本文可協助雲端架構師和作業專業人員判斷如何將 Google Cloud 與其他雲端服務供應商 (CSP) 連線,如 Amazon Web Services (AWS) 和 Microsoft Azure。在多雲端設計中,CSP 之間的連線可讓虛擬網路之間進行資料移轉。本文也提供如何實作所選選項的資訊。
許多機構會在多個雲端平台上運作,可能是在遷移期間採用多個雲端平台做為臨時措施,或是基於機構有長期多雲端策略而採用多個雲端平台。
本文探討 Google Cloud 與其他 CSP 之間資料交換的多種選項:
- 在網際網路上透過公開 IP 位址轉移資料。
- 在 GCP 與其他 CSP 之間使用代管 VPN 服務。 Google Cloud
- 在 Google Cloud 上使用合作夥伴互連網路,連接可直接與其他 CSP 連線的合作夥伴。
- 在 Google Cloud 上使用專屬互連網路,透過常用的服務點 (PoP) 將資料轉移到其他 CSP。
- 在 Google Cloud 上使用 Cross-Cloud Interconnect,以便與其他 CSP 建立受管理的連線。
這些選項在轉移速度、延遲時間、可靠性、服務水準協議 (SLA)、複雜性和成本方面有所不同。本文詳述每個選項及其優缺點,最後將比較所有選項。
本文探討Google Cloud 中的虛擬機器與其他 CSP 虛擬網路之間的資料移轉。如要轉移儲存在其他Google Cloud 產品 (例如 Cloud Storage 和 BigQuery) 中的資料,請參閱提及這些產品的小節。
本文可做為評估 Google Cloud 與一或多個其他 CSP 之間資料轉移選項的參考,請依據您的需求和能力進行選擇。
本文所述概念可以適用多種情況:
- 當您規劃在短期內轉移大量資料時,例如為了執行資料遷移專案。
- 如果您在多個雲端供應商之間執行連續資料移轉,比如這是因為您的運算工作負載在另一個 CSP 上執行,而您的大數據工作負載卻使用 GCP 時。 Google Cloud
初步考慮
在選擇如何連接您的雲端環境之前,請務必查看您在每個環境中選擇的地區,以及您是否有轉移非虛擬網路環境中資料的策略。
選擇雲端地區
如果 Google Cloud 和其他 CSP 資源所在地區地理位置接近,則雲端供應商之間的資料移轉具有成本和低延遲優勢。
下圖說明 Google Cloud與其他 CSP 之間的資料流動過程。
無論移轉方法為何,資料都會從 Google Cloud 流向其他 CSP,如下所示:
- 從託管資源的 Google Cloud 區域到 Google 的邊緣 PoP。
- 透過 GCP 與其他 CSP 之間的第三方設備。 Google Cloud
- 從其他 CSP 的邊緣 PoP 到資源位於其他 CSP 網路內的地區。
從其他 CSP 流向 Google Cloud 的資料會沿著相同路徑傳輸,但方向相反。
端對端路徑決定資料移轉的延遲時間。在某些情況下,當兩個供應商的邊緣 PoP 不在同一個都會區時,網路成本也會增加。以下每種解決方案的定價部分會提供詳細說明。
請確定在每個可託管您預定工作負載的雲端中選擇合適的地區。請前往 Google Cloud 據點頁面以及其他 CSP 的類似頁面,例如 AWS 區域表或依區域提供的 Azure 產品。如需在 Google Cloud選擇一或多個位置的一般說明,請參閱「選擇 Compute Engine 地區的最佳做法」一文。
轉移 Cloud Storage 和 BigQuery 中的資料
預設情況下,只有留存在 Google Cloud VPC 環境中的資料,才會透過 Cloud VPN 通道或 Cloud Interconnect 連線傳遞。
如果您想將資料移入或移出其他 Google 服務,可從其他 CSP 環境中使用私人 Service Connect 和內部部署主機的私人 Google 存取權。
如果您想要轉移其他 CSP 的物件儲存、資料庫、資料倉儲或其他產品,請參閱相關說明文件,確認資料是否能透過其互連網路或代管 VPN 產品傳遞。否則,您也許可以透過 Proxy 虛擬機器來傳遞這類資料,您會在各自的 CSP 環境中設定 Proxy 虛擬機器以使資料經由特定的連線傳遞。
如要將資料轉移到 Cloud Storage 或 BigQuery,您也可以使用 Storage 移轉服務或 BigQuery 移轉服務。
在網際網路上透過外部 IP 位址轉移
在 Google Cloud 和另一個 CSP 之間轉移資料的最簡單方式,就是利用網際網路,然後使用外部 IP 位址轉移資料。
下圖說明了這個解決方案的要素。
在 Google 的網路邊緣和其他 CSP 的網路邊緣之間,資料會透過網際網路傳遞,或使用 GCP 與其他 CSP 之間的直接對等互連。 Google Cloud 資料只能在指派了公開 IP 位址的資源之間傳遞。
Google 如何連結其他網路
Google 邊緣 PoP 是 Google 網路連線至其他網路的地方,這些網路共同組成網際網路。Google 在全球許多地點皆設有辦公室。
在網際網路上,每個網路都會指派一個自治系統編號 (ASN),涵蓋網路的內部網路基礎架構和路徑。Google 的主要 ASN 為 15169。
網路可以透過兩種主要方式,將流量傳送至 Google 或從 Google 接收流量:
- 向已連上 Google 的網際網路服務供應商 (ISP) 購買網際網路服務 (AS15169)。這個選項通常稱為「IP 轉送」,類似於消費者和企業在住家和企業中向存取服務供應商購買的服務。
- 直接與 Google 聯絡 (AS15169)。這個選項稱為「對等互連」,可讓聯播網直接向 Google (AS15169) 傳送及接收流量,而無需使用第三方聯播網。在大量規模下,對等互連通常比轉送更受青睞,因為網路作業人員可以更有效地控管流量交換方式和位置,進而提升效能和成本。對等互連是一種自願系統;當選擇對等互連時,網路營運商會共同決定要連線的設施、要提供多少頻寬、如何分攤基礎架構成本,以及設定連線所需的其他詳細資料。AS15169 採用開放對等互連政策,也就是說只要網路符合技術規定,Google 就會與其對等互連。
對等互連是兩個獨立網路之間的私人互惠協議,因此網路通常不會公開揭露與特定位置的對等互連對象、可用的頻寬等資訊。但由於 Google 規模龐大且採開放政策,因此我們與多個地點和區域的幾乎所有主要 ISP 和雲端服務供應商直接對等互連。Google 網路團隊會直接與這些網路的對應團隊合作,提供足夠的對等互連容量來滿足需求。
如要進一步瞭解網際網路對等互連的運作方式,請參閱 網際網路對等互連 Playbook。
導入作業
在此設定中,所有會在Google Cloud 和其他雲端服務供應商之間轉移資料的虛擬機器,都必須具有公開 IP 位址。此外,防火牆必須打開,才能允許從另一個雲端供應商的公開 IP 位址進行連線,不需要額外步驟,因為資料交換會發生在現有的網際網路連線上。
移轉速度和延遲時間
雖然透過網際網路的路徑沒有保證速度和延遲時間,但通常主要 CSP 和 Google 會直接在世界各地的多個地點交換資料。雖然容量會與其他客戶和服務共享,但通常由於兩個供應商之間會直接連線,所以延遲時間與其他選項差不多或更低。
建議您測試 Google Cloud與所選地地區中其他 CSP 之間的延遲時間和頻寬。您可以使用 iperf 或 netperf 等工具進行快速基準測試,或者根據您的應用程式執行更完整的自訂基準測試。雖然條件可能隨著時間而發生變化,但基準測試能提供可預期的效能指示,並指出此解決方案是否滿足您的需求。如果您在兩個環境之間需要專屬頻寬,則應選擇其他解決方案。
請注意,不同廠商的產品可能具有不一致的效能特性。舉例來說,每個通道的 IPsec VPN 容量可能因供應商而異。
安全性
網際網路上的流量沒有加密,並且可能透過第三方網際網路服務供應商 (ISP)、自治系統和設備傳遞。因此,您應該在應用程式層將敏感流量加密,或選擇其他解決方案。
可靠性和服務水準協議 (SLA)
Google Cloud 通常具有多種不同的地區網際網路連線路徑,並且可與全球多個地點的其他主要 CSP 直接對等互連。
不過, Google Cloud 不提供任何透過網際網路連接其他 CSP 的 SLA。雖然您應該檢查其他 CSP 的 SLA,但這些 SLA 通常僅指整個網際網路連線,而不是特定的供應商。
供應商可能有不同的轉送政策,這可能會影響供應情形。舉例來說,Amazon 在其 peeringdb 頁面中說明,許多 AWS 區域只會宣告本機路徑,因為 AWS VPC 僅限於區域 (Google Cloud VPC 是全球性的)。這表示客戶可能會依賴單一對等連線位置的連結,因為離開 Google Cloud 的流量只能使用這些連結才能到達目的地。在正常運作情況下,這項做法並無問題,且流量會在區域內交換,但建議客戶為多地區部署作業進行架構設計,以便容許區域性故障。這可能包括在第三方雲端中設定額外的閘道和通道、虛擬網路對等互連,或其他多區域拓撲。
應用程式也應以「失敗開放」的方式建構,如 Google SRE 在 SRE 書籍中所述。舉例來說,如果您建立的應用程式需要透過網際網路路由連線至第三方服務,請務必確保應用程式在連線發生問題時仍能正常運作,或至少能向使用者傳回實用的錯誤訊息。
如果發生網際網路路由問題,Google 網路團隊會嘗試恢復與第三方的連線。不過,並非所有問題都由 Google 控管。因此,在某些情況下,修復作業可能需要第三方 (ISP 或雲端服務供應商) 採取修復動作。客戶對營運商如何回應服務中斷事件影響最大,因此請務必確保所有供應商都提供支援,並在發生問題時提報問題。並定期執行 BCP (業務持續性程序) 演練,確保在多雲端架構中建構的應用程式具備復原力。
定價
透過網際網路進行資料移轉時,離開 Google Cloud的流量會依標準網際網路輸出費率計費。在延遲時間不重要的情況下,使用標準網路服務級別可有較低的定價分級。
其他 CSP 有自己的資料移轉收費標準。許多情況下,他們只收取網路的輸出流量費用。請參閱您的 CSP 價目表,例如,如要瞭解 AWS 的價目表,請查看 EC2 資料移轉費用,如果是 Azure,則請參閱頻寬定價詳細資訊。
雲端供應商之間的代管 VPN
您可以使用兩個雲端供應商的代管 VPN 服務,這樣做有兩個好處:這項服務會在兩個雲端環境的虛擬網路之間提供加密通道,並讓您使用私人 IP 位址轉移資料。這是延伸先前透過網際網路傳輸的解決方案,無需任何硬體或合作夥伴。
下圖說明了這個解決方案的要素。
採用這個解決方案時,會使用 Cloud VPN 和其他 CSP 的 VPN 解決方案加密 GCP 上的資料。 Google Cloud Google Cloud 和其他 CSP 之間的資料移轉則使用網際網路,跟之前的解決方案一樣。
導入作業
Google 提供的 高可用性 VPN 是加密 IPsec 通道的代管 VPN 服務,可在 Google 端使用。其他 CSP 則提供自己的代管 VPN 產品,您可使用這個產品建構兩個環境間的 IPsec VPN 通道。例如,AWS 提供 AWS Site-to-Site VPN,Azure 則提供 Azure VPN 閘道。您可以使用 VPN 通道,在環境之間連結虛擬網路。
您可以使用單獨的高可用性 VPN 連線至其他 CSP,也可以將高可用性 VPN 設為Network Connectivity Center 混合式輻條。您可以使用 Network Connectivity Center 透過集中管理連線至內部部署位置、虛擬私有雲網路和其他雲端。
HA VPN 沒有內建網路位址轉譯 (NAT) 功能。不過,您可以在連線上啟用 Hybrid NAT。
在全球動態轉送模式下使用 Cloud Router 時,您可以只使用連線至該區域的 VPN 通道,連線到全球 VPC 網路中的所有區域。對於其他 CSP,您可能需要為每個地區建立 VPN 通道。如果雲端環境中有多個未對等互連的虛擬網路,則必須使用 VPN 分別連接所有需要相互通訊的虛擬網路。
Google Cloud 提供互通性指南,其中包含如何設定連接其他主要雲端供應商的 VPN 通道的逐步操作說明:
移轉速度和延遲時間
使用代管 VPN 通道時,資料會遵循與未使用 VPN 通道時大致相同的網際網路路徑。觀察到的延遲時間應與前一個選項類似,VPN 通道的延遲時間很少。可用頻寬受限於 GCP 上每個 VPN 通道的最大頻寬 Google Cloud、其他 CSP 通道的最大頻寬,以及網際網路路徑的可用頻寬。
如需更高的頻寬,您可以部署額外的通道。如要進一步瞭解如何部署這類解決方案,請參閱高可用性 VPN 拓撲,可提高頻寬。
您可以按照最後一節的說明測試延遲情況和頻寬,但條件可能隨時間而變化,並且無法保證延遲時間或頻寬。
安全性
IPsec VPN 通道上的流量會藉由使用兩個 CSP 接受的加密方式進行加密。詳情請參閱 Cloud VPN 支援的 IKE 加密方式、AWS VPN 常見問題和 Azure VPN IPsec/IKE 參數。
可靠性和服務水準協議 (SLA)
Cloud VPN 提供SLA。其他 CSP 有時會在其代管 VPN 產品上提供服務水準協議,例如 AWS Site-to-Site VPN SLA 和 Azure VPN 閘道 SLA。不過,這些服務水準協議僅涵蓋 VPN 閘道可用性,並不包括透過網際網路與其他 CSP 的連線能力,因此這個端對端解決方案沒有服務水準協議。
如要增加可靠性,可考慮在 Google Cloud 和其他 CSP 上同時使用其他 VPN 閘道和通道。
定價
代管 VPN 服務會收取費用; Google Cloud適用每小時收費,請參閱 Cloud VPN 定價。其他 CSP 請查閱相關價目表,例如請參閱 AWS Site-to-Site VPN 連接定價或 Azure VPN 閘道定價說明。
除了 VPN 服務的每小時定價之外,您還必須為透過 VPN 閘道轉移的資料付費。 Google Cloud 和許多 CSP 的標準網際網路資料移轉費用如在網際網路上透過外部 IP 位址轉移所述。在許多情況下,資料移轉費用會超過這個解決方案的固定費用。
合作夥伴互連網路搭配支援多雲端的合作夥伴
合作夥伴互連網路可讓您透過提供直接多雲端解決方案的特定合作夥伴網路,將虛擬私人雲端連接到其他 CSP 的虛擬網路。您可以部署一或多個會處理必要邊界閘道通訊協定 (BGP) 設定的虛擬轉送執行個體來進行連接。
下圖顯示使用兩個合作夥伴互連網路連線的備援設定。
系統會透過提供互連網路的合作夥伴所代管的虛擬轉送執行個體,在 Cloud Router 和其他 CSP 端的閘道之間交換路徑。流量會透過Google Cloud 和其他 CSP 之間的合作夥伴網路傳輸。
導入作業
這個解決方案需要設定多個元件:
- 在 Google Cloud 這端,您需要與互連網路服務供應商建立合作夥伴互連網路,該服務供應商為您的 Google Cloud 地區提供服務,並提供與其他 CSP 的多雲端連線能力。
- 在其他 CSP 上,您必須使用其互連網路產品連接同一個合作夥伴。例如在 AWS 上,您可以使用 Direct Connect,在 Azure 則可使用 ExpressRoute。
- 在服務供應商合作夥伴端,您必須設定提供 BGP 工作階段給 Google Cloud 和其他 CSP 的虛擬轉送設備。
您可以使用合作夥伴互連網路單獨連線,也可以將合作夥伴互連網路設為網路連線中心混合型輻條。您可以使用 Network Connectivity Center 透過集中管理連線至內部部署位置、虛擬私有雲網路和其他雲端。
如果兩個 CSP 環境之間的 IP 位址空間重疊,您可以在連線上啟用 Hybrid NAT。
移轉速度和延遲時間
這個解決方案提供 GCP 與其他 CSP 之間的專屬容量。 Google Cloud 根據合作夥伴和其他 CSP,可用的連結容量可能有所不同。在 Google Cloud 端,合作夥伴互連網路的連結容量介於 50 Mbps 和 50 Gbps 之間。
這個解決方案的延遲時間是以下各項的加總值:
- 在Google Cloud 上託管資源的地區與合作夥伴連接 Google Cloud的互連網路位置之間的延遲時間。
- 從合作夥伴網路往返或經由虛擬轉送執行個體連至其他 CSP 的延遲時間。
- 來自其他 CSP 邊緣位置的延遲時間,其中與夥伴的互連網路發生在 CSP 中託管資源的地區。
為了儘可能降低延遲時間, Google Cloud 和其他 CSP 的邊緣位置應與虛擬轉送執行個體位於同一個都會區。舉例來說,如果 CSP 的雲端地區以及邊緣 PoP 和虛擬轉送執行個體都位於維吉尼亞州的阿什本,則連線延遲時間就可能很低。
雖然 Google Cloud 和許多其他 CSP 沒有為傳輸到其網路邊緣的流量提供延遲保證,但因為有使用合作夥伴的專屬路徑和容量,所以這個解決方案的延遲變動性通常比使用外部 IP 位址或 VPN 解決方案時較低。
安全性
根據預設,合作夥伴互連網路上的流量不會加密。為確保流量安全,您可以在連線的 Google Cloud 端部署採用 Cloud Interconnect 的高可用性 VPN。其他某些 CSP 會允許您透過互連網路使用其代管 VPN 服務,例如您可以透過 AWS Direct Interconnect 使用 AWS Site-to-Site VPN。或者,您也可以使用虛擬設備加密其他 CSP 端的流量。
另一種做法是在應用程式層加密流量,而非使用 VPN。
可靠性和服務水準協議 (SLA)
這個解決方案涉及三個不同的服務水準協議:一個來自 Google,一個來自互連網路合作夥伴,另一個來自其他 CSP。
以備援方式使用合作夥伴互連網路時,Google 會根據所選的拓撲,提供每月 99.9% - 99.99% 的服務水準協議。單一合作夥伴互連網路連線沒有服務水準協議。
請參閱其他 CSP 的說明文件,瞭解其互連網路產品的服務水準協議,例如 AWS Direct Connect SLA 或 Azure 的 ExpressRoute SLA。
請參閱合作夥伴互連網路的合作夥伴服務供應商說明文件或服務條款,瞭解連線和虛擬轉送執行個體的可用性,例如請參閱 Megaport 全球服務協議。
定價
在 Google Cloud 端,每個合作夥伴互連網路連結都會依頻寬收取月費。經由合作夥伴互連網路連線輸出的流量,費率低於網際網路流量。詳情請參閱合作夥伴互連網路定價頁面。
請參閱其他 CSP 的互連網路產品定價頁面,例如 AWS Direct Connect 定價或 Azure ExpressRoute 定價。通常定價還包括互連網路月費,而資料移轉會收取費用,透過互連網路的費率會比網際網路的費率為低。
合作夥伴會根據自己的定價進行互連網路服務收費,您可以在他們的網站上找到相關資訊,也可以洽詢銷售部門獲取報價。通常,如果所有資料移轉都發生在同一個都會區,則費用遠低於資料必須在夥伴網路上遠距傳輸的情況。
當定期傳輸的資料量夠高時,根據其他 CSP 的價格,這個解決方案有時可因優惠輸出費率而提供最低的總費用。即使合作夥伴互連網路、其他 CSP 和服務供應商合作夥伴的互連網路包含每月費用,使用這個解決方案也能節省大量成本。合作夥伴和其他 CSP 的價格可能會變更,恕不另行通知,請使用所有相關方的最新報價自行進行比較。
透過常見 POP 的專屬互連網路
在 Google Cloud 與其他 CSP 之間的共用互連網路設施中,使用一或多個實體轉送裝置,即可在Google Cloud 端使用專屬互連網路,並在其他 CSP 使用等效產品,連結兩個雲端服務供應商。連接點位置不一定與資源所在的區域相同。
下圖顯示使用兩個專屬互連網路連線的備援設定:
系統會透過您置於一般互連網路設備中的合作夥伴實體路由器,在 Cloud Router 和其他 CSP 端的閘道之間交換路徑。流量會透過 Google Cloud 和其他 CSP 之間的路由器傳輸。
導入作業
這個解決方案會要求您在主機代管服務供應商託管和維護實體轉送裝置,其中存在您要連接的 Google 和 CSP。在這個轉送裝置中,您可以與供應商訂購兩個實體連線:一個使用 Google Cloud 專屬互連網路連往 GCP,另一個使用等效產品連往另一個服務供應商,例如 AWS Direct Connect 或 Azure ExpressRoute。在轉送裝置上,您必須將 BGP 設定為允許在這兩個雲端環境之間交換路徑。
請查看 Google Cloud 和其他 CSP 的主機代管服務供應商位置清單,例如 AWS Direct Connect 位置或 Azure ExpressRoute 對等互連位置,找出適合此設定的位置。
您可以使用專屬互連網路單獨連線,也可以將專屬互連網路設為Network Connectivity Center 混合輪輻。您可以使用 Network Connectivity Center 透過集中管理連線至內部部署位置、虛擬私有雲網路和其他雲端。
如果兩個 CSP 環境之間的 IP 位址空間重疊,您可以在連線上啟用 Hybrid NAT。
除了與另一個 CSP 的連線之外,如果使用專屬連線同時連回內部部署環境,則這個解決方案也很有效。
在其他情況下,這個解決方案比較複雜,因為它要求您擁有和維護實體設備,並與主機代管服務供應商簽約。只有至少符合下列一項條件時,我們才會建議使用這個解決方案:
- 已在合適的服務供應商中有用於其他用途的設備,且目前有服務供應商合約。
- 會定期傳輸大量資料,所以這是具備成本效益的選擇,或有合作夥伴無法滿足的頻寬需求。
移轉速度和延遲時間
這個解決方案提供 Google Cloud 與另一個 CSP 之間的專屬容量。在 Google Cloud 端,利用一或多個 10 或 100 Gbps 實體連線即可使用專屬互連網路。
這個解決方案的延遲時間是以下各項的加總值:
- 在Google Cloud 上託管資源的地區與您連接Google Cloud的互連網路位置之間的延遲時間。
- 經由服務供應商和實體設備的延遲時間,相較於光纖長度造成的任何延遲時間,這種延遲時間通常微乎其微。
- 經由其他 CSP 網路,從互連網路位置到 CSP 中託管資源的地區的延遲時間。
雖然沒有提供延遲時間保證,但這個解決方案通常會允許 GCP 與其他雲端環境之間透過私人 IP 位址達成最低延遲時間和最高移轉速度。 Google Cloud
安全性
根據預設,專屬互連網路的流量不會加密。為確保流量安全,您可以在連線的 Google Cloud 端部署採用 Cloud Interconnect 的高可用性 VPN。其他某些 CSP 會允許您透過互連網路使用其代管 VPN 服務,例如您可以透過 AWS Direct Interconnect 使用 AWS Site-to-Site VPN。或者,您也可以使用虛擬設備加密其他 CSP 端的流量。
另一種做法是在應用程式層加密流量,而非使用 VPN。
可靠性和服務水準協議 (SLA)
以備援方式使用專屬互連網路時,Google 會根據所選的拓撲,提供每月 99.9%- 99.99% 的服務水準協議。單一專屬互連網路連線沒有服務水準協議。
請參閱其他 CSP 的說明文件,瞭解其互連網路產品的服務水準協議,例如 AWS Direct Connect SLA 或 Azure ExpressRoute SLA。
實體轉送設備的主機代管服務供應商或硬體供應商也可能針對其服務提供服務水準協議。
定價
在 Google Cloud 端,每個專用互連網路通訊埠,還有連接 VPC 環境的每個 VLAN 連結都會收取月費。經由專屬互連網路輸出的流量,其費率低於網際網路流量。詳情請參閱專屬互連網路定價頁面。
請參閱其他 CSP 的互連網路產品定價頁面,例如 AWS Direct Connect 定價或 Azure ExpressRoute 定價。通常定價還包括互連網路月費,而資料移轉會收取費用,透過互連網路的費率會比網際網路的費率為低。
此外,您也必須考量向兩個雲端環境提供空間、電力和實體連線的主機代管服務供應商服務費用,以及任何費用和進行中的廠商實體轉送設備服務合約。如果兩個 CSP 之間的連線無法在同一個服務供應商中發生,而您必須採購服務供應商間的連線時,這些服務的定價可能會高出許多。
跨雲端互連網路管理連線
您可以透過 Google 的網路結構,將 Google Cloud 虛擬私有雲網路連線至其他 CSP 中的虛擬網路。從某種意義來說,這項設定與合作夥伴互連網路類似,但 Google 服務水準協議涵蓋 Google 網路和互連網路本身。
下圖顯示 Cross-Cloud Interconnect 設定,其中包含最少數量的連線。
系統會透過 Google 的網路結構,在 Cloud Router 和其他 CSP 端的閘道之間交換路徑。流量會透過這個結構體在 Google Cloud 和其他 CSP 之間傳輸。
導入作業
購買 Cross-Cloud Interconnect 時,Google 會在 Google 網路和其他雲端服務供應商的網路之間提供專屬實體連線。您可以使用此連線,將 Google Cloud 虛擬私有雲 (VPC) 網路與支援的雲端服務供應商代管的網路對等互連。
佈建連線後,Google 會支援該連線,直到連線連至其他雲端服務供應商的網路為止。Google 不保證其他雲端服務供應商的運作時間。不過,Google 仍是完整服務的主要聯絡窗口,如果您需要向其他 CSP 提出支援案件,我們會通知您。
這個解決方案需要您按照其他 CSP 的設定程序進行,包括選擇兩個網路的互連位置。僅支援特定 CSP。
您可以使用 Cross-Cloud Interconnect 單獨連線,也可以將 Cross-Cloud Interconnect 設為 Network Connectivity Center 混合式輻條。您可以使用 Network Connectivity Center 透過集中管理連線至內部部署位置、虛擬私有雲網路和其他雲端。
如果兩個 CSP 環境之間的 IP 位址空間重疊,您可以在連線上啟用 Hybrid NAT。
移轉速度和延遲時間
這個解決方案提供 Google Cloud 與另一個 CSP 之間的專屬容量。在 Google Cloud 端,利用一或多對 10 Gbps 或 100 Gbps 實體連線即可使用專屬互連網路。
這個解決方案的延遲時間是以下各項的加總值:
- 在Google Cloud 上託管資源的區域與跨雲位置之間的延遲時間。
- Google 邊緣位置與其他 CSP 邊緣位置 (通常位於同一設施) 之間的延遲時間
- 從其他 CSP 邊緣位置 (部署了跨雲互連網路) 到 CSP 中託管資源的地區的延遲時間。
雖然沒有提供延遲時間保證,但這個解決方案通常會允許Google Cloud 與其他雲端環境之間透過私人 IP 位址達成最低延遲時間和最高移轉速度。
安全性
由於 Cross-Cloud Interconnect 上的流量未加密,因此我們建議對敏感流量使用應用程式層加密。
如果需要加密保護所有流量, Google Cloud Cloud Marketplace 中的合作夥伴提供的虛擬設備可以提供加密傳輸到其他 CSP 環境的流量的解決方案。
可靠性和服務水準協議 (SLA)
Cross-Cloud Interconnect 會使用 Cloud Interconnect SLA。如要符合 SLA 規定,Cross-Cloud Interconnect 設定必須使用一或多個連線組合,如 Cross-Cloud Interconnect 總覽的「服務水準協議」一節所述。
服務水準協議涵蓋 Google 端的所有內容,直到其他雲端服務供應商網路的邊緣為止。但不適用於其他 CSP 的網路。請參閱其他 CSP 的說明文件,瞭解其互連網路產品的服務水準協議,例如 AWS Direct Connect SLA 或 Azure ExpressRoute SLA。
定價
每個 Cross-Cloud Interconnect 連線,以及每個連接至 VPC 環境的 VLAN 連結,都會收取小時費。經由跨雲互連網路輸出的流量,其費率低於網際網路流量。詳情請參閱「Cross-Cloud Interconnect 定價」。
請參閱其他 CSP 的互連網路產品定價頁面,例如 AWS Direct Connect 定價或 Azure ExpressRoute 定價。通常會按月收取互連網路費用。透過互連網路移轉資料的費用通常會比透過網際網路移轉資料的費用低。
連接地點或設備不需額外付費。
各種選項比較
本文所述的選項在速度、可用性、複雜性、安全性及定價方面各有不同。請根據您的需求,徹底評估所有選項。
下圖可指引您逐步選擇本文所述的其中一個解決方案。
通常,我們會建議下列選擇:
- 針對只是偶爾交換資料或交換的資料量不多且轉移資料並不重要時,透過網際網路轉移資料是最簡單的選擇,而且仍可提供非常低的延遲時間和高頻寬。
- 如果必須使用私人 IP 位址加密或轉移少量資料,請考慮在其他 CSP 端使用 Cloud VPN 和代管 VPN 服務。
- 如需轉移大量資料,使用合作夥伴互連網路搭配支援多雲端的合作夥伴可提供多項優點:專屬容量、更低的資料移轉成本,並且根據拓撲,還有解決方案各個方面的服務水準協議。合作夥伴互連網路的容量通常會低於每個連線 10 Gbps。
- 如果將內部部署設備連接到多個雲端,則透過常見 PoP 使用專屬互連網路是常見選項。這會增加管理您自己硬體及主機代管服務供應商關係的複雜性。除非您的基礎架構已就位,否則這個解決方案僅適用於典型資料移轉速率為 10 Gbps 以上的情況。
- 如果您不想在遠端 PoP 中管理跨連線和路由裝置,Cross-Cloud Interconnect 提供代管解決方案,由 Google 為您處理所有相關事宜。
後續步驟
- 參閱有關混合式雲端和多雲端模式及做法的系列文章。
- 探索 Google Cloud 的參考架構、圖表和最佳做法。歡迎瀏覽我們的雲端架構中心。