Questo argomento mostra come implementare e gestire il modello hub e spoke quando si utilizza Microsoft AD gestito.
Hub e spoke su Google Cloud
Il modello hub e spoke è un modello di rete in cui il dispositivo centrale, o hub, è connesso a diversi altri dispositivi, o spoke. Per implementare questa progettazione su Google Cloud, crei una rete VPC (Virtual Private Cloud) connessa alla rete on-premise tramite Cloud Interconnect o VPN. Il VPC funge da hub. Utilizzando il peering VPC, puoi creare connessioni ad altri progetti e alle tue risorse o spoke on-premise.
Sebbene questo modello funzioni per i peer immediati dell'hub, non è in grado di scalare rispetto ai peer. Il peering VPC non è transitorio e lo scambio di route personalizzate supporta solo la propagazione delle route a un peer immediato, non a peer di peer.
Impatto su Microsoft AD gestito
Per fornire connettività con reti autorizzate ospitate in progetti utente, Microsoft AD gestito utilizza il peering VPC con lo scambio delle route attivato per impostazione predefinita. Ciò consente la connettività tra le reti autorizzate e i progetti tenant ospitati dal VPC. Puoi anche configurare Cloud Interconnect o VPN direttamente con una rete autorizzata.
Tuttavia, se la rete autorizzata è uno spoke o se è connessa in peering a una rete connessa alla rete on-premise, le risorse Microsoft AD gestite non potranno raggiungere le risorse on-premise e viceversa. Esistono due possibili soluzioni per consentire la connettività.
Utilizzo di VPC condiviso
Se possibile, utilizza un VPC condiviso. Non si basa sul peering, quindi non è influenzato dalle limitazioni dello scambio delle stesse route.
Utilizzo della VPN
Puoi anche utilizzare la VPN tra l'hub e gli spoke anziché il peering VPC per superare il limite di scambio delle route.
Figura 1. Utilizzo della VPN per evitare la limitazione dello scambio di route.
Questa soluzione alternativa è meno ideale perché richiede una maggiore pianificazione della rete e comporta il costo aggiuntivo dei tunnel VPN. Quando crei una VPN tra hub e spoke, Microsoft AD gestito viene considerato un peer diretto della rete autorizzata e verranno esportate le route alla rete dell'hub. Se utilizzi questo approccio, ti consigliamo di utilizzare il peering DNS tra la rete autorizzata, l'hub e gli spoke, in modo che le richieste DNS possano essere inoltrate alla rete Microsoft AD gestita tramite la configurazione di rete autorizzata.