Topik ini menunjukkan cara menerapkan dan mengelola model hub dan spoke saat menggunakan Managed Microsoft AD.
Hub dan spoke di Google Cloud
Model hub dan spoke adalah desain jaringan tempat perangkat pusat, atau hub, terhubung ke beberapa perangkat lain, atau spoke. Untuk menerapkan desain ini di Google Cloud, Anda membuat Virtual Private Cloud (VPC) yang terhubung ke jaringan lokal melalui Cloud Interconnect atau VPN. VPC berfungsi sebagai hub. Dengan peering VPC, Anda dapat membuat koneksi ke project lain dan resource lokal, atau spoke.
Meskipun model ini berfungsi untuk peer langsung hub, model ini tidak diskalakan ke peer dari peer. Peering VPC bersifat non-transitif dan pertukaran rute kustom hanya mendukung penyebaran rute ke peer langsung, bukan ke peer dari peer.
Dampak terhadap Microsoft AD Terkelola
Untuk menyediakan konektivitas dengan jaringan resmi yang dihosting di project pengguna, Managed Microsoft AD menggunakan peering VPC dengan pertukaran rute yang diaktifkan secara default. Hal ini memungkinkan konektivitas antara jaringan yang diizinkan dan project tenant yang dihosting oleh VPC. Anda juga dapat menyiapkan Cloud Interconnect atau VPN secara langsung dengan jaringan yang diizinkan.
Namun, jika jaringan yang diotorisasi adalah spoke atau jika di-peering ke jaringan yang terhubung ke jaringan lokal, resource Managed Microsoft AD tidak akan dapat menjangkau resource lokal, dan sebaliknya. Ada dua cara untuk mengizinkan konektivitas.
Menggunakan VPC Bersama
Jika memungkinkan, gunakan VPC Bersama. Fitur ini tidak bergantung pada peering, sehingga tidak terpengaruh oleh batasan pertukaran rute yang sama.
Menggunakan VPN
Anda juga dapat menggunakan VPN antara hub dan spoke, bukan peering VPC, untuk mengatasi batasan pertukaran rute.
Gambar 1. Menggunakan VPN untuk menghindari batasan pertukaran rute.
Solusi ini kurang ideal karena memerlukan lebih banyak perencanaan jaringan dan menimbulkan biaya tambahan untuk tunnel VPN. Saat Anda membuat VPN antara hub dan spoke, Managed Microsoft AD dianggap sebagai peer langsung jaringan resmi dan rute ke jaringan hub akan diekspor. Saat menggunakan pendekatan ini, sebaiknya gunakan peering DNS antara jaringan yang diberi otorisasi dan hub serta spoke sehingga permintaan DNS dapat diteruskan ke jaringan Managed Microsoft AD melalui konfigurasi jaringan yang diberi otorisasi.