ACE-216：混合雲連線深度解析——Cloud VPN 與 Cloud Interconnect 完全指南

前言

企業上雲很少是全有或全無。混合雲架構得有一條安全又穩定的連線，把地端機房跟 GCP 串起來。GCP 主要有兩條路：Cloud VPN（加密隧道走公網）和 Cloud Interconnect（專線不走公網），這兩者怎麼選，ACE 考試幾乎必考。

這篇是 ACE 進階系列第 11 課，帶你一次搞懂 GCP 所有混合雲連線選項。

連線方案總覽

地端機房 / 其他雲
    │
    ├── Cloud VPN ────────→ 走公網，IPsec 加密
    │     ├── HA VPN（推薦）     99.99% SLA
    │     └── Classic VPN（棄用 BGP）99.9% SLA
    │
    ├── Cloud Interconnect ──→ 專線，不走公網
    │     ├── Dedicated         10G/100G/400G
    │     ├── Partner           50Mbps～50Gbps
    │     └── Cross-Cloud       連接 AWS/Azure/OCI
    │
    └── Peering ──────────→ 僅存取 Google 公開服務
          ├── Direct Peering
          └── Carrier Peering

Cloud VPN

什麼是 Cloud VPN？

Cloud VPN 是在公網上拉一條 IPsec 隧道，把地端網路跟 GCP VPC 接起來，流量全程加密。

Cloud VPN 僅支援 Site-to-Site，不支援個人裝置 VPN（Client-to-Gateway）。

HA VPN vs Classic VPN

特性	HA VPN（推薦）	Classic VPN
介面數	2 個（自動分配 IP）	1 個
SLA	99.99%	99.9%
路由	動態路由（BGP 必要）	僅靜態路由
IPv6	支援（Dual-Stack）	不支援
多隧道到同一 Peer	支援	不支援

Classic VPN 的 BGP 動態路由已於 2025 年 8 月棄用，新建隧道不能再用 BGP。靜態路由仍可使用。生產環境一律用 HA VPN。

HA VPN 架構

HA VPN 閘道有兩個介面，每個介面各拿一個外部 IP，而且分屬不同的位址池。這樣設計是為了讓單一故障點不會同時打掛兩個介面：

GCP HA VPN Gateway          On-Premises Gateway
┌──────────────────┐       ┌──────────────────┐
│ Interface 0 ─────────────── Peer Interface 0 │
│                  │  ╲  ╱ │                  │
│ Interface 1 ─────────────── Peer Interface 1 │
└──────────────────┘       └──────────────────┘
     4 條隧道 = 完整冗餘

達到 99.99% SLA 的要求

必須在兩個介面各至少建立一條隧道：

場景	隧道數	SLA
2 個 Peer IP，每個介面 1 隧道	2	99.99%
1 個 Peer IP，兩個介面各 1 隧道	2	99.99%
4 隧道（完整交叉）	4	99.99%
跨區域 HA VPN Gateway-to-Gateway	2+	僅 99.9%

Active/Active vs Active/Passive

模式	說明	適用場景
Active/Active	ECMP 負載平衡，兩隧道同時傳輸	需要最大頻寬
Active/Passive	不同 MED 值，備用隧道待命	需要一致頻寬

建立 HA VPN

# 1. 建立 Cloud Router
gcloud compute routers create my-router \
  --region=asia-east1 \
  --network=my-vpc \
  --asn=65001

# 2. 建立 HA VPN Gateway
gcloud compute vpn-gateways create my-ha-vpn \
  --network=my-vpc \
  --region=asia-east1

# 3. 建立 External VPN Gateway（對端）
gcloud compute external-vpn-gateways create peer-gw \
  --interfaces 0=203.0.113.1,1=203.0.113.2

# 4. 建立隧道（Interface 0）
gcloud compute vpn-tunnels create tunnel-0 \
  --peer-external-gateway=peer-gw \
  --peer-external-gateway-interface=0 \
  --region=asia-east1 \
  --ike-version=2 \
  --shared-secret=MY_SECRET \
  --router=my-router \
  --vpn-gateway=my-ha-vpn \
  --interface=0

# 5. 建立隧道（Interface 1）
gcloud compute vpn-tunnels create tunnel-1 \
  --peer-external-gateway=peer-gw \
  --peer-external-gateway-interface=1 \
  --region=asia-east1 \
  --ike-version=2 \
  --shared-secret=MY_SECRET \
  --router=my-router \
  --vpn-gateway=my-ha-vpn \
  --interface=1

# 6. 設定 BGP Session
gcloud compute routers add-interface my-router \
  --interface-name=if-tunnel-0 \
  --vpn-tunnel=tunnel-0 \
  --region=asia-east1

gcloud compute routers add-bgp-peer my-router \
  --peer-name=peer-0 \
  --peer-asn=65002 \
  --interface=if-tunnel-0 \
  --region=asia-east1

VPN 頻寬

指標	數值
每隧道封包速率	250,000 pps（進出合計）
每隧道頻寬	1～3 Gbps（依封包大小）
擴展方式	增加隧道數量 + ECMP

Cloud Router 與 BGP

Cloud Router 是全託管的 BGP 路由器，是 HA VPN 和 Cloud Interconnect 的必要元件。

動態路由模式

模式	說明	適用場景
區域（Regional）	路由只在同一區域生效	單區域部署
全域（Global）	路由傳播到 VPC 的所有區域	多區域部署、Interconnect 99.99%

# 設定 VPC 為全域路由模式
gcloud compute networks update my-vpc \
  --bgp-routing-mode=global

故障轉移行為

隧道斷線：自動重新建立
路由撤除延遲：40～60 秒預期封包遺失
整個 VPN 裝置故障：Google 自動建立新實例

Dedicated Interconnect

什麼是 Dedicated Interconnect？

在共置機房（Colocation Facility）拉一條直接的實體連線到 Google 網路，不走公網，延遲低、頻寬高。

連線規格

線路類型	每條線路	最大條數	最大聚合頻寬
10 Gbps	10 Gbps	8	80 Gbps
100 Gbps	100 Gbps	8	800 Gbps
400 Gbps	400 Gbps	8	3.2 Tbps

佈建流程

1. 在 Console 下單 Dedicated Interconnect
       │
2. Google 分配資源，寄送 LOA-CFA
       │
3. 將 LOA-CFA 交給共置機房廠商佈線
       │
4. Google 測試連線
       │
5. 建立 VLAN Attachment + Cloud Router BGP
       │
6. 連線就緒 ✅

VLAN Attachment

# 建立 VLAN Attachment
gcloud compute interconnects attachments dedicated create my-attachment \
  --region=asia-east1 \
  --router=my-router \
  --interconnect=my-interconnect \
  --vlan=100 \
  --bandwidth=10g

VLAN Attachment 頻寬選項：50 Mbps、100 Mbps、200 Mbps、300 Mbps、400 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps、20 Gbps、50 Gbps、100 Gbps。

SLA

拓撲	SLA
同一都會區、不同 Edge Availability Domain	99.9%
兩個都會區各有連線 + 全域路由	99.99%

Partner Interconnect

什麼是 Partner Interconnect？

透過服務供應商接到 Google 網路，你自己不用在共置機房擺設備。

特性	說明
頻寬	50 Mbps ～ 50 Gbps
共置機房	不需要
佈建時間	天（透過供應商）
適合	無法到達 Google 共置機房、中小頻寬需求

SLA

同一都會區兩個 Attachment：99.9%
兩個都會區各有 Attachment：99.99%

Cross-Cloud Interconnect

這是 GCP 接到其他雲的專用線路：

雲端供應商	支援線路
AWS	10G、100G、400G
Azure	10G、100G
Oracle Cloud	10G、100G、400G
Alibaba Cloud	10G、100G

GA 狀態
SLA 框架同 Dedicated Interconnect
支援 MACsec 加密

加密：VPN vs Interconnect

這是 ACE 考試的高頻考點：

方案	預設加密？	加密選項
Cloud VPN	是（IPsec）	全程加密
Dedicated Interconnect	否	MACsec（Layer 2）或 VPN 疊加（Layer 3）
Partner Interconnect	否	VPN 疊加（Layer 3）
Cross-Cloud Interconnect	否	MACsec（Layer 2）

HA VPN over Interconnect

Interconnect 流量想要加密？可以在 Interconnect VLAN 上面再疊一層 HA VPN：

# 建立 HA VPN Gateway（使用 Interconnect Attachment）
gcloud compute vpn-gateways create vpn-over-interconnect \
  --network=my-vpc \
  --region=asia-east1 \
  --interconnect-attachments=attachment-zone1,attachment-zone2

Direct Peering 與 Carrier Peering

特性	Direct/Carrier Peering	Cloud Interconnect
存取範圍	僅 Google 公開服務（Workspace、API）	VPC 內部資源
需要 GCP 帳號	否	是
SLA	無	Google SLA
適合	大量 Google API 流量	混合雲工作負載

重點區別：Peering 只能存取公開服務，Interconnect 才能存取 VPC 內部 IP。

定價

Cloud VPN

項目	費用
每隧道每小時	~$0.05～$0.10（依區域）
每隧道每月估算	~$36～$72
流出流量	標準網路出口費率

Dedicated Interconnect

項目	費用
10G 線路	~$2.33 / 小時（~$1,700 / 月）
100G 線路	~~$23.28 / 小時（~~$17,000 / 月）
VLAN Attachment（≤10G）	$0.10 / 小時
VLAN Attachment（20G）	$0.20 / 小時
VLAN Attachment（50G）	$0.50 / 小時
流出流量（同區域 NA）	$0.02 / GiB（比標準出口便宜）

Partner Interconnect（VLAN Attachment 範例）

頻寬	每小時
50 Mbps	$0.054
1 Gbps	$0.278
10 Gbps	$2.36
50 Gbps	$9.02

Cross-Cloud Interconnect

項目	費用
10G 線路	~~$5.60 / 小時（~~$4,032 / 月）
100G 線路	~~$30.00 / 小時（~~$21,600 / 月）

Network Connectivity Center（NCC）

NCC 是 Hub-and-Spoke 架構的網路編排服務：

          ┌─── VPC Spoke A（asia-east1）
          │
NCC Hub ──┼─── VPC Spoke B（us-central1）
          │
          ├─── Hybrid Spoke（HA VPN → 地端機房 A）
          │
          └─── Hybrid Spoke（Interconnect → 地端機房 B）

統一管理多個 VPN 和 Interconnect 連線
支援 Site-to-Site 資料傳輸走 Google 骨幹網
自動通告新子網路到所有 Spoke

選型決策樹

需要連接地端到 GCP VPC？
  │
  ├── 頻寬需求 < 3 Gbps？
  │     └── HA VPN ✅（低成本、加密、分鐘級部署）
  │
  ├── 頻寬需求 > 10 Gbps？
  │     ├── 有共置機房？
  │     │     └── Dedicated Interconnect ✅
  │     └── 無共置機房？
  │           └── Partner Interconnect ✅
  │
  ├── 連接到其他雲（AWS/Azure/OCI）？
  │     └── Cross-Cloud Interconnect ✅
  │
  └── 僅存取 Google 公開服務？
        └── Direct Peering / Carrier Peering ✅

成本 vs 頻寬對比

方案	月成本估算	最大頻寬	加密	SLA
HA VPN（2 隧道）	~$72	~6 Gbps	是	99.99%
Partner Interconnect（1G）	~$200	1 Gbps	否	99.9%
Dedicated Interconnect（10G）	~$1,700+	10 Gbps	否	99.9%
Dedicated Interconnect（2 都會區）	~$3,400+	20 Gbps+	否	99.99%

ACE 考試重點整理

必背知識點

HA VPN = 99.99% SLA，需要兩個介面各至少 1 隧道 + BGP
Classic VPN BGP 於 2025 年 8 月已正式棄用，靜態路由仍可用
VPN 隧道頻寬 1～3 Gbps，加隧道做 ECMP 擴展
Dedicated Interconnect 需要共置機房，Partner 不需要
VPN 預設加密，Interconnect 預設不加密（需 MACsec 或 VPN 疊加）
Dedicated Interconnect 99.99% SLA 需要兩個都會區 + 全域路由
Peering 只能存取公開服務，Interconnect 才能存取 VPC 內部
Cloud Router 提供 BGP 動態路由，支援區域和全域模式

常見陷阱題

Q：地端機房需要 100 Mbps 頻寬連到 GCP，不在共置機房附近，選什麼？ A：Partner Interconnect。不需要共置機房，支援 50 Mbps 起的頻寬。

Q：需要加密的混合雲連線，頻寬 1 Gbps 以下，選什麼？ A：HA VPN。預設 IPsec 加密，不需額外設定。

Q：Dedicated Interconnect 的流量有加密嗎？ A：沒有。Interconnect 預設不加密。需要加密請用 MACsec（Layer 2）或在上面疊加 HA VPN（Layer 3 IPsec）。

Q：HA VPN 如何達到 99.99% SLA？ A：在兩個 Gateway 介面各至少建一條隧道，並使用 BGP 動態路由（透過 Cloud Router）。

Q：Cloud VPN 和 Cloud Interconnect 最大的差異是什麼？ A：VPN 走公網加密隧道（頻寬 1～3 Gbps/隧道），Interconnect 走專線（頻寬最高 3.2 Tbps）。VPN 便宜但頻寬低，Interconnect 貴但頻寬高且延遲穩定。

Q：需要從 GCP 連到 AWS，選什麼？ A：Cross-Cloud Interconnect。提供 GCP 到 AWS/Azure/OCI/Alibaba 的專用線路。

Q：Direct Peering 可以存取 VPC 裡的 VM 嗎？ A：不行。Direct/Carrier Peering 只能存取 Google 公開服務。要存取 VPC 內部資源，必須用 Cloud VPN 或 Cloud Interconnect。

總結

GCP 混合雲連線方案，核心要點：

HA VPN：走公網、IPsec 加密、1～3 Gbps/隧道、99.99% SLA、分鐘級部署
Dedicated Interconnect：專線、不加密、10G～400G、需共置機房、99.99%（雙都會區）
Partner Interconnect：透過供應商、不需機房、50 Mbps～50 Gbps
Cross-Cloud Interconnect：連接其他雲（AWS/Azure/OCI）
Cloud Router：BGP 動態路由，區域或全域模式
加密：VPN 預設加密，Interconnect 需額外設定

選型：低頻寬加密 → VPN；高頻寬有機房 → Dedicated；無機房 → Partner；跨雲 → Cross-Cloud

恭喜你跑完全部 36 堂課！準備好上場了嗎？接著去 ACE 認證準備全攻略，開始考前衝刺。

ACE 服務實戰 — 11/11 完成查看系列全覽 →

前言

連線方案總覽

Cloud VPN

什麼是 Cloud VPN？

HA VPN vs Classic VPN

HA VPN 架構

達到 99.99% SLA 的要求

Active/Active vs Active/Passive

建立 HA VPN

VPN 頻寬

Cloud Router 與 BGP

動態路由模式

故障轉移行為

Dedicated Interconnect

什麼是 Dedicated Interconnect？

連線規格

佈建流程

VLAN Attachment

SLA

Partner Interconnect

什麼是 Partner Interconnect？

SLA

Cross-Cloud Interconnect

加密：VPN vs Interconnect

HA VPN over Interconnect

Direct Peering 與 Carrier Peering

定價

Cloud VPN

Dedicated Interconnect

Partner Interconnect（VLAN Attachment 範例）

Cross-Cloud Interconnect

Network Connectivity Center（NCC）

選型決策樹

成本 vs 頻寬對比

ACE 考試重點整理

必背知識點

常見陷阱題

總結

相關文章

ACE-210：GCP 負載均衡深度解析——ALB、CDN 與 Cloud Armor 完全指南

ACE-209：Cloud Pub/Sub 與事件驅動架構——解耦微服務的核心技術

相關學習資源

留言討論