Questo argomento spiega come implementare e gestire il modello hub and spoke quando si utilizza AD Microsoft gestito.
Hub e spoke su Google Cloud
Il modello hub e spoke è un design di rete in cui il dispositivo centrale, o hub, è connesso a più altri dispositivi, o spoke. Per implementare questo design su Google Cloud, crea un virtual private cloud (VPC) collegato alla tua rete on-premise tramite Cloud Interconnect o VPN. Il VPC funge da hub. Con il peering VPC, puoi creare connessioni ad altri progetti e alle tue risorse on-premise o spoke.
Sebbene questo modello funzioni per i peer immediati dell'hub, non è scalabile ai peer di peer. Il peering VPC non è transitivo e lo scambio di route personalizzate supporta solo la propagazione delle route a un peer immediato, non ai peer di peer.
Impatto su Managed Microsoft AD
Per fornire connettività con le reti autorizzate ospitate nei progetti utente, Microsoft Active Directory gestito utilizza il peering VPC con lo scambio di route attivo per impostazione predefinita. In questo modo, è possibile la connettività tra le reti autorizzate e i progetti tenant ospitati dalla VPC. Puoi anche configurare Cloud Interconnect o VPN direttamente con una rete autorizzata.
Tuttavia, se la rete autorizzata è uno spoke o è in peering con una rete collegata alla rete on-premise, le risorse di Microsoft AD gestite non potranno raggiungere le risorse on-premise e viceversa. Esistono due possibili soluzioni per consentire la connettività.
Utilizzo della rete VPC condivisa
Se possibile, utilizza una rete VPC condivisa. Non si basa sul peering, pertanto non è soggetta alle limitazioni dello scambio di route.
Utilizzo della VPN
Puoi anche utilizzare una VPN tra l'hub e gli spoke anziché il peering VPC per superare la limitazione dello scambio di route.
Figura 1. Utilizzo di una VPN per evitare la limitazione dello scambio di route.
Questa soluzione alternativa è meno ideale perché richiede una pianificazione della rete più complessa e comporta il costo aggiuntivo dei tunnel VPN. Quando crei una VPN tra hub e spoke, Managed Microsoft AD è considerato un peer diretto della rete autorizzata e le route alla rete hub verranno esportate. Quando utilizzi questo approccio, ti consigliamo di utilizzare il peering DNS tra la rete autorizzata e l'hub e gli spoke in modo che le richieste DNS possano essere inoltrate alla rete Microsoft AD gestita tramite la configurazione della rete autorizzata.