Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Tentang migrasi ke Cloud de Confiance by S3NS dengan Subnet Hybrid

Halaman ini menjelaskan cara menggunakan perutean subnet hybrid untuk membantu memigrasikan workload ke Cloud de Confiance.

Perutean subnet hybrid memungkinkan jaringan VPC berbagi blok CIDR dengan jaringan lokal yang terhubung. Jika paket cocok dengan rute subnet hybrid, tetapi alamat IP tujuan tidak dikaitkan dengan resource di subnet tersebut,Cloud de Confiance dapat merutekan paket ke jaringan lokal menggunakan rute dinamis atau statis.

Konfigurasi ini membantu Anda memigrasikan beban kerja ke Cloud de Confiance secara bertahap tanpa perlu mengubah alamat IP-nya. Selama migrasi, workload yang telah dimigrasikan ke jaringan VPC Anda dapat berkomunikasi dengan workload yang masih berada di jaringan lokal menggunakan alamat IP internal. Setelah semua workload dimigrasikan, Anda dapat menonaktifkan perutean subnet hibrida untuk memulihkan perilaku perutean normal.

Migrasi ke Cloud de Confiance by S3NS dengan Subnet Hybrid memerlukan tiga komponen berbeda yang berfungsi bersama:

Konektivitas: Jaringan lokal dan VPC Anda harus terhubung oleh produk konektivitas jaringan seperti Cloud VPN atau Cloud Interconnect. Subnet Hybrid tidak menyediakan konektivitas ini dengan sendirinya.
Perutean subnet hybrid: Anda harus mengaktifkan perutean subnet hybrid dengan menerapkan tanda allow-cidr-routes-overlap ke resource subnet.
Alat migrasi: Anda memerlukan alat migrasi seperti Migrate to Virtual Machines untuk memigrasikan beban kerja ke Cloud de Confiance.

Diagram tiga tahap menggambarkan migrasi workload dari
lokal ke Cloud de Confiance menggunakan Subnet Hybrid. — **Gambar 1.** Selama migrasi, perutean subnet hybrid memungkinkan beban kerja di jaringan lokal berkomunikasi dengan beban kerja di jaringan VPC yang terhubung menggunakan alamat IP internal, meskipun subnet di kedua jaringan menggunakan blok CIDR yang sama (klik untuk memperbesar).

Spesifikasi

Untuk mengonfigurasi Subnet Hybrid guna mendukung migrasi workload ke Cloud de Confiance dari jaringan lokal, lingkungan Anda harus memenuhi persyaratan berikut.

Persyaratan konektivitas:
- Jaringan lokal dan VPC Anda harus terhubung oleh produk konektivitas jaringan seperti Cloud VPN atau Cloud Interconnect.
- Tunnel VPN dengan ketersediaan tinggi (HA) atau lampiran VLAN, Cloud Router, dan subnet dengan perutean subnet hibrida yang diaktifkan harus berada di region yang sama.
Konfigurasi jaringan VPC:
- Rentang alamat IPv4 subnet dengan perutean subnet hybrid yang diaktifkan harus cocok dengan blok CIDR di jaringan lokal yang menghosting workload yang ingin Anda migrasikan. Untuk sebagian besar kasus penggunaan, rentang alamat IPv4 utama subnet cocok dengan blok CIDR di jaringan lokal.
- Anda harus mengaktifkan perutean subnet hybrid. Jika perutean subnet hybrid diaktifkan, aturan untuk interaksi antara rute subnet dan rute statis serta aturan untuk interaksi antara rute subnet dan rute dinamis tidak diterapkan. Rute statis atau dinamis lokal dan peering dapat ada meskipun tujuannya cocok atau sesuai dengan rentang alamat IPv4 utama subnet atau salah satu rentang alamat IPv4 sekundernya.
- Anda harus mengonfigurasi rute yang diiklankan kustom Cloud Router untuk mengiklankan alamat IP VM secara selektif saat Anda memigrasikannya ke jaringan VPC Anda. Untuk mendukung proxy ARP dan pencocokan awalan terpanjang, rute yang diiklankan kustom ini harus lebih spesifik (memiliki subnet mask yang lebih panjang) daripada rentang alamat IPv4 subnet yang mengaktifkan perutean subnet. Anda dapat menggunakan satu rute yang diiklankan kustom /32 untuk setiap alamat IP VM yang dimigrasikan.
Konfigurasi jaringan lokal:
- Anda harus mengonfigurasi ARP proxy untuk router lokal.
- Anda harus mengonfigurasi router lokal untuk mengiklankan rentang alamat IP blok CIDR bersama.

Cloud Router dan router lokal menangani perutean
di seluruh blok CIDR yang dibagikan antara jaringan lokal dan VPC. — **Gambar 2.** Diagram ini merangkum cara mengonfigurasi jaringan VPC dan jaringan lokal untuk mempertahankan konektivitas internal di seluruh blok CIDR bersama (klik untuk memperbesar).

Perutean subnet hybrid

Setelah Anda menyelesaikan konfigurasi yang dijelaskan dalam spesifikasi Subnet Hybrid, VM di kedua jaringan dapat berkomunikasi menggunakan alamat IP internal.

Bagian berikut menjelaskan perilaku perutean di jaringan VPC yang berisi subnet dengan perutean subnet hybrid yang diaktifkan dan di jaringan lokal setelah konfigurasi ini diterapkan.

Pemilihan rute di jaringan VPC

Selama langkah pencocokan rute subnet dari model perutean VPC, jika tujuan paket cocok dengan rute subnet lokal atau peering, Cloud de Confiance mencoba mengirimkan paket menggunakan rute subnet yang cocok. Di subnet reguler, jika tujuan tidak dikaitkan dengan VM yang sedang berjalan atau aturan penerusan internal, paket akan dihentikan, dan semua rute lainnya akan diabaikan.

Namun, jika perutean subnet hybrid diaktifkan untuk subnet, rute subnet akan menjadi rute subnet hybrid, dan perilaku peruteannya berbeda:

Resource yang cocok: Jika tujuan paket cocok dengan antarmuka jaringan instance VM yang sedang berjalan atau aturan penerusan internal di subnet, Cloud de Confiance kirimkan paket ke antarmuka atau aturan penerusan. Perilaku ini sama seperti di subnet biasa.
Resource yang tidak cocok: Jika tujuan paket tidak cocok dengan resource di subnet, Cloud de Confiance mengikuti proses resource yang tidak cocok di subnet hybrid. Proses ini merutekan paket ke next hop rute statis atau dinamis lokal atau peering selama rute tersebut memiliki next hop di region yang sama dengan subnet hybrid. Rute statis atau dinamis peering atau lokal menyediakan jalur untuk mengirimkan paket ke jaringan lokal.

Di subnet dengan perutean subnet hybrid yang diaktifkan, paket A dirutekan secara lokal, dan paket B
dirutekan ke tujuan lokal. — **Gambar 3.** Di subnet yang menggunakan perutean subnet hybrid, jika tujuan paket cocok dengan resource di subnet, Cloud de Confiance merutekan traffic ke resource tersebut; untuk resource yang tidak cocok, Cloud de Confiance menggunakan resource yang tidak cocok dalam proses subnet hybrid (klik untuk memperbesar).

Misalnya, pada gambar 3, paket A dirutekan ke VM di subnet lokal menggunakan rute subnet hybrid lokal. Tujuan paket B tidak terkait dengan VM yang sedang berjalan atau aturan penerusan internal di subnet yang menggunakan perutean subnet hybrid, sehingga Cloud de Confiance memeriksa rute dinamis atau statis yang sesuai dengan rentang tujuan rute subnet hybrid. Kecocokan ditemukan, dan Cloud de Confiance menggunakan rute dinamis untuk mengirimkan Paket B ke jaringan lokal.

Perutean di jaringan lokal

Bagian ini menjelaskan perilaku perutean di jaringan lokal. Dalam contoh ini, jaringan lokal terhubung ke jaringan VPC menggunakan tunnel Cloud VPN.

Saat VM klien di jaringan lokal mengirim paket ke VM server yang berada dalam blok CIDR yang dibagikan oleh kedua jaringan, router atau perangkat hop pertama jaringan lokal akan melakukan pencarian tabel perutean:

Jika VM server dikaitkan dengan alamat IP di jaringan lokal, router lokal tidak mengintervensi proxy ARP. VM server membalas paket ARP who-has dari VM klien dengan respons yang berisi alamat MAC server. VM klien mengirimkan frame Ethernet ke VM server.
Jika VM server tidak dikaitkan dengan alamat IP di jaringan lokal, dan router lokal telah menerima pemberitahuan rute kustom tertentu dari sesi BGP Cloud Router dari tunnel Cloud VPN di jaringan VPC, router lokal akan melakukan intervensi dengan proxy ARP. Router lokal menjawab paket ARP who-has dari VM klien dengan respons yang berisi alamat MAC router. VM klien mengirimkan frame Ethernet ke router lokal, dan router lokal mengekstrak paket IP dan meneruskannya ke salah satu tunnel Cloud VPN. Tindakan ini akan mengirimkan paket ke VM di subnet yang mengaktifkan perutean subnet hybrid.

Router lokal menggunakan proxy ARP untuk merutekan paket dari
workload di jaringan lokal ke VM yang telah dimigrasikan ke Cloud de Confiance. — **Gambar 4.** Router lokal menggunakan proxy ARP untuk merutekan paket dari workload di jaringan lokal ke VM yang telah dimigrasikan ke Cloud de Confiance (klik untuk memperbesar).

Batasan

Subnet Hybrid memiliki batasan berikut.

Pengelolaan alamat IP dan traffic yang didukung:
- IPv6: Subnet Hybrid tidak mendukung traffic IPv6.
- Siaran dan multicast: Subnet Hybrid tidak mendukung traffic siaran dan multicast.
- Konflik alamat IP: Subnet Hybrid tidak mendeteksi konflik alamat IP antara resource di jaringan lokal dan jaringan VPC yang berisi subnet dengan perutean subnet hybrid yang diaktifkan. Pastikan setiap alamat IP, kecuali gateway default, hanya digunakan satu kali.
- Alamat yang tidak dapat digunakan: Dua alamat IPv4 pertama dan dua alamat IPv4 terakhir dalam rentang alamat IPv4 utama subnet tidak dapat digunakan oleh resource Cloud de Confiance mana pun. Aturan ini tetap berlaku meskipun Anda mengaktifkan perutean subnet hybrid. Untuk mengetahui informasi selengkapnya, lihat Alamat yang tidak dapat digunakan dalam rentang subnet IPv4.
Region tidak cocok: Paket akan dihapus jika next hop dari rute statis atau dinamis yang cocok dalam rentang tujuan rute subnet hibrida yang cocok berada di region yang berbeda dengan region subnet. Untuk mengetahui informasi selengkapnya, lihat Batasan regionalitas.
Rute statis dengan tag jaringan: Pastikan bahwa rute statis yang cocok dalam rentang tujuan rute subnet hybrid yang cocok tidak menggunakan tag jaringan. Rute statis yang cocok yang menggunakan tag jaringan menyebabkan kehilangan paket saat ada kecepatan paket yang tinggi.
Interaksi produk yang tidak didukung: Jangan gunakan Hybrid Subnets dengan produk berikut.
- Network Connectivity Center (NCC): NCC tidak didukung dengan Subnet Hybrid. Cloud de Confiance tidak mencegah Anda mengekspor subnet yang mengaktifkan perutean subnet hybrid ke hub NCC, tetapi tindakan ini dapat menyebabkan perilaku perutean yang tidak dapat diprediksi.
- NEG konektivitas hybrid: Sistem pemeriksaan health check Google untuk health check terpusat tidak dapat berkomunikasi dengan endpoint di NEG hybrid jika endpoint tersebut sesuai dengan rute subnet hybrid.
- Hybrid NAT: Hybrid NAT tidak didukung dengan Hybrid Subnets. NAT Hybrid tidak melakukan NAT sumber (SNAT) pada paket yang dikirim dari VM ke tujuan dalam rute statis atau dinamis jika rute subnet hybrid cocok terlebih dahulu.

Perhatikan juga batasan praktis berikut.

Jaringan lokal harus mendukung proxy ARP: Subnet Hybrid tidak mendukung migrasi workload dari jaringan jarak jauh di penyedia layanan cloud lain seperti Azure atau AWS, karena jaringan jarak jauh tersebut tidak mendukung proxy ARP.
Jaringan lokal harus menerima iklan rute /32: Jika Anda menggunakan Partner Interconnect layer 3, tanyakan kepada partner apakah mereka mendukung penerimaan awalan /32.

Opsi migrasi

Google merekomendasikan penggunaan Migrate to Virtual Machines dengan Subnet Hibrida untuk mengotomatiskan proses migrasi VM dari sumber VMware atau dari sumber Google Cloud VMware Engine.

Atau, Anda dapat menggunakan alat migrasi pihak ketiga dengan Subnet Hibrida, selama persyaratan Subnet Hibrida yang dijelaskan dalam dokumen ini terpenuhi.

Untuk mengetahui informasi tentang cara merencanakan migrasi dengan Migrate to Virtual Machines, lihat bagian Perjalanan migrasi dengan Migrate to VMs.

Untuk mengetahui informasi selengkapnya tentang opsi migrasi, lihat Referensi migrasi.

Pertimbangan untuk menggunakan Subnet Hybrid

Bagian berikut menjelaskan pertimbangan untuk menggunakan Subnet Hibrida guna memigrasikan workload ke Cloud de Confiance.

Proxy ARP dan Subnet Hybrid

Subnet Hybrid memerlukan proxy ARP untuk dikonfigurasi di router jaringan lokal atau perangkat hop pertama (titik tempat host pertama kali mengirim traffic yang memiliki tujuan di luar jaringan lokalnya).

Perangkat hop pertama dapat berupa router, perangkat virtual, firewall, atau VM yang menjalankan solusi software seperti choparp.

Sebaiknya lakukan hal berikut untuk menggunakan proxy ARP di jaringan lokal Anda:

Konsultasikan dengan vendor fabric jaringan Anda untuk mengetahui praktik terbaik terkait pengaktifan proxy ARP dan pengamanan lingkungan jaringan Anda.
Nonaktifkan proxy ARP setelah Anda menyelesaikan migrasi ke Cloud de Confiance.

Batasan regionalitas

Batasan ini berlaku saat traffic cocok dengan rute subnet hybrid, tetapi alamat IP tujuan tidak dikaitkan dengan VM yang sedang berjalan atau aturan penerusan internal. Selama langkah resource yang tidak cocok di subnet hybrid dari model pemilihan rute Cloud de Confiance, rute dievaluasi seolah-olah sumber paket berada di jaringan VPC yang sama dengan rute subnet hybrid.

Jika rute statis atau dinamis dengan rentang tujuan yang sesuai dengan rute subnet hibrida memiliki next hop di region yang berbeda:

Jika rute memiliki campuran next hop, di mana beberapa berada di region yang sama dengan rute subnet hybrid, dan beberapa berada di region lain, traffic akan dihentikan setiap kali ECMP memilih next hop di region selain subnet. Paket ini akan dihentikan meskipun paket tersebut juga cocok dengan rute yang kurang spesifik yang memiliki next hop di region subnet.
Jika rute tidak memiliki next hop di region yang sama dengan subnet yang menggunakan perutean subnet hibrida, paket akan dihentikan.

Pastikan resource berikut berada di region yang sama:

Subnet yang mengaktifkan perutean subnet hybrid
Cloud Router yang mempelajari rute ke jaringan lokal Anda
Tunnel VPN dengan ketersediaan tinggi (HA) atau lampiran VLAN yang menyediakan konektivitas hybrid

Misalnya, ada subnet dengan rentang alamat IP 192.0.2.0/24 yang mengaktifkan perutean subnet hybrid. Subnet berada di region us-central1. Cloud Router telah mempelajari dua rute dengan rentang tujuan yang sesuai dengan rute subnet hybrid:

Rute dinamis dengan rentang tujuan 192.0.2.0/25 dan next hop di region us-central1
Rute dinamis dengan rentang tujuan 192.0.2.0/30 dan next hop di region us-west1.

Paket dikirim ke tujuan 192.0.2.2. Alamat IP ini tidak dikaitkan dengan VM yang sedang berjalan atau aturan penerusan internal di subnet lokal, sehingga model pemilihan rute memilih rute kustom yang memiliki tujuan paling spesifik, yaitu 192.0.2.0/30. Rute ini tidak memiliki next hop di region subnet, sehingga paket akan dihentikan.

Untuk mengetahui informasi selengkapnya, lihat resource yang tidak cocok di subnet hybrid.

Peering Jaringan VPC

Anda dapat menghubungkan jaringan VPC yang berisi subnet yang menggunakan perutean subnet hybrid ke jaringan VPC peer menggunakan Peering Jaringan VPC.

Traffic dari klien dalam jaringan yang di-peering dapat mencapai tujuan dalam blok CIDR bersama, terlepas dari apakah tujuan tersebut merupakan resourceCloud de Confiance atau berada di jaringan lokal. Jika paket dari klien di jaringan yang di-peering memiliki tujuan yang cocok dengan rute subnet hibrida peering, dan tujuan tidak cocok dengan VM yang sedang berjalan atau aturan penerusan internal, paket dapat dirutekan menggunakan rute statis atau dinamis di jaringan VPC yang di-peering.

Perutean menggunakan rute statis atau dinamis di jaringan VPC yang di-peering tidak bergantung pada pertukaran rute kustom dengan jaringan VPC yang berisi klien. Namun, hal-hal berikut masih relevan:

Pastikan penggunaan kuota rute dinamis per region per grup peering di jaringan VPC yang berisi klien kurang dari batas kuota.
Pastikan tidak ada rute lain di jaringan VPC klien untuk rentang tujuan yang cocok dengan rute statis atau dinamis di jaringan yang di-peering yang sesuai dengan rute subnet hybrid peering.

Performa jaringan

Subnet Hybrid menggunakan Layer 3 model OSI untuk merutekan paket antara jaringan lokal dan VPC. Pendekatan ini membantu Subnet Hybrid menghindari tantangan terkait latensi, jitter, dan throughput yang dapat terjadi selama migrasi saat beberapa workload berada di jaringan lokal, tetapi workload lainnya telah dimigrasikan ke cloud.

Khususnya, menghindari tunneling Layer 2 membantu mencegah penurunan performa yang terkait dengan enkapsulasi dan enkripsi overlay Layer 2 tambahan. Selain itu, perutean Layer 3 memungkinkan Subnet Hibrida menghindari masalah umum dengan tunneling Layer 2, di mana traffic dikirim ke node pusat sebelum mencapai tujuan yang mungkin dekat dengan titik asal traffic. Masalah ini terkadang disebut tromboning jaringan.

Karena Subnet Hybrid menggunakan pendekatan perutean ini, Anda dapat mengharapkan performa yang serupa dengan, atau sama dengan, jaringan yang tidak menggunakan Subnet Hybrid.

Firewall dan Subnet Hybrid

Subnet Hibrida menghindari tantangan terkait penggunaan firewall dengan traffic yang dienkapsulasi dalam overlay Layer 2. Untuk traffic Layer 2, firewall hanya dapat memeriksa paket di atau di luar endpoint overlay, kecuali jika Anda mengambil tindakan tertentu seperti dekripsi transparan atau pemeriksaan mendalam traffic overlay.

Tidak ada pertimbangan khusus yang diperlukan untuk menggunakan firewall dan aturan firewall yang ada dengan Subnet Hibrida. Namun, Anda perlu Mengonfigurasi aturan firewall untuk memastikan bahwa Cloud de Confiance VM dapat berkomunikasi dengan workload di jaringan lokal.

Harga

Untuk mengetahui informasi tentang harga Subnet Hibrida, lihat Harga Virtual Private Cloud.

Langkah berikutnya

Untuk menyiapkan jaringan VPC untuk konektivitas Hybrid Subnets, lihat Mempersiapkan konektivitas Hybrid Subnets.