建立 VLAN 連結

合作夥伴互連連線的 VLAN 連結 (也稱為 interconnectAttachments) 可在服務供應商的連線中分配 VLAN,透過服務供應商的網路將虛擬私有雲 (VPC) 網路與內部部署網路連線。

您可以建立未加密或已加密的 VLAN 連結。 未加密的 VLAN 連結僅支援 IPv4 (單一堆疊) 或 IPv4 和 IPv6 (雙重堆疊)。加密 VLAN 連結用於採用 Cloud Interconnect 的高可用性 VPN 部署作業,且僅支援 IPv4 (單一堆疊)。

您必須先與支援的服務供應商建立連線,才能建立合作夥伴互連網路的 VLAN 連結。

無論您是否已預先啟用連結,VLAN 連結都會從您的服務供應商完成設定後立即開始收費。當您的連結處於 PENDING_CUSTOMERACTIVE 狀態時,表示您的服務供應商已完成其設定。如果您或服務供應商刪除連結 (當連結處於 DEFUNCT 狀態時),系統就會停止計費。

VLAN ID 是合作夥伴互連連線專屬的 ID,因此您可以在不同連線上重複使用相同的 VLAN ID,無論該連線位於何處。

如為專屬互連網路的 VLAN 連結,請參閱「為專屬互連網路建立 VLAN 連結」。

如需本頁面所用字詞的定義,請參閱 Cloud Interconnect 重要字詞

如要解決使用合作夥伴互連時可能遇到的常見問題,請參閱疑難排解

使用多個 VLAN 連結

VLAN 連結支援的流量速度最高可達 50 Gbps,或每秒 625 萬個封包 (pps) (適用於 100 Gbps 連線)。處理量取決於您先達到哪項限制。舉例來說,如果您的流量使用非常小的封包,您可能會在達到 50 Gbps 限制之前,先達到 625 萬 pps 限制。

如要提高虛擬私有雲網路的總處理量,您必須在虛擬私有雲網路中設定多個 VLAN 連結。對於每個邊界閘道通訊協定 (BGP) 工作階段,您應該使用相同的 MED 值,讓流量針對所有設定的 VLAN 連結使用等價多路徑路由 (ECMP)。

如果您有多個 VLAN 連結 (包括位於不同專案中的連結),則可將其與來自相同服務供應商的合作夥伴互連網路連線配對,或是與來自不同服務供應商的合作夥伴互連網路連線配對。

建立未加密的 VLAN 連結

主控台

  1. 前往 Trusted Cloud 控制台的 Cloud Interconnect「VLAN attachments」(VLAN 連結) 分頁。

    前往 VLAN 連結

  2. 按一下「建立 VLAN 連結」

  3. 選取「合作夥伴互連網路連線」

  4. 在「加密互連網路」部分,選取「設定未加密的互連網路」,然後按一下「繼續」

  5. 選取 [我已有服務供應商]

  6. 選取「建立一組備援 VLAN 連結」。備援功能可提供比單一連線更高的可用性。兩個附件都會提供流量,且流量會在兩者之間進行負載平衡。舉例來說,如果一個連結發生故障 (例如在進行定期維護期間),另一個連結會繼續處理流量。詳情請參閱「備援和服務水準協議」。

    如果您建立連結是為了進行測試或者不需要高可用性,請選取「建立單一 VLAN」,僅建立一個 VLAN 連結。

  7. 在「Network」(網路) 和「Region」(地區) 欄位中,選取連結將連線的虛擬私人雲端網路和Trusted Cloud 地區

  8. 指定 VLAN 連結的詳細資料:

    • Cloud Router:用來與這個連結建立關聯的 Cloud Router。您只能在所選的虛擬私有雲網路和地區中選擇 ASN 為 16550 的 Cloud Router。如果您目前沒有 Cloud Router,請建立一個 ASN 為 16550 的雲端路由器。每個 VLAN 連結只能與一個 Cloud Router 建立關聯。Google 會自動在 Cloud Router 上新增介面和 BGP 對等點。

    • VLAN 連結名稱:連結的名稱。這個名稱會顯示在 Trusted Cloud 控制台中,並由 Google Cloud CLI 用於參照連結,例如 my-attachment

    • IP 堆疊類型:選取 IP 堆疊類型。IPv4 (單一堆疊)IPv4 和 IPv6 (雙重堆疊)

    • 連結的最大傳輸單位 (MTU):如要使用 1460、1500 或 8896 位元組的最大傳輸單位 (MTU),使用連結的虛擬私有雲網路必須將 MTU 設為相同的值。此外,內部部署虛擬機器 (VM) 執行個體和路由器的 MTU 也必須設為相同值。如果網路的預設 MTU 為 1460,請選取 1460 做為 VLAN 連結 MTU。

  9. 按一下「建立」即可建立附件。這項作業需要幾分鐘才能完成。

  10. 建立完成後,請複製配對金鑰。 當您向服務供應商要求建立連線時,必須將這些金鑰提供給他們。

    如果您向服務供應商要求建立第 3 層連線,則可透過選取「啟用」來預先啟動連結。啟用連結可讓您確認您是連線至預期的服務供應商。預先啟用連結後,您就能略過啟用步驟,讓連結在服務供應商完成設定後立即開始傳輸流量。

  11. 如要查看 VLAN 連結清單,請按一下「確定」

您可以選擇更新 BGP 工作階段,使用 MD5 驗證

如果您有第 2 層連線,請按照「為現有工作階段新增驗證」一文中的步驟操作。如果是第 3 層連線,請與服務供應商聯絡,索取操作說明。

選用:您可以更新 BGP 工作階段,改用自訂已知路徑。使用這項功能時,Cloud Router 的行為反應就會像是已掌握 BGP 對等互連的路徑一樣。詳情請參閱「更新現有工作階段以使用自訂學習路徑」。

選用:雙向轉送偵測 (BFD) 適用於 Cloud Router,可偵測轉送路徑中斷情形 (例如連結中斷事件),打造更具彈性的混合式網路。如要更新 BGP 工作階段以使用 BFD,請參閱設定 BFD

gcloud

建立 VLAN 連結前,您必須在要從內部部署網路連上的網路和地區中,具備 Cloud Router。如果您沒有現有的 Cloud Router,請建立一個。Cloud Router 的 BGP ASN 必須為 16550

  1. 建立 PARTNER 類型的 VLAN 連結,指定您的 Cloud Router 名稱,以及 VLAN 連結的邊緣可用性網域 (都會區可用區)。Google 會自動在 Cloud Router 上新增介面和 BGP 對等點。這個連結會產生您必須提供給服務供應商的配對金鑰

    您可以指定附件的 MTU。有效值為 1440 (預設值)、146015008896。如要指定 146015008896 的 MTU,請使用 --mtu 參數,例如 --mtu 1500。如要使用 1460、1500 或 8896 位元組的 MTU,使用連結的虛擬私有雲網路必須設定相同的 MTU。 此外,內部部署 VM 和路由器必須設定相同的 MTU

    您可以指定 VLAN 連結的堆疊類型。預設堆疊類型為 IPv4。

    下列範例會在邊緣可用性網域 availability-domain-1 中建立 VLAN 連結:

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --stack-type=STACK_TYPE \
    --edge-availability-domain availability-domain-1

    更改下列內容:

    • ATTACHMENT_NAME:VLAN 連結的名稱。
    • REGION:VLAN 連結的區域。
    • ROUTER_NAME:Cloud Router 的名稱。
    • STACK_TYPE:VLAN 連結的堆疊類型。堆疊類型可以是下列其中一種:
      • IPV4_ONLY:僅選取 IPv4 (單一堆疊)。
      • IPV4_IPV6:選取 IPv4 和 IPv6 (雙重堆疊)。

    如果您向服務供應商要求建立第 3 層連線,則可透過選取 --admin-enabled 旗標來預先啟動連結。啟用連結可讓您確認您是連線至預期的服務供應商。預先啟用連結後,您就能略過啟用步驟,讓連結在服務供應商完成設定後立即開始傳輸流量。

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --stack-type=STACK_TYPE \
    --edge-availability-domain availability-domain-1 \
    --admin-enabled
    • ATTACHMENT_NAME:VLAN 連結的名稱。
    • REGION:VLAN 連結的區域。
    • ROUTER_NAME:Cloud Router 的名稱。
    • STACK_TYPE:VLAN 連結的堆疊類型。堆疊類型可以是下列其中一種:
      • IPV4_ONLY:僅選取 IPv4 (單一堆疊)。
      • IPV4_IPV6:選取 IPv4 和 IPv6 (雙重堆疊)。

  2. 說明連結以擷取其配對金鑰。向服務供應商要求建立連線時,必須將這個金鑰提供給他們:

    gcloud compute interconnects attachments describe ATTACHMENT_NAME \
    --region=REGION

    IPv4 VLAN 附件的輸出內容類似如下:

    adminEnabled: false
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
creationTimestamp: '2017-12-01T08:29:09.886-08:00'
id: '7976913826166357434'
kind: compute#interconnectAttachment
labelFingerprint: 42WmSpB8rSM=
name: ATTACHMENT_NAME
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/REGION/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/ROUTER_NAME
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME
stackType: IPV4_ONLY
state: PENDING_PARTNER
type: PARTNER

    IPv4 和 IPv6 (雙重堆疊) VLAN 附件的輸出內容類似如下:

    bandwidth: BPS_1G
cloudRouterIpAddress: 169.254.67.201/29
cloudRouterIpv6Address: 2600:2d00:0:1::1/125
creationTimestamp: '2017-12-01T08:31:11.580-08:00'
customerRouterIpAddress: 169.254.67.202/29
customerRouterIpv6Address: 2600:2d00:0:1::2/125
description: Interconnect for Customer 1
id: '7193021941765913888'
interconnect: https://www.googleapis.com/compute/alpha/projects/partner-project/global/interconnects/lga-2
kind: compute#interconnectAttachment
labelFingerprint: 42WmSpB8rSM=
name: partner-attachment
partnerMetadata:
  interconnectName: New York (2)
  partnerName: Partner Inc
  portalUrl: https://partner-portal.com
region: https://www.googleapis.com/compute/alpha/projects/partner-project/regions/REGION
selfLink: https://www.googleapis.com/compute/alpha/projects/partner-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME
stackType: IPV4_IPV6
state: ACTIVE
type: PARTNER
vlanTag8021q: 1000

    pairingKey 欄位包含您必須提供給服務供應商的配對金鑰。VLAN 連結設定完成前,您必須將配對金鑰視為機密資訊。

    VLAN 連結的狀態會一直處於 PENDING_PARTNER,直到您向服務供應商要求建立連線,而且他們完成了您的 VLAN 連結設定為止。設定完成後,連結的狀態會變更為 ACTIVEPENDING_CUSTOMER

選用:您可以更新 BGP 工作階段,改用自訂已知路徑。使用這項功能時,Cloud Router 的行為反應就會像是已掌握 BGP 對等互連的路徑一樣。詳情請參閱「更新現有工作階段以使用自訂學習路徑」。

選用:您可以更新 BGP 工作階段,使用 MD5 驗證。 如果您有第 2 層連線,請按照「為現有工作階段新增驗證」一文中的步驟操作。如果是第 3 層連線,請與服務供應商聯絡,索取操作說明。

選用:雙向轉送偵測 (BFD) 適用於 Cloud Router,可偵測轉送路徑中斷情形 (例如連結中斷事件),打造更具彈性的混合式網路。如要更新 BGP 工作階段以使用 BFD,請參閱「為 Cloud Router 設定 BFD」。

如果您是要用備援 VLAN 連結建構備援功能,請針對第二個連結重複這些步驟。使用相同的 Cloud Router,但指定不同的邊緣可用性網域。此外,向服務供應商要求連線時,您必須為兩個連結選取相同的都會區 (城市),才能確保連線備援。詳情請參閱「備援和服務水準協議」。

透過第 2 層連線使用自訂 IP 位址範圍

如要搭配第 2 層連線使用自訂 IP 位址範圍,請新增 --candidate-customer-router-ip-address--candidate-cloud-router-ip-address 標記,這兩個標記也支援連結本機 IP 位址。請注意,您無法將這些旗標與 --candidate-subnets--subnet-length 旗標合併,但可以將 --candidate-subnets 用於具有 --candidate-customer-router-ipv6-address--candidate-cloud-router-ipv6-address 旗標的連結本機 IPv4 附件。如要進一步瞭解使用自訂 IP 位址範圍的原因,請參閱自訂 IP 位址範圍

開始之前,請先在專案中啟用 Network Connectivity API。此外,您還需要 networkconnectivity.internalRanges.create 權限,這項權限是由 Compute 網路管理員角色 (roles/compute.networkAdmin) 授予。

gcloud compute interconnects attachments partner create ATTACHMENT_NAME \
    --project=PROJECT_ID \
    --region=REGION \
    --router=ROUTER_NAME \
    --candidate-cloud-router-ip-address=CANDIDATE_CLOUD_ROUTER_IP_ADDRESS \
    --candidate-customer-router-ip-address=CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS

更改下列內容:

  • CANDIDATE_CLOUD_ROUTER_IP_ADDRESS:要指派給 VLAN 連結 Cloud Router 端點的 IPv4 CIDR 位址
  • CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS:要指派給 VLAN 連結客戶路由器端的 IPv4 CIDR 位址

如果您使用 IPv6 雙堆疊附件,請使用下列指令。

gcloud compute interconnects attachments partner create ATTACHMENT_NAME \
    --project=PROJECT_ID \
    --region=REGION \
    --router=ROUTER_NAME \
    --stack-type=IPV4_IPV6 \
    --candidate-cloud-router-ipv6-address=CANDIDATE_CLOUD_ROUTER_IP_ADDRESS \
    --candidate-customer-router-ipv6-address=CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS

更改下列內容:

  • CANDIDATE_CLOUD_ROUTER_IP_ADDRESS:IPv6 CIDR 位址,例如 2001:db8::1/125
  • CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS:IPv6 CIDR 位址,例如 2001:db8::1/125

您可以搭配使用 --candidate-cloud-router-ip-address--candidate-customer-router-ip-address 旗標,以及 --candidate-cloud-router-ipv6-address--candidate-customer-router-ipv6-address 旗標,建立同時使用 IPv4 和 IPv6 自訂位址範圍的附件。

使用自訂 IP 位址範圍 (第 3 層連線)

如要透過第 3 層連線使用自訂 IP 位址範圍,請建立 VLAN 連結,然後服務供應商會在 VLAN 連結設定程序中設定自訂 IP 位址範圍。如果是第 3 層連線,請與服務供應商聯絡,索取操作說明。

建立加密的 VLAN 連結

加密 VLAN 連結不支援 IPv4 和 IPv6 (雙重堆疊)。嘗試建立加密的雙重堆疊連結時,系統會無法建立連結。

主控台

  1. 前往 Trusted Cloud 控制台的 Cloud Interconnect「VLAN attachments」(VLAN 連結) 分頁。

    前往 VLAN 連結

  2. 按一下「建立 VLAN 連結」

  3. 選取「合作夥伴互連網路連線」

  4. 在「加密互連網路」部分,選取「設定採用互連網路的高可用性 VPN」,然後按一下「繼續」

  5. 選取 [我已有服務供應商]

  6. 在「建立 VLAN 連結」頁面中,選取「VPC 網路」

  7. 在「加密互連路由器」欄位中,選取要與兩個加密 VLAN 連結建立關聯的 Cloud Router。Cloud Router 必須位於您要連線的 VPC 網路中。此外,您指定的 Cloud Router 只能與加密的 VLAN 連結搭配使用。這個路由器只會通告高可用性 VPN 和對等互連 VPN 通道介面的路徑。

    如果您沒有專為加密 Cloud Interconnect 建立的 Cloud Router,請按照下列步驟操作:

    1. 選取「建立新路由器」
    2. 指定與 Dataplane v2 相容的「Region」(地區)。如要查看服務供應商支援 Dataplane v2 的地區,請參閱依地理區域列出的服務供應商清單。
    3. BGP AS 編號請使用 16550

  8. 設定兩個 VLAN 連結。針對「VLAN 連結 1」和「VLAN 連結 2」,設定下列欄位:

    • 名稱:連結的名稱。這個名稱會顯示在 Trusted Cloud 控制台中,並由 Google Cloud CLI 用於參照連結,例如 attachment-a-zone1attachment-a-zone2
    • 說明:輸入說明 (選填)。

  9. 如要為 BGP 工作階段設定 VLAN ID 或特定的 IP 位址範圍,請按一下「VLAN ID, BGP IPs」

    • 如要指定 VLAN ID,請在「VLAN ID」區段中選取「Customize」
    • 如要為 BGP 工作階段指定 IP 位址範圍,請在「Allocate BGP IP address」(分配 BGP IP 位址) 區段中選取「Manually」(手動)。

    如果您未指定 VLAN ID 或手動分配 BGP IP 位址,Trusted Cloud 會自動為您指派這些值。

  10. 在「容量」欄位中,選取每個 VLAN 連結的頻寬上限。您為「VLAN 連結 1」選取的值會自動套用至「VLAN 連結 2」。如果您未選取任何值,Cloud Interconnect 會使用 10 Gbps。 選取的容量會決定需要部署多少高可用性 VPN 通道。

  11. 在「VPN 閘道 IP 位址」下方,選取要用於高可用性 VPN 閘道介面的 IP 位址類型。

    • 如果選取「內部區域 IP 位址」,請按一下「新增 IP 位址範圍」,然後輸入「名稱」和「IP 範圍」。在「IP 範圍」部分,指定區域內部 IPv4 範圍,前置字串長度須介於 2629 之間。前置字元長度會決定 VPN 閘道介面可用的 IP 位址數量,且必須根據附件的容量而定。 詳情請參閱將內部 IP 位址範圍指派給高可用性 VPN 閘道
    • 如果您選取「外部地區 IP 位址」,Cloud Interconnect 會自動將地區外部 IP 位址指派給您在 VLAN 連結上建立的高可用性 VPN 通道介面。

    兩個 VLAN 連結的 VPN 閘道 IP 位址必須使用相同類型的位址,也就是內部或外部位址。

  12. 建立兩個 VLAN 連結後,按一下「建立」。連結的建立作業需要一些時間才能完成。

  13. 建立完成後,請複製配對金鑰。 當您向服務供應商要求建立連線時,必須將這些金鑰提供給他們。

    如果您向服務供應商要求建立第 3 層連線,則可透過選取「啟用」來預先啟動連結。啟用連結可讓您確認您是連線至預期的服務供應商。預先啟用連結後,您就能略過啟用步驟,讓連結在服務供應商完成設定後立即開始傳輸流量。

  14. 如要查看 VLAN 連結清單,請按一下「確定」

    VLAN 連結的狀態會一直處於 PENDING_PARTNER,直到您向服務供應商要求建立連線,而且他們完成了您的 VLAN 連結設定為止。設定完成後,連結的狀態會變更為 ACTIVEPENDING_CUSTOMER

    如要啟用 VLAN 連結,請參閱「啟用連線」一文。

    選用:您可以更新 BGP 工作階段,改用自訂已知路徑。使用這項功能時,Cloud Router 的行為反應就會像是已掌握 BGP 對等互連的路徑一樣。詳情請參閱「更新現有工作階段以使用自訂學習路徑」。

    選用:您可以更新 BGP 工作階段,改用 MD5 驗證。如果您有第 2 層連線,請按照「為現有工作階段新增驗證」一文中的步驟操作。如果是第 3 層連線,請與服務供應商聯絡,索取操作說明。

    請勿啟用雙向轉送偵測 (BFD)。在 Cloud Interconnect 層級啟用 BFD,無法加快高可用性 VPN 通道流量的故障偵測速度。

  15. 兩個 VLAN 連結都啟用後,您就可以為 VLAN 連結設定高可用性 VPN,完成採用 Cloud Interconnect 的高可用性 VPN 部署作業。

    請參閱「設定採用 Cloud Interconnect 的高可用性 VPN」。

gcloud

  1. 在要從內部部署網路連上的網路和地區中,為 Cloud Interconnect 建立加密的 Cloud Router。指定 --encrypted-interconnect-router 旗標,識別要用於採用 Cloud Interconnect 部署項目的高可用性 VPN 的路由器。

    Cloud Router 的 BGP ASN 必須為 16550

    以下範例會建立路由器 ASN 16550

     gcloud compute routers create ROUTER_NAME \
     --region=REGION \
     --network=NETWORK_NAME \
     --asn 16550 \
     --encrypted-interconnect-router

    NETWORK_NAME 換成您的網路名稱。

  2. 選用步驟:保留區域內部 IPv4 範圍,前置字串長度須介於 2629 之間。前置長度會決定 VPN 閘道介面可用的 IP 位址數量。您需要保留的位址數量取決於相關聯 VLAN 連結的容量。

    舉例來說,如要為第一個容量為 10 Gbps 的 VLAN 連結預留範圍,請執行下列操作:

     gcloud compute addresses create ip-range-1 \
     --region=REGION \
     --addresses=192.168.1.0 \
     --prefix-length=29 \
     --network=NETWORK_NAME \
     --purpose=IPSEC_INTERCONNECT

    如要為第二個 VLAN 連結保留位址範圍,請按照下列步驟操作:

     gcloud compute addresses create ip-range-2 \
     --region=REGION \
     --addresses=192.168.2.0 \
     --prefix-length=29 \
     --network=NETWORK_NAME \
     --purpose=IPSEC_INTERCONNECT

    如要進一步瞭解如何預留區域內部位址,請參閱將內部 IP 位址範圍指派給高可用性 VPN 閘道

  3. 建立 PARTNER 類型的第一個加密 VLAN 連結,並指定加密 Cloud Router 的名稱,以及 VLAN 連結的邊緣可用性網域 (都會區可用區)。Google 會自動在 Cloud Router 上新增介面和 BGP 對等點。這個連結會產生您必須提供給服務供應商的配對金鑰

    以下範例會為邊緣可用性網域 availability-domain-1 建立加密附件。這個指令也會指定區域內部 IP 位址範圍 ip-range-1,供在這個附件上建立的所有高可用性 VPN 閘道介面使用。

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME_1 \
    --region=REGION \
    --router=ROUTER_NAME \
    --edge-availability-domain availability-domain-1 \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-1

    如要為連結上的高可用性 VPN 閘道介面使用區域外部 IP 位址,請省略 --ipsec-internal-addresses 旗標。系統會自動為所有高可用性 VPN 閘道介面指派區域外部 IPv4 位址。

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME_1 \
    --region=REGION \
    --router=ROUTER_NAME \
    --edge-availability-domain availability-domain-1 \
    --encryption IPSEC

    如果您向服務供應商要求建立第 3 層連線,則可透過選取 --admin-enabled 旗標來預先啟動連結。啟用連結可讓您確認您是連線至預期的服務供應商。預先啟用連結後,您就能略過啟用步驟,讓連結在服務供應商完成設定後立即開始傳輸流量。

    加密的 VLAN 連結無法設定自訂 MTU (--mtu)。所有已加密的 VLAN 連結都必須使用 1440 位元組的 MTU,這是預設值。

    透過第 2 層連線使用自訂 IP 位址範圍

    如要搭配第 2 層連線使用自訂 IP 位址範圍,請新增 --candidate-customer-router-ip-address--candidate-cloud-router-ip-address 標記,這兩個標記也支援連結本機 IP 位址。請注意,您無法將這些旗標與 --candidate-subnets--subnet-length 旗標合併,但可以將 --candidate-subnets 用於具有 --candidate-customer-router-ipv6-address--candidate-cloud-router-ipv6-address 旗標的連結本機 IPv4 附件。如要進一步瞭解使用自訂 IP 位址範圍的原因,請參閱自訂 IP 位址範圍

    開始之前,請先在專案中啟用 Network Connectivity API。此外,您還需要 networkconnectivity.internalRanges.create 權限,這項權限是由 Compute 網路管理員角色 (roles/compute.networkAdmin) 授予。

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME \
    --project=PROJECT_ID \
    --region=REGION \
    --router=ROUTER_NAME \
    --encryption IPSEC \
    --candidate-cloud-router-ip-address=CANDIDATE_CLOUD_ROUTER_IP_ADDRESS \
    --candidate-customer-router-ip-address=CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS

    更改下列內容:

    • CANDIDATE_CLOUD_ROUTER_IP_ADDRESS:要指派給 VLAN 連結 Cloud Router 端點的 IPv4 CIDR 位址
    • CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS:要指派給 VLAN 連結客戶路由器端的 IPv4 CIDR 位址

    如果您使用 IPv6 雙堆疊附件,請使用下列指令。

    gcloud compute interconnects attachments partner create ATTACHMENT_NAME \
    --project=PROJECT_ID \
    --region=REGION \
    --router=ROUTER_NAME \
    --stack-type=IPV4_IPV6 \
    --encryption IPSEC \
    --candidate-cloud-router-ipv6-address=CANDIDATE_CLOUD_ROUTER_IP_ADDRESS \
    --candidate-customer-router-ipv6-address=CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS

    更改下列內容:

    • CANDIDATE_CLOUD_ROUTER_IP_ADDRESS:IPv6 CIDR 位址,例如 2001:db8::1/125
    • CANDIDATE_CUSTOMER_ROUTER_IP_ADDRESS:IPv6 CIDR 位址,例如 2001:db8::1/125

    您可以搭配使用 --candidate-cloud-router-ip-address--candidate-customer-router-ip-address 旗標,以及 --candidate-cloud-router-ipv6-address--candidate-customer-router-ipv6-address 旗標,建立同時使用 IPv4 和 IPv6 自訂位址範圍的附件。

    使用自訂 IP 位址範圍 (第 3 層連線)

    如要在第 3 層連線中使用自訂 IP 位址範圍,請建立新的 VLAN 連結,然後服務供應商會在 VLAN 連結設定程序中設定自訂 IP 位址範圍。如果是第 3 層連線,請與服務供應商聯絡,索取操作說明。

    1. 建立第二個已加密的 VLAN 連結,並指定第二個 Cloud Interconnect 連線和 Cloud Interconnect 專用 Cloud Router 的名稱。

      以下範例會為邊緣可用性網域 availability-domain-2 建立加密連結。這項指令也會指定區域內部 IP 位址範圍 ip-range-2,供這個連結上建立的所有高可用性 VPN 閘道介面使用。

      gcloud compute interconnects attachments partner create ATTACHMENT_NAME_2 \
    --region=REGION \
    --router=ROUTER_NAME \
    --edge-availability-domain availability-domain-2 \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-2

      建立第二個 VLAN 連結時,您必須指定與建立第一個連結時相同的定址配置類型 (內部或外部)。每個 VLAN 連結都必須指派不同的內部位址範圍。每個附件只能指定一個 IP 範圍。

  4. 說明連結以擷取其配對金鑰。向服務供應商要求建立連線時,必須將這些金鑰提供給他們:

    第一個 VLAN 連結:

     gcloud compute interconnects attachments describe ATTACHMENT_NAME_1 \
     --region=REGION

    輸出結果會與下列內容相似:

    adminEnabled: false
creationTimestamp: '2021-12-01T08:29:09.886-08:00'
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
encryption: IPSEC
id: '7976913826166357434'
kind: compute#interconnectAttachment
name: ATTACHMENT_NAME_1
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/REGION/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME_1
stackType: IPV4_ONLY
state: PENDING_PARTNER
type: PARTNER

    第二個 VLAN 連結:

     gcloud compute interconnects attachments describe ATTACHMENT_NAME_2 \
     --region=REGION

    輸出結果會與下列內容相似:

    adminEnabled: false
creationTimestamp: '2021-12-01T08:29:09.886-08:00'
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_2
encryption: IPSEC
id: '7976913826166334235'
kind: compute#interconnectAttachment
name: ATTACHMENT_NAME_2
pairingKey: 9f5fg371e-72a3-40b5-b844-2e3efefaee59/REGION/2
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME_2
stackType: IPV4_ONLY
state: PENDING_PARTNER
type: PARTNER

    pairingKey 欄位包含您必須提供給服務供應商的配對金鑰。VLAN 連結設定完成前,您必須將配對金鑰視為機密資訊。

    VLAN 連結的狀態會一直處於 PENDING_PARTNER,直到您向服務供應商要求建立連線,而且他們完成了您的 VLAN 連結設定為止。設定完成後,連結的狀態會變更為 ACTIVEPENDING_CUSTOMER

    如要啟用 VLAN 連結,請參閱「啟用連線」一文。

    選用:您可以更新 BGP 工作階段,改用自訂已知路徑。使用這項功能時,Cloud Router 的行為反應就會像是已掌握 BGP 對等互連的自訂路徑一樣。詳情請參閱「更新現有工作階段,以使用自訂學習路徑」。

    選用:您可以更新 BGP 工作階段,改用 MD5 驗證。如果您有第 2 層連線,請按照「為現有工作階段新增驗證」一文中的步驟操作。如果是第 3 層連線,請與服務供應商聯絡,索取操作說明。

    請勿啟用雙向轉送偵測 (BFD)。 在 Cloud Interconnect 層級啟用 BFD,無法加快高可用性 VPN 通道流量的故障偵測速度。

  5. 兩個 VLAN 連結都啟用後,您就可以為 VLAN 連結設定高可用性 VPN,完成採用 Cloud Interconnect 的高可用性 VPN 部署作業。

    請參閱「設定採用 Cloud Interconnect 的高可用性 VPN」。

限制能否使用合作夥伴互連網路

根據預設,任何虛擬私有雲網路都可以使用 Cloud Interconnect。 如要控管哪些虛擬私有雲網路可以使用 Cloud Interconnect,您可以設定機構政策。詳情請參閱「限制 Cloud Interconnect 用量」。

後續步驟

上一頁
佈建總覽
下一頁
要求建立連線