Topik ini menunjukkan cara menerapkan dan mengelola model hub dan spoke saat menggunakan Microsoft AD Terkelola.
Hub dan berbicara di Google Cloud
Model hub dan spoke adalah desain jaringan tempat perangkat pusat, atau hub, terhubung ke beberapa perangkat lain, atau jari-jari. Untuk menerapkan desain ini di Google Cloud, Anda membuat Virtual Private Cloud (VPC) yang terhubung ke jaringan lokal melalui Cloud Interconnect atau VPN. VPC berfungsi sebagai hub. Dengan menggunakan peering VPC, Anda dapat membuat koneksi ke project lain dan resource lokal, atau spoke.
Meskipun berfungsi untuk pembanding langsung dari hub, model ini tidak diskalakan ke pembanding pembanding. Peering VPC bersifat non-transitif dan pertukaran rute kustom hanya mendukung propagasi rute ke peer langsung, bukan ke peering.
Dampak pada Microsoft AD Terkelola
Untuk menyediakan konektivitas dengan jaringan resmi yang dihosting di project pengguna, Microsoft AD Terkelola menggunakan peering VPC dengan pertukaran rute yang diaktifkan secara default. Hal ini memungkinkan konektivitas antara jaringan yang diizinkan dan project tenant yang dihosting oleh VPC. Anda juga dapat menyiapkan Cloud Interconnect atau VPN secara langsung dengan jaringan yang diizinkan.
Namun, jika jaringan yang diotorisasi adalah jaringan spoke atau jika di-peering ke jaringan yang terhubung ke jaringan lokal, resource Microsoft AD Terkelola tidak akan dapat menjangkau resource lokal, dan sebaliknya. Ada dua kemungkinan solusi untuk mengizinkan konektivitas.
Menggunakan VPC Bersama
Jika memungkinkan, gunakan VPC Bersama. Metode ini tidak bergantung pada peering, sehingga tidak terpengaruh oleh batasan pertukaran rute yang sama.
Menggunakan VPN
Anda juga dapat menggunakan VPN antara hub dan spoke, bukan peering VPC, untuk mengatasi batasan pertukaran rute.
Gambar 1. Menggunakan VPN untuk menghindari pembatasan pertukaran rute.
Solusi ini kurang ideal karena memerlukan lebih banyak perencanaan jaringan dan menimbulkan biaya tambahan tunnel VPN. Saat Anda membuat VPN antara hub dan spoke, Microsoft AD Terkelola dianggap sebagai peer langsung dari jaringan yang diizinkan dan rute ke jaringan hub akan diekspor. Saat menggunakan pendekatan ini, sebaiknya gunakan peering DNS antara jaringan yang diizinkan dan hub serta spoke sehingga permintaan DNS dapat diteruskan ke jaringan Microsoft AD Terkelola melalui konfigurasi jaringan yang diizinkan.