必須在不同邊緣節點配置兩條 Interconnect 線路或兩個 HA VPN 閘道。
要為混合雲連線實現 99.99% 的 SLA,您必須在不同區域 / 邊緣節點擁有兩個物理連接 (Interconnect) 或兩個 HA VPN 閘道。參考:https://cloud.google.com/network-connectivity/docs/interconnect/concepts/topology-overview
負載平衡器選擇
- 全域外部應用程式 (HTTP/S): 用於網頁流量。提供 Anycast IP、網址映射 (URL maps) 和 Cloud Armor 整合。
- 區域外部應用程式: 用於流量必須保留在特定區域內的合規性要求。
- Proxy 網路負載平衡器: 用於非 HTTP 的 TCP/SSL 流量。
- 直通 (Passthrough) 網路負載平衡器: 用於高性能、非代理的流量 (UDP/TCP)。
Private Service Connect (PSC)
這是連接服務(如 Google API 或另一個 VPC 中的服務)而不使用公共 IP 或 VPC 對等互連的 「最優」 方式。它允許您將服務公開為自己 VPC 內部的私有端點 (IP),從而簡化安全狀況。
網路安全
- 階層式防火牆政策: 在機構 (Organization) 或資料夾層級套用規則,確保「安全護欄」在所有專案中得到強制執行。
- Cloud Armor: GCP 的 WAF。防禦 DDoS 攻擊和 OWASP Top 10(如 SQLi, XSS)。
- 身份感知代理 (IAP): 允許您在不使用 VPN 的情況下存取內部 App(如 SSH 或 Jenkins 儀表板),僅依賴身份和上下文。
在考試中,如果題目詢問如何在沒有公共 IP 的情況下從互聯網安全地連接到 VM 的內部 IP,如果 「IAP (身份感知代理)」 是一個選項,請不要選擇「VPN」。IAP 是現代、零信任的「最優」選擇。參考:https://cloud.google.com/iap/docs/concepts-overview
網路資源最優解 (Optimal) vs. 可行解 (Viable) 決策摘要
| 需求 | 可行解決方案 (Viable) | 最優解決方案 (Optimal) |
|---|---|---|
| 多專案網路 | VPC 對等互連 | 共享 VPC (集中式控制) |
| 混合雲連線 | 標準 VPN | HA VPN 或專用互連 |
| 全域網頁流量 | 區域負載平衡器 | 全域負載平衡器 + Cloud CDN |
| 內部 API 存取 | 公共 IP + 防火牆 | Private Service Connect (PSC) |
| 外部 VM 存取 | 堡壘機 (Bastion Host) | IAP (身份感知代理) |
FAQ — 網路架構設計
Q1. VPC 對等互連具備傳遞性 (Transitive) 嗎?
不具備。如果 VPC A 與 VPC B 對等,且 VPC B 與 VPC C 對等,則 A 和 C 不能 通訊。這就是為什麼對於複雜的中樞星狀 (Hub-and-spoke) 設計,偏好 共享 VPC 或 Network Connectivity Center。
Q2. 進階 (Premium) 與標準 (Standard) 網路層級有什麼區別?
- 進階 (預設): 儘可能在整個路徑中使用 Google 的私有骨幹網。速度更快且更可靠。
- 標準: 在靠近來源的地方就將流量交給公共互聯網。價格較便宜但性能較低。
Q3. 我應該什麼時候使用 Cloud Armor?
始終在任何面向互聯網的應用程式前放置 Cloud Armor。它是您防禦殭屍網路和網頁攻擊的第一道防線。
Q4. 我可以在兩個不同的 VPC 中擁有相同 IP 範圍的子網嗎?
可以,但您 不能對等互連它們。對於 VPC 之間的任何通訊,IP 範圍不得重疊。
Q5. 什麼是「Cloud NAT」?
它允許沒有公共 IP 的 VM 存取互聯網(用於更新等),而不允許互聯網主動發起與 VM 的連線。它是僅限私有 VPC 設計的關鍵工具。
最終架構師提示
「設計即全域」。GCP 網路由於其全域 VPC 和全域負載平衡器而獨樹一幟。在 PCA 考試中,始終傾向於透過使用這些全域功能來簡化網路的解決方案。除非場景明確禁止 IAP 或共享 VPC 等現代替代方案,否則請避免複雜的手動路由或堡壘機。