【GCP教學】如何設計安全且可靠的架構來連接混合雲與多雲環境

擁有 Data center 和其他雲端環境的企業可能會想透過 Google Cloud 上的 Service 來分析資料，如果要這麼做企業必須要保證連線到 Google Cloud 的安全性，總觀來說 Google Cloud 提供了一些方式來建立高安全性且高可靠的架構。可以透過以下的服務由 Google Cloud 連線到混合雲與多雲環境：

Cloud VPN
Cloud Interconnect
Cross-Cloud Interconnect

此外，能夠透過 Cloud router、Firewall polices、Network virtual appliances、VPC Service Controls 來控制資料能夠安全地連線。這次會透過兩個架構來呈現這次的內容，第一個架構使用 Cloud Interconnect，第二個架構透過 Network Connectivity Center 來集中管理與外部的連線。

使用 Cloud Interconnect 來連接地端與雲端網路環境

使用 Cloud Interconnect 來連接地端與雲端網路環境

Google Cloud 的 Cloud Interconnect 提供了高可用性、低延遲、專用 IP 通訊連接到您的地端雲端環境。Cloud Interconnect 擁有以下三種模式來對應不同的使用情境：

Dedicated Interconnect 提供起始於 10GB 的連線速度，直接與 Google Cloud 專線連線。適合重視頻寬要求的使用者。
Parner Interconnect 提供起始於 50MB 的連線速度，透過專線連接 Service Provider 來連線到 Google Cloud，Service Provider 是與 Google Cloud 有專線連接的。適合不需使用 Dedicated Interconnect 那麼大的頻寬的使用者。
Cross-Cloud Interconnect 提供 10GB 和 100GB 的連線速度來直接連線到其他雲端上。

接著透過範例來展示使用 Direct Interconnect 來連線到 On-prem(地端) 和使用 Cross-Cloud Interconnect 來連線到其他雲端上。

範例的架構透過這些元素來建立：

GCP Cloud Router :

透過在不同 Region 建立 Cloud Router 來分別連線到 On-Prem 和其他雲端上，以VLAN Attachment 提供 Cloud Interconnect 的 data link(OSI Layer 2) 連線，使用 eBGP 進行路由交換，且以兩條連線來確保網路連線的冗餘。在 us-east1 Region 上以 Direct Interconnect 來連線，並透過 BGP ASN 64515 和地端進行路由交換。在 us-cental1 Region 上透過 Cross-Cloud Interconnect 來連線到其他雲端上，並透過 BGP ASN 64515 和其他雲端進行路由交換。

On-Prem Router :

透過一對 Router 來建立有冗餘的 Direct Interconnect 到 Google Cloud 上，使用 BGP ASN 64514 來和 GCP Cloud Router 進行路由交換。

其他雲端的 Router :

透過一對 Router 來建立有冗餘的 Cross-Cloud Interconnect 到 Google Cloud 上，使用 BGP ASN 64513 來和 GCP Cloud Router 進行路由交換。

External BGP(eBGP)：

BGP 全名 Border Gateway Protocol 是一種動態路由協定，負責動態交換路由，讓使用者能夠宣告連接兩端可使用的路由。

ASN(autonomous system number) - BGP 用來辨識每一個自治區的唯一辨識碼。這個範例中使用了 64513 64514 64515 作為各個網路環境的 BGP ASN。
Routes - GCP 限制了每一個 Cloud Router 的路由配額(Quota)，詳細的限制可以參考 Cloud Router Quotas and Limits 。可以透過 Route Summarization 來精簡路由數量來避免達到配額上限。

完成了以上的設置後就能夠讓外部環境與 Google Cloud 互相連通了。

Network Connectivity Center

Network Connectivity Center 能夠以 Google Cloud 上的單一集中式邏輯中心管理 Google Cloud、On-prem 和其他雲端的連線，讓網路得以整合。

Network Connectivity Center 讓您能夠以 Google Cloud 上的單一集中式邏輯中心管理 Google Cloud、On-prem 和其他雲端的連線，讓網路能夠完美整合且簡化管理。

接著透過範例來展示一個其他雲端和三個 On-Prem Site 是如何透過不同連線方式到 Network Connectivity Center 上集中管理的架構：

範例的架構透過這些元素來建立：

Connection options:

Cloud VPN：On-prem 透過 Cloud VPN 來連線到 Google Cloud 上。
Cloud Interconnect：透過 Cloud Interconnect 來連接兩個 On-prem 環境和一個其他雲端到 Google Cloud 上。

Network Connectivity Center:

這個範例的 Network Connectivity Center 正與其他網路環境互動。讓我們探討一下 Network Connectivity Center 是如何運作的。

Spokes：不同的 Connection options 可以連接到 On-prem 和其他雲端上來和 Google Cloud 建立網路連線，但這些連線沒辦法以類似的方法相互溝通，將這些連線透過加入
Network Connectivity Center 的 Spokes 能夠允許他們互相連線，並實施相對應的管理政策。 Network Connectivity Center：允許加入的 Spokes 互相連線。這個範例中多個不同的 On-Prem 網路環境連接到了 Google Cloud 上想要互相溝通，可以透過將他們加到 Network Connectivity Center 的 Spokes 來允許資料交換。
Data Exchange：為了讓 Spokes 能夠在 Network Connectivity Center 內順利連線，必須開啟 Site-to-Site 的資料傳輸選項。

透過這種設計可以讓您使用 Google 的高速骨幹網路(High-speed Network backbone)來提高網路使用效率，且能夠減少基礎設施的管理成本。

本文編譯自 Connecting hybrid and multicloud workloads - Networking Architecture

撰文者：Ora Lee／專注於 Infra 與 Network 架構設計，持續探索新技術的工程師