使用其他專案中的連線

Cross-Cloud Interconnect 可讓您將遠端雲端網路連線至多個虛擬私有雲 (VPC) 網路。您可以透過在連線中新增多個 VLAN 連結來擴大可及性。

您可以利用這項功能,建立會使用其他專案中跨雲互連網路連線的 VLAN 連結。只要兩個資源位於同一個機構中,您就可以使用這種方法。

在適當情況下,您可以使用共用虛擬私有雲或虛擬私有雲網路對等互連,在更多 VPC 網路之間共用連線。如要進一步瞭解這些方法,請參閱「連線至多個虛擬私有雲網路的選項」。

所需權限

在建立附件的專案中,您必須具備網路管理員角色 (roles/compute.networkAdmin)。

在包含連線的專案中,您需要下列其中一種:

  • 網路管理員角色 (roles/compute.networkAdmin) 或 compute.interconnects.get 權限
  • 至少需要 compute.interconnects.use 權限

compute.interconnects.get

如果使用者擁有 compute.interconnects.get 權限,建立附件的程序與網路管理員相同。

compute.interconnects.use

如果使用者具備 compute.interconnects.use 權限,但沒有 compute.interconnects.get 權限,則使用者無法瞭解連線使用的遠端雲端類型。在這種情況下, Trusted Cloud 主控台無法偵測與遠端位置相關的規定。

舉例來說,Azure 的附件必須使用 /30 的 IPv4 子網路長度。對於管理員使用者, Trusted Cloud 控制台會移除要求 /29 IPv4 子網路的選項。不過,如果使用者只有 compute.interconnects.use 權限,則不會發生這種情況。

API 會強制執行部分限制,在這種情況下,如果指定無效參數,Trusted Cloud 控制台就會傳回錯誤。

其他限制只是建議,可引導使用者採用已知的有效設定。對於這類限制,如果沒有 Trusted Cloud 主控台建議,可能會導致不相容的設定選項,直到設定順序更深入時才會發現。

以下是範例需求:

  • Microsoft Azure 附件必須使用 /30 的 IPv4 子網路長度。
  • Azure 連結必須在兩個連結埠上使用相同的 VLAN ID。
  • Amazon Web Services (AWS) 附件必須使用邊界閘道通訊協定 (BGP) 工作階段的 MD5 驗證。
  • Oracle 雲端基礎架構 (OCI) 連結必須使用 VLAN ID >= 100。自動配置的 VLAN ID 符合這項規定。

如要瞭解限制,請參閱下列頁面:

授予使用者 compute.interconnects.use 權限時,請告知他們任何限制。

建立 VLAN 連結

如要建立會使用其他專案跨雲端互連網路連線的 VLAN 連結,請按照下列步驟操作。

主控台

  1. 在 Trusted Cloud 控制台中,前往「VLAN attachments」(VLAN 連結) 分頁。

    前往 VLAN 連結

  2. 利用專案選擇工具,選取您需要在其中建立 VLAN 連結的專案。

  3. 按一下「建立 VLAN 連結」,然後選取「跨雲端互連網路連線」

  4. 在「Encrypt interconnect」部分,選取「Set up unencrypted Interconnect」,然後按一下「Continue」

  5. 在「選擇互連網路」頁面上,選取「在其他專案中」。輸入下列資訊:

    • 專案 ID:輸入包含跨雲端互連網路連線的專案 ID。
    • 互連網路名稱:輸入連線名稱。

  6. 按一下「繼續」

  7. 如要新增 VLAN 連結,請按一下「新增 VLAN 連結」。請提供下列資訊:

    • 名稱:指定 VLAN 連結的名稱。
    • 雲端路由器:選擇現有的 Cloud Router,或建立新的 Cloud Router。您選擇的 Cloud Router 會定義 VLAN 連結所在的地區和虛擬私人雲端網路。 Trusted Cloud ASN 也會由您選擇的雲端路由器定義。

  8. 依序點選「完成」和「建立」。連結的建立作業需要幾分鐘才能完成。

  9. 連結建立完成後,按一下 [設定] 以在所選的雲端路由器上建立 BGP 工作階段。系統會自動為您選擇 Google 和對等 BGP IP 位址。

  10. 新增 BGP 工作階段後,按一下「儲存設定」。在您在遠端雲端設定資源之前,BGP 工作階段不會啟用。

gcloud

  1. 如果您尚未建立 Cloud Router,請執行下列指令來建立:

    gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --asn=GOOGLE_ASN \
    --network=NETWORK \
    --project=PROJECT_ID

    更改下列內容:

    • ROUTER_NAME:您指定給 Cloud Router 的名稱
    • REGION: Trusted Cloud 建立 Cloud Router 的地區;此地區必須與 VLAN 連結使用的地區相同
    • GOOGLE_ASN私人 ASN (1655064512 - 655344200000000 - 4294967294);用於同一個 Cloud Router 的所有 BGP 工作階段,且設定後即無法再變更
    • NETWORK:Cloud Router 管理路由的網路名稱;這與 VLAN 連結使用的網路相同
    • PROJECT_ID:Cloud Router 和 VLAN 連結所在專案的 ID;這個專案 ID 與連結所在專案的 ID 不同

  2. 在包含連線的專案中,列出所有 Cloud Interconnect 連線:

    gcloud compute interconnects list \
    --project=INTERCONNECT_PROJECT_ID

    INTERCONNECT_PROJECT_ID 替換為該專案的 ID。決定要使用的連線名稱。

  3. 判斷您需要使用的連線的自我連結:

    gcloud compute interconnects describe INTERCONNECT_NAME \
    --project=INTERCONNECT_PROJECT_ID \
    --format="get(selfLink)"

    INTERCONNECT_NAME 替換為其名稱,並將 INTERCONNECT_PROJECT_ID 替換為包含它的專案 ID。

  4. 建立 VLAN 連結:

    gcloud compute interconnects attachments dedicated create VLAN_ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --project=PROJECT_ID \
    --interconnect=INTERCONNECT_SELF_LINK \
    --candidate-subnets=CANDIDATE_SUBNETS \
    --vlan=VLAN_ID

    更改下列內容:

    • VLAN_ATTACHMENT_NAME:您為 VLAN 連結指定的名稱
    • REGION:必須與相關聯的 Cloud Router 的所在地區相同
    • ROUTER_NAME:第一個步驟中的 Cloud Router 名稱
    • PROJECT_ID:Cloud Router 和 VLAN 連結所在專案的 ID;這個專案 ID 與連結所在專案的 ID 不同
    • INTERCONNECT_SELF_LINK:VLAN 連結所使用的連線的自我連結;自我連結包含所含連線專案的 ID
    • CANDIDATE_SUBNETS:選用標記,可讓您指定以逗號分隔的連結本機 IP 位址範圍 (即 CANDIDATE_SUBNETS),用於管理 VLAN 連結的路徑;詳情請參閱 Google Cloud CLI 說明文件
    • VLAN_ID:選用標記,可讓您指定 VLAN ID。詳情請參閱 Google Cloud CLI 說明文件

  5. 說明您剛建立的 VLAN 連結:

    gcloud compute interconnects attachments dedicated describe VLAN_ATTACHMENT_NAME \
    --region=REGION \
    --project=PROJECT_ID \
    --format="get(cloudRouterIpAddress,customerRouterIpAddress,tag8021q)"

    更改下列內容:

    • VLAN_ATTACHMENT_NAME:名稱
    • REGION:其區域
    • PROJECT_ID:專案 ID

    注意事項:

    • cloudRouterIpAddress 是關聯 Cloud Router 上的 BGP 工作階段使用的 BGP IP 位址。
    • customerRouterIpAddress 是您用來在遠端雲端中設定 BGP 工作階段的 BGP IP 位址。
    • tag8021q 是 VLAN ID,您可能已在之前的步驟中手動指定。

  6. 在 Cloud Router 上建立介面:

    gcloud compute routers add-interface ROUTER_NAME \
    --interconnect-attachment=VLAN_ATTACHMENT_NAME \
    --region=REGION \
    --interface-name=INTERFACE_NAME \
    --project=PROJECT_ID \

    更改下列內容:

    • ROUTER_NAME:第一個步驟中的 Cloud Router 名稱
    • VLAN_ATTACHMENT_NAME:您在這些步驟中建立及描述的 VLAN 連結名稱
    • REGION:Cloud Router 和 VLAN 連結使用的地區
    • INTERFACE_NAME:您指定給 Cloud Router 上新介面的名稱
    • PROJECT_ID:Cloud Router 和 VLAN 連結所在專案的 ID;這個專案 ID 與連結所在專案的 ID 不同
    • CLOUD_ROUTER_IP:您在上一個步驟中確認的 cloudRouterIpAddress

  7. 將 BGP 對等點新增至 Cloud Router 的新介面:

    gcloud compute routers add-bgp-peer ROUTER_NAME \
    --region=REGION \
    --interface-name=INTERFACE_NAME \
    --peer-name=BGP_PEER_NAME \
    --project=PROJECT_ID \
    --peer-asn=PEER_ASN \
    --advertised-route-priority=PRIORITY \
    --advertisement-mode=ADVERTISEMENT_MODE

    更改下列內容:

    • ROUTER_NAME:第一個步驟中的 Cloud Router 名稱
    • REGION:Cloud Router 和 VLAN 連結使用的地區
    • INTERFACE_NAME:您在前一個步驟中建立的介面名稱
    • BGP_PEER_NAME:您指定給 BGP 對等互連的名稱
    • PROJECT_ID:Cloud Router 和 VLAN 連結所在專案的 ID;這個專案 ID 與連結所在專案的 ID 不同
    • CUSTOMER_ROUTER_IP:遠端雲端的 BGP IP 位址;這是您在說明 VLAN 連結時記下的 customerRouterIpAddress
    • PEER_ASN:遠端雲端的 ASN
    • PRIORITY:選用標記,可用於設定 Cloud Router 通告至遠端雲端的路徑的基本優先順序。如要進一步瞭解這個選項和基本指標,請參閱「公告的前置字串和優先順序
    • ADVERTISEMENT_MODE:選用標記,可用於自訂 Cloud Router 向遠端雲端公告的路徑;如需預設和自訂公告的相關資訊,請參閱「路徑通告

後續步驟