關於 Hybrid Subnets
混合型子網路可協助您將工作負載從其他網路 (來源網路) 遷移至虛擬私有雲 (VPC) 子網路,不必變更任何 IP 位址。這項遷移程序稱為「遷移 Motion」。將來源網路中的子網路與虛擬私有雲子網路合併,即可建立單一邏輯子網路,方便您逐步遷移個別工作負載和虛擬機器 (VM) 執行個體。遷移所有工作負載和 VM 後,即可停用來源子網路。
遷移選項
建議您搭配使用虛擬機器遷移和混合式子網路,自動將 VM 從 VMware 來源或從 Google Cloud VMware Engine 來源遷移。
混合式子網路不支援 Google Cloud VMware Engine 做為遷移目標。如果 VMware Engine 是遷移目標,建議使用 VMware HCX 遷移 VMware VM。使用 VMware HCX 遷移至 Google Cloud VMware Engine 時,不需要設定混合式子網路。
或者,您也可以使用第三方遷移工具搭配混合式子網路,只要符合本文所述的混合式子網路需求即可。
如要進一步瞭解遷移選項,請參閱「遷移資源」。
如要瞭解如何使用 Migrate to VMs 規劃遷移作業,請參閱「使用 Migrate to VMs 進行遷移」。
規格
- 混合式子網路需要網路連線產品,例如 Cloud VPN 或 Cloud Interconnect。
- 來源網路中必須設定 Proxy ARP。
- 來源網路必須設定為通告混合式子網路的 IP 位址範圍。
- 虛擬私有雲子網路的主要 IPv4 位址範圍必須與來源子網路的 IP 位址範圍相符。
- 您必須啟用虛擬私有雲子網路的
allow-cidr-routes-overlap
旗標,才能將子網路設定為混合子網路。啟用allow-cidr-routes-overlap
後, Trusted Cloud 允許自訂路徑與子網路 IP 位址範圍重疊。 allow-cidr-routes-overlap
標記適用於主要和次要 IPv4 子網路範圍。- 混合式子網路中的所有 VM 和工作負載之間都會維持內部連線。
- 您可以使用 Cloud Router 自訂通告路徑,在將 VM 遷移至虛擬私有雲子網路時,選擇性地通告 VM 的 IP 位址。
- 將工作負載從來源網路遷移至 Trusted Cloud時,請更新 Cloud Router 自訂通告路徑,加入遷移的 VM IP 位址。
- 您可以使用 VPC 網路對等互連,將混合式子網路連線至對等互連 VPC 網路。含有混合式子網路的虛擬私有雲網路對等互連設定,必須設為匯出自訂路徑。另一個虛擬私有雲網路的對等互連設定必須設為匯入自訂路徑。
限制
使用混合式子網路的虛擬私有雲網路有下列資源限制:
- 每個虛擬私有雲網路最多只能設定 25 個混合式子網路。
- 請勿超過 130
Instances per VPC network
。 - 請勿超過 25
Internal passthrough Network Load Balancer forwarding rules per VPC network
。 - 如果具有混合式子網路的 VPC 網路是透過 VPC 網路對等互連連線至其他 VPC 網路,請勿超過 50 個
Dynamic routes per region per peering group
。 - 每個 VPC 網路最多只能設定 300 個自訂路徑 (靜態和動態)。
這些資源限制不會由 Trusted Cloud by S3NS 限制或配額強制執行。超過上限可能會導致連線和穩定性問題。
混合式子網路的 Cloud Router 不能超過每個 BGP 工作階段的自訂通告路徑數量上限。
系統不支援混合子網路內的廣播和多點傳播流量。
您無法使用不支援透過混合式子網路發布
/32
路徑的第 3 層合作夥伴互連連線。混合式子網路不支援 IPv6。
混合式子網路無法在 IPv4 子網路的保留 IP 位址上代管工作負載。
Cloud DNS 傳入轉送不會回應來源網路中工作負載的 DNS 要求。
來源網路中的工作負載無法使用私人 Google 存取權存取 Google API 和服務。
來源網路中的工作負載無法連線至 Google API 的 Private Service Connect 端點。
來源網路中的工作負載無法做為端點,用於使用集中式健康狀態檢查的混合式連線網路端點群組。
混合式子網路不支援站對站資料移轉。
您無法將一個混合型子網路連線至另一個混合型子網路。
混合型子網路不會偵測混合型子網路的來源網路與 VPC 部分之間是否有 IP 位址衝突。請確保每個 IP 位址 (預設閘道除外) 只使用一次。
混合式子網路不支援 Google Cloud VMware Engine 做為遷移目標。
混合式子網路不支援從 Azure 或 AWS 來源遷移 VM。
混合式子網路不支援從其他雲端服務供應商遷移工作負載。
混合式子網路不支援 Network Connectivity Center。
使用 Hybrid Subnets 的注意事項
以下各節說明使用混合式子網路的注意事項。
Proxy ARP 和混合型子網路
混合式子網路需要在來源網路的第一跳裝置上設定Proxy ARP。主機首次傳送流量時,如果目的地不在本機網路中,流量會先傳送到第一跳裝置。當裝置收到混合式子網路 VPC 部分的 VM 的 ARP 要求時,Proxy ARP 可讓裝置以自己的 MAC 位址回應。然後,裝置可以使用從 Cloud Router 邊界閘道通訊協定 (BGP) 工作階段自訂通告路徑取得的 CIDR 區塊,將封包轉送至 VPC 子網路中的 VM。
第一個躍點裝置可以是路由器、虛擬設備、防火牆,或是執行 choparp 等軟體解決方案的 VM。
建議您在來源網路中使用 Proxy ARP 時,採取下列做法:
- 請諮詢來源網路架構的供應商,瞭解啟用 Proxy ARP 和保護網路環境的最佳做法。
- 完成遷移至Trusted Cloud的作業後,請停用 Proxy ARP。
網路效能
混合型子網路會使用 OSI 模型的第 3 層,在來源網路和混合型子網路的 VPC 部分之間轉送封包。如果部分工作負載位於來源網路,但其他工作負載已遷移至雲端,遷移期間可能會發生延遲、抖動和輸送量問題,而這種做法有助於混合式子網路避免這些問題。
特別是避免第 2 層通道,有助於防止與額外第 2 層疊加的封裝和加密相關的效能下降。此外,第 3 層路由可讓混合式子網路避開第 2 層通道的常見問題,也就是流量會先傳送至中央節點,再傳送至可能靠近流量來源的目標。這個問題有時稱為「網路伸縮號」。
混合型子網路的路由方法表示,混合型子網路的效能與未使用混合型子網路的網路效能相似或相同。
防火牆和混合型子網路
使用混合式子網路可避免與防火牆相關的挑戰,因為流量會封裝在第 2 層疊加網路中。如果是第 2 層流量,除非採取特定措施 (例如透明解密或對疊加流量進行深度檢查),否則防火牆只能檢查疊加端點或其以上的封包。
使用混合式子網路時,現有的防火牆和防火牆規則不需要特別考量。不過,您可能需要設定防火牆規則,確保 Trusted Cloud VM 可以與來源網路中的工作負載通訊。
後續步驟
- 如要準備虛擬私有雲網路以連線至 Hybrid Subnets,請參閱「準備連線至 Hybrid Subnets」。