NCC 閘道總覽

NCC 閘道是可連結至 Network Connectivity Center 中樞的輪輻類型。這是一項區域產品,可為跨雲端網路流量提供安全防護。您可以透過 NCC Gateway 啟用安全防護功能,例如第三方安全服務邊緣 (SSE),這是 安全存取服務邊緣 (SASE) 的雲端安全防護元件,並終止互連網路連線。

NCC 閘道提供下列功能:

  • 簡化 SSE 整合:您可以將 SSE 與透明導向功能順暢整合,提升使用者對應用程式的保護和效能。
  • 區域部署:您可以根據資料中心或其他雲端供應商的實際距離,在不同區域部署 NCC Gateway。
  • 安全的遠端工作團隊:您可以安全地將遠端工作團隊 (例如分支機構、資料中心和遠端辦公室) 連線至 Google Cloud、內部部署環境或其他雲端供應商的私人應用程式,以及 Palo Alto Networks Prisma Access 和 Symantec Cloud Secure Web Gateway (Cloud SWG) 等公開應用程式。
  • 強化安全性:您可以啟用 SSE 等安全功能,用於多雲端流量。
  • 簡化管理:NCC Gateway 可協助您降低管理 VPC 網路和遠端網路連線的複雜度和營運成本。
  • 效能可視性:NCC Gateway 可讓您透過指標和遙測資料,深入瞭解網路效能。

優點

NCC 閘道可提供下列優點:

  • 降低延遲時間,提供最佳應用程式體驗:透過 NCC Gateway 以高頻寬雲端優先方式使用 SSE 服務,並透過 Google 私人主幹網路提升效能。

  • 為所有使用者流量提供統一安全性:透過單一統一安全性堆疊改善安全防護機制,並限制進入和離開點,減少攻擊面。

  • 透過 Network Connectivity Center 簡化管理作業。

重要詞彙

如要瞭解 NCC 閘道,請先熟悉下列術語:

混合式附件:您設定的混合式連線,可直接連往 NCC Gateway。

安全服務功能:連結至 NCC Gateway 的服務。舉例來說,如果要保護使用者與應用程式之間的連線,您必須將 SSE 服務附加至 NCC Gateway。

應用程式或工作負載 VPC 網路:工作負載 VPC 網路通常是指使用 Compute Engine 虛擬機器 (VM) 或 Google Kubernetes Engine (GKE) 容器做為工作負載的網路。工作負載虛擬私人雲端網路可以是一般虛擬私人雲端網路,也可以是共用虛擬私人雲端,其中包含主專案和多個服務專案。工作負載虛擬私有雲網路必須設為中樞中的輪輻。

輪輻群組:一種將 Network Connectivity Center 中樞中的輪輻分組的方式。輻條群組可讓您將輻條分隔成不同的路由網域。輪輻群組可以包含多個輪輻,但每個輪輻只能屬於一個群組。如要進一步瞭解不同拓撲的輪輻群組,請參閱「預設連線拓撲」。

混合式檢查拓撲:可將 NCC 閘道輪輻新增至群組,以便套用政策。如要瞭解混合式檢查拓撲,請參閱「混合式檢查拓撲」。

Secure Access Connect:可讓您將第三方 SSE 產品連結至 NCC Gateway,以便進行安全處理和安全的網際網路傳出作業。如要瞭解 Secure Access Connect,請參閱 Secure Access Connect 總覽

支援的 SSE 產品

NCC Gateway 支援下列 SSE 產品的連線:

用途

NCC Gateway 非常適合希望確保混合型工作團隊可存取應用程式的機構。NCC Gateway 透過整合式合作夥伴生態系統,為混合型工作團隊提供安全防護,讓您能夠連線至自選的 SSE 供應商。有了 NCC Gateway,您就能保護在 Google Cloud、地端部署環境、其他雲端服務供應商,以及網際網路和 SaaS 應用程式中託管的私人應用程式存取權。NCC Gateway 可讓您建立區域部署作業,以便在最接近資料中心的位置部署,並在 Google Cloud的私人主幹線上管理跨區域流量。

Google Cloud 使用者的用途包括:

  • 將使用者導向網際網路
  • 將使用者分流至私人應用程式
  • 將私人應用程式連線到網際網路

部分支援的合作夥伴提供下列一或多個用途:

  • 行動使用者連上網路
  • 行動裝置使用者連線至私人應用程式
  • 將 Branch 使用者導向合作夥伴應用程式
  • 合作夥伴應用程式的私人應用程式

流量

本節將說明 NCC Gateway 中根據各個用途的流量流動路徑。

Google Cloud 使用者用途的流量流程

將使用者導向網際網路

在下圖中,流量從地端分支使用者透過 NCC 閘道和第三方 SSE 堆疊傳送至網際網路。

將使用者分流至網際網路流量。
Branch 使用者到網際網路流量的流量 (按一下可放大)。

將使用者分流至私人應用程式

在下圖中,流量從內部分支使用者經由 NCC Gateway,穿越第三方 SSE,然後透過 NCC Gateway 返回私人應用程式。

將使用者導向私人應用程式流量流程。
將 Branch 使用者導向私人應用程式流量 (按一下可放大)。

將私人應用程式連線到網際網路

在下圖中,流量會從 Google Cloud經由 NCC 閘道,穿越第三方 SSE,然後透過 NCC 閘道返回網際網路。

將私人應用程式連線至網際網路流量。
私人應用程式連線至網路流量 (按一下可放大)。

支援合作夥伴的用途中的流量流程

行動使用者連上網路

在下圖中,流量從行動使用者經由第三方 SSE 流向網際網路。在這種情況下,流量不會經過 NCC Gateway。

行動使用者與網路流量流向。
行動使用者連線至網路的流量流向 (按一下即可放大)。

行動裝置使用者連線至私人應用程式

在下圖中,行動使用者的流量會透過第三方 SSE 服務和 NCC 閘道,傳送至在 VPC 網路中代管的私人應用程式。

行動使用者流向私人應用程式流量。
行動使用者流向私人應用程式流量 (按一下可放大)。

將 Branch 使用者導向合作夥伴應用程式

在下圖中,流量從內部分支使用者透過 NCC Gateway,穿越第三方 SSE,然後透過 NCC Gateway 返回內部分支。

將使用者導向合作夥伴應用程式流量。
Branch 使用者流向合作夥伴應用程式的流量 (按一下可放大)。

合作夥伴應用程式的私人應用程式

在下圖中,流量從私人應用程式流經 NCC 閘道,穿越第三方 SSE,然後透過 NCC 閘道返回合作夥伴應用程式。

私人應用程式與合作夥伴應用程式的流量流向。
私人應用程式與合作夥伴應用程式之間的流量流向 (按一下可放大)。

處理能力

NCC 閘道輪輻的處理能力是其配置的頻寬。您必須配置足夠的頻寬來處理每個流量流向,請注意,封包可能會在某些流量流向中多次進出閘道節點。

請參考以下範例,計算閘道分支所需的處理能力。

範例:將使用者導向網際網路

假設分支機構的內部部署網路已連上網際網路,如分支機構使用者連線至網際網路的用途所示。封包會在各方向穿越 NCC Gateway 一次,分支機構和網際網路需要 1 Gbps 的雙向頻寬:從分支機構地端部署網路傳送至網際網路的流量為 1 Gbps,從網際網路傳送至分支機構網路的流量為 1 Gbps。在這種情況下,使用者需要 2 Gbps 的處理能力。此範例也假設 SSE 合作夥伴不會捨棄任何封包。如果您選擇的 SSE 合作夥伴建議的頻寬高於本範例計算的頻寬,請遵循合作夥伴的建議。

範例:將使用者導向私人應用程式

假設分支機構的內部部署網路已連線至Google Cloud ,如分支機構使用者連線至私人應用程式用途所示,且分支機構和私人應用程式需要 1 Gbps 全雙工頻寬:從分支機構到應用程式的流量為 1 Gbps,從應用程式到分支機構的流量為 1 Gbps。此範例也假設 SSE 合作夥伴不會捨棄任何封包。如果您選擇的 SSE 合作夥伴建議的頻寬高於本範例計算的頻寬,請遵循合作夥伴的建議。

將分支機構的內部部署網路連線至 Network Connectivity Center 中樞的 NCC 閘道輪輻,需要兩個 1 Gbps VLAN 連結,才能符合 Cloud Interconnect SLA 規定。這樣一來,即使有一個 VLAN 連結離線 (例如,因為互連網路連線維護),一個 VLAN 連結仍可在分支機構和私人應用程式之間提供 1 Gbps 的雙向頻寬。

閘道輪輻所需的處理容量為 4 Gbps,原因如下:

  • 從分支機構內部網路傳送至 Network Connectivity Center 中樞的流量需要 1 Gbps 的頻寬。這類流量需要 2 Gbps 的閘道頻寬,因為閘道會在以下兩個地方處理這類流量:

    • 1 Gbps,因為連結至分支的 VLAN 連結傳入閘道輪輻的封包
    • 封包離開網關輻射點並進入中樞時的 1 Gbps

  • 從 Network Connectivity Center 中樞傳送至分支機構內部部署網路的流量,也需要 1 Gbps 的頻寬。這類流量需要額外的 2 Gbps 閘道頻寬,因為閘道會在以下兩個位置處理這類流量:

    • 封包離開中樞並進入閘道分支時的速度為 1 Gbps
    • 1 Gbps:封包離開閘道輪輻並傳送至連結分支的 VLAN 連結

建議您採用下列策略設定閘道處理容量和 VLAN 連結頻寬:

  • 閘道處理能力是指所有閘道 NIC 在各方向上所需頻寬的總和。
  • 與閘道處理能力不同,VLAN 連結頻寬是全雙工。請務必佈建足夠數量的 VLAN 連結,以便支援所需頻寬,即使使用一般互連網路連線的 VLAN 連結發生故障,也能維持正常運作。

注意事項

使用 NCC Gateway 時,請注意下列事項:

  • NCC Gateway 僅支援 SSE 服務插入。
  • 您只能將 VLAN 連結附加到 NCC Gateway 輪輻。不支援 Cloud VPN 和 Router 設備。
  • 所有 NCC 閘道輪輻都必須位於同一個閘道輪輻群組中。如要設定 NCC Gateway,Network Connectivity Center 中樞必須使用預設混合式檢查拓撲
  • 一次只能將一項服務連結至 NCC Gateway。
  • Cloud Router 必須連結至同一個地區的 NCC 閘道。
  • 只有透過連結至 NCC 閘道的雲端路由器建立的 VLAN 連結,才能連結至閘道。
  • 每個中樞的每個地區只能有一個 NCC 閘道輪輻。
  • NCC 閘道輪輻和中樞必須位於同一個專案中。
  • 您必須在建立閘道分支時指定處理容量。之後可視需求變更處理能力。
  • 您無法變更指派的 IP 位址範圍。部分 IP 位址範圍是保留給 SSE 合作夥伴使用的。
  • 沒有任何流量引導政策可略過 NCC 閘道中的部分流量。
  • 閘道宣傳的路徑不會顯示在 VPC 路由表中。您可以在虛擬私有雲端網路所在的輪輻群組中樞路由表中查看這些路由。
  • 閘道宣傳路徑會使用標準最佳路徑選取模式進行編程。
    • 中樞路徑表中閘道通告路徑的優先順序,反映的是有效的 Andromeda 路徑優先順序,例如 6553665537。計算有效的 Andromeda 路徑優先順序時,系統會考量建立閘道廣告路徑時使用的優先順序。
    • 靜態路徑一律優先順序介於 0-65535 之間,因此會優先於同一個目的地前置碼的閘道通告路徑。因此,如果您想使用閘道宣傳路徑 (含 0/0 目的地) 將網際網路流量導向閘道,可能需要移除系統產生的預設路徑

閘道和中樞路徑資料表的有效路徑檢視畫面

您可以從區域的角度查詢中樞路由表,這會在您選取路徑時考量區域間的費用,無論是否透過網關皆然。您可以使用這項查詢,查看從特定區域傳送封包時,哪個特定網關執行個體會接收流量。

使用者歷程範例

如果您沒有現有的連線設定,請參閱NCC Gateway 設定總覽

定價

如需定價資訊,請參閱 Network Connectivity Center 定價

後續步驟