Hub-and-Spoke-Modell implementieren

In diesem Thema erfahren Sie, wie Sie das Hub-and-Spoke-Modell für die Verwendung von Managed Microsoft AD implementieren und verwalten.

Hub-and-Spoke in Google Cloud

Das Hub-and-Spoke-Modell ist ein Netzwerkdesign, bei dem das zentrale Gerät (Hub) mit mehreren anderen Geräten oder Spokes verbunden ist. Zur Implementierung dieses Designs in Google Cloud erstellen Sie eine Virtual Private Cloud (VPC), die über Cloud Interconnect oder VPN mit Ihrem lokalen Netzwerk verbunden ist. Die VPC dient als Hub. Mit VPC-Peering können Sie Verbindungen zu anderen Projekten und lokalen Ressourcen oder Spokes herstellen.

Dieses Modell funktioniert zwar sofort für Peers des Hubs, es wird jedoch nicht für Peers skaliert. VPC-Peering ist nicht transitiv, und der Austausch über benutzerdefinierte Routen unterstützt nur die Weitergabe von Routen an einen unmittelbaren Peer, nicht an Peers von Peers.

Auswirkungen auf Managed Microsoft AD

Zur Bereitstellung von Konnektivität mit autorisierten Netzwerken, die in Nutzerprojekten gehostet werden, verwendet Managed Microsoft AD VPC-Peering mit standardmäßig aktiviertem Routenaustausch. Dies ermöglicht die Konnektivität zwischen den autorisierten Netzwerken und den von der VPC gehosteten Mandantenprojekten. Sie können Cloud Interconnect oder VPN auch direkt mit einem autorisierten Netzwerk einrichten.

Handelt es sich bei dem autorisierten Netzwerk jedoch um einen Spoke oder wenn es mit einem Netzwerk verbunden ist, das mit dem lokalen Netzwerk verbunden ist, können Managed Microsoft AD-Ressourcen keine lokalen Ressourcen erreichen und umgekehrt. Für die Konnektivität gibt es zwei Möglichkeiten.

Shared VPC verwenden

Verwenden Sie nach Möglichkeit eine freigegebene VPC. Sie verlässt sich nicht auf Peering und ist daher nicht von denselben Routenaustauscheinschränkungen betroffen.

Ein VPN verwenden

Sie können auch das VPN zwischen dem Hub und Spokes statt des VPC-Peerings verwenden, um die Routenaustauschbeschränkung zu umgehen.

VPN-Problemumgehung

Abbildung 1. Verwendung eines VPN, um die Routenaustauschbeschränkung zu umgehen.

Diese Problemumgehung ist nicht ideal, da sie mehr Netzwerkplanung erfordert und zusätzliche Kosten für VPN-Tunnel kostet. Wenn Sie ein VPN zwischen Hub und Spoke erstellen, wird Managed Microsoft AD als direkter Peer des autorisierten Netzwerks betrachtet, und die Routen zum Hub-Netzwerk werden exportiert. Bei der Verwendung dieses Ansatzes empfehlen wir DNS-Peering zwischen dem autorisierten Netzwerk und dem Hub und Spokes, sodass DNS-Anfragen über die autorisierte Netzwerkkonfiguration an das Managed Microsoft AD-Netzwerk weitergeleitet werden können.